# RBAC de Certificate Master

{% hint style="warning" %}
solo en SCEPman Enterprise Edition
{% endhint %}

{% hint style="info" %}
Aplicable a SCEPman Certificate Master versión 2.5 y posteriores
{% endhint %}

Cuando los usuarios acceden a SCEPman Certificate Master, su rol determina las acciones que pueden realizar y los certificados que pueden ver. Los roles se determinan a través de la Enterprise Application *SCEPman-CertMaster* en Microsoft Entra ID (Azure AD). Si instaló SCEPman antes de la versión 2.5, debe ejecutar nuevamente el CMDlet Complete-SCEPmanInstallation desde el módulo SCEPman PS para ver los roles en el portal de Microsoft Entra. Los siguientes roles están disponibles:

<figure><img src="https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2F0UxE3cdi27MLABvFARnw%2F2023-10-23%2014_50_14-Select%20a%20role.png?alt=media&#x26;token=e3ac2dd1-1e7a-4834-a28e-16cc65b20b69" alt=""><figcaption></figcaption></figure>

## Roles disponibles

* **Admin.Full**: Los miembros de este rol pueden hacer cualquier cosa en SCEPman Certificate Master. Si futuras versiones de SCEPman Certificate Master añaden nuevas funciones, los miembros de este rol tendrán acceso a esas funciones.
* **Manage.All**: Los miembros de este rol pueden ver y revocar todos los certificados. Esto incluye los certificados en la base de datos de Certificate Master, así como los certificados registrados mediante Intune.
* **Manage.All.Read**: Aunque los miembros pueden ver todos los certificados, no pueden revocarlos.
* **Manage.Intune**: Los miembros pueden ver y revocar certificados registrados mediante Intune.
* **Manage.Intune.Read**: Los miembros pueden ver certificados registrados mediante Intune, pero no pueden revocarlos.
* **Manage.Storage**: Los miembros pueden ver y revocar certificados en la base de datos de Certificate Master.
* **Manage.Storage.Read**: Los miembros pueden ver certificados en la base de datos de Certificate Master, pero no pueden revocarlos.
* **Request.All**: Los miembros pueden solicitar todo tipo de certificados. Esto incluye enviar solicitudes CSR, que pueden ser de cualquier tipo. Si los usuarios necesitan enviar solicitudes CSR, este rol es necesario.
* **Request.Client**: Las solicitudes se limitan a certificados de cliente, es decir, certificados de dispositivo creados manualmente. Tienen el uso extendido de clave (EKU) de autenticación de cliente y un subject personalizable.
* **Request.CodeSigning**: Las solicitudes solo pueden ser de certificados de firma de código.
* **Request.Server**: Los miembros solo pueden solicitar certificados de servidor. Estos tienen el EKU de autenticación de servidor.
* **Request.SubCa**: Los miembros pueden solicitar certificados para CA subordinadas. Sin embargo, el uso extendido de clave limita a estas CA a emitir solo certificados de autenticación de servidor. Esto permite utilizarlas para la interceptación TLS, como en los firewalls, pero no para otros fines. Esta es una función de seguridad. Si necesita una CA subordinada para otros fines, debe crear una CSR y enviarla a Certificate Master, lo que requiere el *Request.All* rol.
* **Request.User**: Los miembros solo pueden solicitar certificados de usuario. Estos tienen el EKU de autenticación de cliente y un UPN elegido por el solicitante. A partir de SCEPman 2.6, también es posible el EKU de inicio de sesión con tarjeta inteligente. Tenga en cuenta que alguien con este rol puede solicitar certificados para otros usuarios. Si tiene habilitada la autenticación basada en certificados en AD o AAD y ha agregado la CA de SCEPman como confiable para este fin en AD o AAD, esto puede usarse para suplantar a otros usuarios.

{% hint style="info" %}
Este es el conjunto predeterminado de roles que se agregará durante la configuración posterior a la instalación. Hay algunos roles más complejos que pueden agregarse si es necesario: [csr-and-form-roles](https://docs.scepman.com/es/configuracion-de-scepman/rbac/csr-and-form-roles "mention")
{% endhint %}

## Asignación de roles

{% stepper %}
{% step %}

### Vaya a SCEPman-CertMaster

Azure > Aplicaciones empresariales > Borrar filtros > SCEPman-CertMaster<br>

<figure><img src="https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FYAuIaRUSB98yeb46IsUm%2Fimage.png?alt=media&#x26;token=4f059ffc-b6ad-4d47-9ce9-53a94e746eab" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Asignar un usuario/grupo

Vaya a Administrar > Usuarios y grupos y seleccione los administradores deseados y su rol. \
Pulse asignar una vez que se hayan seleccionado los administradores y los roles.\
![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FdnKmNw3XbiSocezcUJzl%2Fimage.png?alt=media\&token=edfa6c8d-a0ea-4316-bef6-0ce65f7c140d)<br>

<figure><img src="https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FCHLvR2GG8XRtZwPaJ5H6%2Fimage.png?alt=media&#x26;token=539dc662-10db-4afe-9932-a1545deec10f" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Borre la caché de su navegador web (opcional)

En algunos casos, los permisos de un administrador pueden parecer iguales incluso después de que hayan cambiado. Deben borrarse las cookies de Certificate Master para evitar este problema.
{% endstep %}
{% endstepper %}