Inscripción de autoservicio

Para que los clientes puedan inscribir certificados por sí mismos sin SCEP, pueden usar la API REST de SCEPman. Sin embargo, no deberían poder inscribir cualquier certificado arbitrario, solo certificados que estén vinculados a su propia identidad. Por lo tanto, la API de SCEPman tiene un rol que puede asignarse a usuarios/grupos para habilitar esto.

Prerequisitos

• Este rol se incluye desde SCEPman 2.9 en adelante. Si instaló SCEPman antes de esto, necesita ejecutar el script de instalación nuevamente para que este rol aparezca.

Asignación de permisos de autoservicio

Puede comprobar que el rol de Autoservicio existe en el Registro de Aplicación SCEPman-api:

Puede crear asignaciones de roles para usuarios y grupos en la Aplicación Empresarial SCEPman-api.

Solicitudes de inscripción de certificados

Un usuario con el rol de autoservicio solo puede inscribir certificados con los siguientes atributos. (Estos son los mismos atributos que seleccionaría al inscribir certificados mediante un perfil SCEP en Intune por ejemplo). La validez del certificado estará vinculada al objeto de dispositivo en Intune o Entra Id o al objeto de usuario en Entra Id, de forma análoga a los certificados inscritos mediante Intune.

Certificados de dispositivo

O bien, el Nombre Alternativo del Sujeto (SAN) debe incluir IntuneDeviceID://<IntuneDeviceId> como una URI, donde <IntuneDeviceId> sin las llaves es el Id del dispositivo en Intune. O el campo CN del Sujeto debe ser el Id del dispositivo de Entra ID o el Id del dispositivo de Intune.

Certificados de usuario