RBAC del Administrador de Certificados

Cuando los usuarios acceden a SCEPman Certificate Master, su rol determina las acciones que pueden realizar y los certificados que pueden ver. Los roles se determinan a través de la Aplicación Empresarial SCEPman-CertMaster en Microsoft Entra ID (Azure AD). Si instaló SCEPman antes de la versión 2.5, debe ejecutar nuevamente el CMDlet Complete-SCEPmanInstallation del Módulo PS de SCEPman para ver los roles en el Portal de Microsoft Entra. Los siguientes roles están disponibles:

Roles disponibles

• Admin.Full: Los miembros de este rol pueden hacer cualquier cosa en SCEPman Certificate Master. Si futuras versiones de SCEPman Certificate Master añaden nuevas funciones, los miembros de este rol tendrán acceso a esas funciones.

• Manage.All: Los miembros de este rol pueden ver y revocar todos los certificados. Esto incluye certificados en la base de datos de Certificate Master así como certificados inscritos a través de Intune.

• Manage.All.Read: Aunque los miembros pueden ver todos los certificados, no pueden revocarlos.

• Manage.Intune: Los miembros pueden ver y revocar certificados inscritos a través de Intune.

• Manage.Intune.Read: Los miembros pueden ver certificados inscritos a través de Intune, pero no pueden revocarlos.

• Manage.Storage: Los miembros pueden ver y revocar certificados en la base de datos de Certificate Master.

• Manage.Storage.Read: Los miembros pueden ver certificados en la base de datos de Certificate Master, pero no pueden revocarlos.

• Request.All: Los miembros pueden solicitar todo tipo de certificados. Esto incluye enviar solicitudes CSR, que pueden ser de cualquier tipo. Si los usuarios necesitan enviar solicitudes CSR, se requiere este rol.

• Request.Client: Las solicitudes se limitan a certificados de cliente, es decir, certificados de dispositivo creados manualmente. Tienen el Uso Extendido de Clave (EKU) de Autenticación de Cliente y un sujeto personalizable.

• Request.CodeSigning: Las solicitudes solo pueden ser para certificados de Firma de Código.

• Request.Server: Los miembros pueden solicitar únicamente certificados de servidor. Tienen el EKU de Autenticación de Servidor.

• Request.SubCa: Los miembros pueden solicitar certificados para Autoridades Certificantes subordinadas. Sin embargo, el Uso Extendido de Clave limita a estas CA a emitir únicamente certificados de Autenticación de Servidor. Esto les permite ser usadas para la intercepción TLS como se utiliza en cortafuegos, pero no para otros propósitos. Esto es una característica de seguridad. Si necesita una CA subordinada para otros propósitos, debe crear una CSR y enviarla al Certificate Master, lo que requiere el Request.All rol.

• Request.User: Los miembros pueden solicitar únicamente certificados de usuario. Tienen el EKU de Autenticación de Cliente y un UPN elegido por el solicitante. A partir de SCEPman 2.6, también es posible el EKU de Inicio de Sesión con Tarjeta Inteligente. Tenga en cuenta que alguien con este rol puede solicitar certificados para otros usuarios. Si tiene Autenticación basada en Certificados habilitada en AD o AAD y añadió la CA de SCEPman como confiable para este propósito en AD o AAD, esto puede usarse para suplantar a otros usuarios.

Asignación de roles

1

Navegar a SCEPman-CertMaster

Azure > Enterprise Applications > Borrar filtros > SCEPman-CertMaster

2

Asignar un usuario/grupo

Navegue a Administrar > Usuarios y grupos y seleccione sus administradores deseados y su rol. Presione asignar una vez que se hayan seleccionado los administradores y los roles.

3

Borre la caché de su navegador web (Opcional)

En algunos casos, los permisos de un administrador pueden parecer iguales incluso después de que sus permisos hayan cambiado. Se deben borrar las cookies de Certificate Master para sortear este problema.