# Inscripción de autoservicio

{% hint style="info" %}
Aplicable a la versión 2.9 y posteriores de SCEPman
{% endhint %}

Para que los clientes emitan certificados para sí mismos sin SCEP, pueden usar la API REST de SCEPman. Sin embargo, no deberían poder emitir ningún certificado arbitrario, solo certificados vinculados a su propia identidad. Por lo tanto, la API de SCEPman tiene un rol que puede asignarse a usuarios/grupos para habilitar esto.

## Requisitos previos

* Este rol está incluido a partir de SCEPman 2.9. Si instaló SCEPman antes de eso, necesita ejecutar el [script de instalación](https://docs.scepman.com/es/implementacion-de-scepman/permissions/post-installation-config#running-the-scepman-installation-cmdlet) de nuevo para que aparezca este rol.

## Asignación de permisos de autoservicio

Puede comprobar que el rol de Autoservicio existe en el registro de aplicación SCEPman-api:

<figure><img src="https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FNKRfCaiolQQRMoVZ4KIu%2Fimage.png?alt=media&#x26;token=0237fecc-2935-47a5-8e06-39cb7ca2b772" alt=""><figcaption></figcaption></figure>

Puede crear asignaciones de rol para usuarios y grupos en la aplicación empresarial SCEPman-api.&#x20;

<figure><img src="https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FsTrrI2sHpugkm3U5fx6v%2Fimage.png?alt=media&#x26;token=23f31d76-bc00-418d-92c9-77274dddc286" alt=""><figcaption></figcaption></figure>

## Solicitudes de emisión de certificados

Un usuario con el rol de autoservicio solo puede emitir certificados con los siguientes atributos. (Estos son los mismos atributos que seleccionaría al emitir certificados mediante un perfil SCEP en [Intune ](https://docs.scepman.com/es/administracion-de-certificados/microsoft-intune)por ejemplo). La validez del certificado estará vinculada al objeto del dispositivo en Intune o Entra ID, o al objeto de usuario en Entra ID, de forma análoga a los certificados emitidos por Intune.

{% hint style="info" %}
Si está usando el script de emisión proporcionado previamente desde nuestra [Sección Casos de uso](https://docs.scepman.com/es/use-cases), generará automáticamente una solicitud según estos requisitos.
{% endhint %}

### Certificados de dispositivo

O bien el Nombre Alternativo del Asunto (SAN) debe incluir `IntuneDeviceID://<IntuneDeviceId>` como URI, donde `<IntuneDeviceId>` sin las llaves es el Id. de dispositivo del dispositivo en Intune. O el campo CN del Asunto debe ser el Id. de dispositivo de Entra ID o el Id. de dispositivo de Intune.

<table><thead><tr><th width="223">Campo</th><th>Valor</th></tr></thead><tbody><tr><td>Asunto</td><td><code>CN=&#x3C;AAD_Device_Id></code> o <code>CN=&#x3C;DeviceId></code>, donde el dispositivo es uno propiedad del usuario.</td></tr><tr><td>SAN (URI)</td><td><code>IntuneDeviceId://&#x3C;IntuneDeviceId></code></td></tr><tr><td>Restricciones básicas</td><td><code>Tipo de asunto=Entidad final</code></td></tr><tr><td>EKU</td><td><code>Autenticación de cliente, 1.3.6.1.5.5.7.3.2</code></td></tr></tbody></table>

### Certificados de usuario

<table><thead><tr><th width="221">Campo</th><th>Valor</th></tr></thead><tbody><tr><td>Asunto</td><td><code>CN=&#x3C;DisplayName></code></td></tr><tr><td>SAN (Otro nombre/UPN)</td><td><code>&#x3C;UserPrincipalName></code></td></tr><tr><td>Restricciones básicas</td><td><code>Tipo de asunto=Entidad final</code></td></tr><tr><td>EKU</td><td><code>Autenticación de cliente, 1.3.6.1.5.5.7.3.2</code></td></tr></tbody></table>