RBAC de Certificate Master
Édition SCEPman Enterprise uniquement
Applicable à SCEPman Certificate Master version 2.5 et ultérieure
Lorsque les utilisateurs accèdent à SCEPman Certificate Master, leur rôle détermine les actions qu’ils peuvent effectuer et les certificats qu’ils peuvent voir. Les rôles sont déterminés via l’application d’entreprise SCEPman-CertMaster dans Microsoft Entra ID (Azure AD). Si vous avez installé SCEPman avant la version 2.5, vous devez exécuter à nouveau le CMDlet Complete-SCEPmanInstallation depuis le module SCEPman PS pour voir les rôles dans le portail Microsoft Entra. Les rôles suivants sont disponibles :
Rôles disponibles
Admin.Full: Les membres de ce rôle peuvent tout faire dans SCEPman Certificate Master. Si une future version de SCEPman Certificate Master ajoute de nouvelles fonctionnalités, les membres de ce rôle auront accès à ces fonctionnalités.
Manage.All: Les membres de ce rôle peuvent voir et révoquer tous les certificats. Cela inclut les certificats dans la base de données Certificate Master ainsi que les certificats déployés via Intune.
Manage.All.Read: Bien que les membres puissent voir tous les certificats, ils ne peuvent pas les révoquer.
Manage.Intune: Les membres peuvent voir et révoquer les certificats déployés via Intune.
Manage.Intune.Read: Les membres peuvent voir les certificats déployés via Intune, mais ne peuvent pas les révoquer.
Manage.Storage: Les membres peuvent voir et révoquer les certificats dans la base de données Certificate Master.
Manage.Storage.Read: Les membres peuvent voir les certificats dans la base de données Certificate Master, mais ne peuvent pas les révoquer.
Request.All: Les membres peuvent demander tous les types de certificats. Cela inclut la soumission de requêtes CSR, qui peuvent être de n’importe quel type. Si les utilisateurs doivent soumettre des requêtes CSR, ce rôle est requis.
Request.Client: Les demandes sont limitées aux certificats client, c’est-à-dire aux certificats de périphérique créés manuellement. Ils disposent de l’Extended Key Usage (EKU) Client Authentication et d’un sujet personnalisable.
Request.CodeSigning: Les demandes ne peuvent concerner que des certificats Code Signing.
Request.Server: Les membres peuvent demander uniquement des certificats serveur. Ils disposent de l’EKU Server Authentication.
Request.SubCa: Les membres peuvent demander des certificats pour des CAs subordonnées. Cependant, l’Extended Key Usage limite ces CAs à l’émission de certificats Server Authentication uniquement. Cela permet de les utiliser pour l’interception TLS comme dans les pare-feu, mais pas à d’autres fins. Il s’agit d’une fonctionnalité de sécurité. Si vous avez besoin d’une CA subordonnée à d’autres fins, vous devez créer une CSR et la soumettre à Certificate Master, ce qui nécessite le Request.All rôle.
Request.User: Les membres peuvent demander uniquement des certificats utilisateur. Ils disposent de l’EKU Client Authentication et d’un UPN choisi par le demandeur. À partir de SCEPman 2.6, l’EKU Smart Card Logon est également possible. Gardez à l’esprit qu’une personne disposant de ce rôle peut demander des certificats pour d’autres utilisateurs. Si vous avez activé l’authentification basée sur un certificat dans AD ou AAD et ajouté la CA SCEPman comme élément de confiance à cet effet dans AD ou AAD, cela peut être utilisé pour usurper l’identité d’autres utilisateurs.
Il s’agit de l’ensemble de rôles par défaut qui sera ajouté lors de la configuration post-installation. Il existe des rôles plus complexes qui peuvent être ajoutés si nécessaire : Rôles CSR et de formulaire
Attribution des rôles
Mis à jour
Ce contenu vous a-t-il été utile ?