Passo a passo: Criar funções de usuário e um certificado para o Service Provider Foundation

Publicado: julho de 2016

Aplicável a: System Center 2012 SP1 - Orchestrator, System Center 2012 R2 Orchestrator

Este passo a passo mostra como administrar tarefas importantes para gerenciar tanto certificados quanto funções de usuário no Base do provedor de serviços. Para iniciar, mostramos como gerar um certificado autoassinado, caso você não esteja trabalhando com um certificado assinado por um emissor. A seguir, mostramos como obter a chave pública do certificado e como usar essa chave para criar o locatário no Base do provedor de serviços e as funções de usuário no System Center 2012 – Virtual Machine Manager (VMM).

Este passo a passo é organizado nas seções e procedimentos a seguir. Os procedimentos são projetados para serem realizados em sequência, embora eles contenham as informações necessárias para que você possa executá-los individualmente, se precisar. Esses procedimentos são tarefas a serem executadas pelo administrador de hoster.

O procedimento a seguir descreve como criar um certificado para um locatário usando makecert.exe (Certificate Creation Tool).

Para criar um certificado autoassinado para um locatário

1. Abra um prompt de comando como administrador.

2. Gere o certificado executando o seguinte comando:

   makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange  
   

   Esse comando coloca o certificado no repositório de certificados do usuário atual.

Para acessar o certificado que você criou

1. Na tela Inicial, digite certmgr.msc e, nos resultados de Aplicativos, clique em certmgr.msc.

2. Na janela certmgr, clique em Certificados - Usuário Atual, abra a pasta Pessoal e abra a pasta Certificados para ver o certificado que acabou de gerar.

Os procedimentos nesta seção mostram como exportar chaves públicas e privadas de arquivos de certificado. Você associa uma chave pública a um locatário no Base do provedor de serviços para validar declarações feitas posteriormente, ou feitas em nome de um locatário. Esta seção inclui um procedimento que mostra como obter a chave pública diretamente na sua sessão do PowerShell.

Para exportar a chave pública

1. Abra sua pasta certificados para ver o certificado conforme descrito no procedimento Para acessar o certificado que você criou.

2. Clique com o botão direito no certificado, clique em Todas as Tarefas e clique em Exportar.

3. Após a página de boas-vindas, na página Exportar Chave Privada, escolha Não, não exportar a chave privada e clique em Avançar.

4. Na página Formato do Arquivo de Exportação, selecione X.509 codificado na base 64 (*.cer) e clique em Avançar.

5. Na página Arquivo a Ser Exportado, especifique um caminho e nome de arquivo para o certificado e clique em Avançar.

6. Na página Concluindo o Assistente para Exportação de Certificados, clique em Concluir.

Para exportar a chave privada

1. Abra sua pasta certificados para ver o certificado conforme descrito no procedimento Para acessar o certificado que você criou.

2. Clique com o botão direito no certificado, clique em Todas as Tarefas e clique em Exportar.

3. Após a página Boas-vindas, na página Exportar Chave Privada, escolha Sim, exportar a chave privada e clique em Avançar.

   Se a opção Sim estiver indisponível, isso acontece porque o comando makecert para criar o certificado não incluiu a opção -pe.

4. Na página Formato do Arquivo de Exportação, selecione a opção Troca de Informações Pessoais - PKCS nº 12 (.PFX), marque a caixa de seleção Incluir todos os certificados no caminho de certificação, se possível e clique em Avançar.

5. Na página Segurança, selecione a opção Senha:, digite a senha e confirme-a e clique em Avançar.

6. Na página Arquivo a Ser Exportado, especifique um caminho e nome de arquivo para o certificado e clique em Avançar.

7. Na página Concluindo o Assistente para Exportação de Certificados, clique em Concluir.

Para obter a chave pública no Windows PowerShell

1. Você pode obter a chave pública diretamente de um arquivo de certificado de chave pública (.CER) exportado usando as classes de criptografia do .NET Framework. Execute os comandos a seguir para obter a chave do arquivo de chave pública do certificado que você exportou no procedimento Para exportar a chave pública.

   PS C:\> $path = "C:\Temp\tenant4D.cer"  
   PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  
   PS C:\> $key = [Convert]::ToBase64String($cert.RawData)  
   

   O procedimento a seguir usa a variável $key que você acabou de criar.

O Base do provedor de serviços não cria funções de usuário nem define seus escopos (como as nuvens), recursos ou ações. Em vez disso, o cmdlet New-SCSPFTenantUserRole cria uma associação para um locatário com um nome de função do usuário. Quando essa associação é criada, ela também gera uma ID que pode ser usada pela ID correspondente para criar a função no System Center 2012 – Virtual Machine Manager.

Você também pode criar funções de usuário usando o serviço do protocolo OData do Admin que usa o Service Provider Foundation Developer's Guide (Guia do Desenvolvedor do Service Provider Foundation).

Para criar um locatário com a chave pública do certificado

1. Execute o Shell de Comando do System Center 2012 Service Provider Foundation como administrador.

2. Digite o seguinte comando para criar o locatário. Este comando assume que a variável $key contenha a chave pública, conforme obtida pelo procedimento Para obter a chave pública no Windows PowerShell.

   PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" –Key $key  
   

3. Verifique se a chave pública do locatário foi importada com êxito executando o comando a seguir e observando os resultados:

   PS C:\> Get-SCSPFTrustedIssuer  
   

   O procedimento a seguir usa a variável $tenant que você acabou de criar.

Para criar uma função de administrador de locatários no VMM

1. Digite o seguinte comando e concorde com sua elevação para o Shell de Comando do Windows PowerShell:

   PS C:\> Set-Executionpolicy remotesigned  
   

2. Digite o seguinte comando para importar o módulo Virtual Machine Manager:

   PS C:\> Import-Module virtualmachinemanager  
   

3. Use o cmdlet do Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New-SCUserRole para criar a função do usuário. Esse comando assume que a variável $tenant tenha sido criada, conforme descrito no procedimento Para criar um locatário com a chave pública do certificado.

   PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
   

   Cuidado
   Observe que, se a função do usuário tiver sido criada anteriormente com o Console de Administração do VMM, suas permissões serão substituídas pelas especificadas pelo cmdlet New-SCSUserRole.

4. Confirme se a função de usuário foi criada verificando se ela está listada em Funções de Usuário no espaço de trabalho Configurações no Console de Administração do VMM.

5. Defina o seguinte para a função selecionando a função e clicando em Propriedades na barra de tarefas:

   • Na guia Escopo, selecione uma ou mais nuvens.

   • Na guia Recursos, adicione todos os recursos, como por exemplo modelos.

   • Na guia Ações, selecione uma ou mais ações.

   Repita este procedimento para cada servidor atribuído ao locatário.

   O procedimento a seguir usa a variável $TARole que você acabou de criar.

Para criar uma função de usuário de autoatendimento para locatário

1. Insira o comando a seguir para criar um usuário de autoatendimento no Base do provedor de serviços para o locatário que você criou no procedimento Para criar um locatário com a chave pública do certificado.

   PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant   
   

2. Crie a função de usuário do locatário correspondente no VMM inserindo o seguinte comando:

   PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID  
   

3. Confirme se a função de usuário foi criada verificando se ela está listada em Funções de Usuário no espaço de trabalho Configurações no Console de Administração do VMM. Observe que o pai da função é o administrador de locatários.

Repita esse procedimento conforme necessário para o locatário.

Gerenciar certificados e funções de usuário no Service Provider Foundation
Administrando o Service Provider Foundation
Capacidades de administrador recomendadas no Service Provider Foundation
Configurando portais para o Service Provider Foundation