# RBAC du Maître des certificats

{% hint style="warning" %}
Édition SCEPman Enterprise uniquement
{% endhint %}

{% hint style="info" %}
Applicable à SCEPman Certificate Master version 2.5 et ultérieure
{% endhint %}

Lorsque les utilisateurs accèdent à SCEPman Certificate Master, leur rôle détermine les actions qu’ils peuvent effectuer et les certificats qu’ils peuvent voir. Les rôles sont déterminés via l’application d’entreprise *SCEPman-CertMaster* dans Microsoft Entra ID (Azure AD). Si vous avez installé SCEPman avant la version 2.5, vous devez exécuter à nouveau le CMDlet Complete-SCEPmanInstallation depuis le module SCEPman PS pour voir les rôles dans le portail Microsoft Entra. Les rôles suivants sont disponibles :

<figure><img src="/files/746c51d57ddcd636d7ac39633c519505a7732037" alt=""><figcaption></figcaption></figure>

## Rôles disponibles

* **Admin.Full**: Les membres de ce rôle peuvent tout faire dans SCEPman Certificate Master. Si une future version de SCEPman Certificate Master ajoute de nouvelles fonctionnalités, les membres de ce rôle auront accès à ces fonctionnalités.
* **Manage.All**: Les membres de ce rôle peuvent voir et révoquer tous les certificats. Cela inclut les certificats dans la base de données Certificate Master ainsi que les certificats déployés via Intune.
* **Manage.All.Read**: Bien que les membres puissent voir tous les certificats, ils ne peuvent pas les révoquer.
* **Manage.Intune**: Les membres peuvent voir et révoquer les certificats déployés via Intune.
* **Manage.Intune.Read**: Les membres peuvent voir les certificats déployés via Intune, mais ne peuvent pas les révoquer.
* **Manage.Storage**: Les membres peuvent voir et révoquer les certificats dans la base de données Certificate Master.
* **Manage.Storage.Read**: Les membres peuvent voir les certificats dans la base de données Certificate Master, mais ne peuvent pas les révoquer.
* **Request.All**: Les membres peuvent demander tous les types de certificats. Cela inclut la soumission de requêtes CSR, qui peuvent être de n’importe quel type. Si les utilisateurs doivent soumettre des requêtes CSR, ce rôle est requis.
* **Request.Client**: Les demandes sont limitées aux certificats client, c’est-à-dire aux certificats de périphérique créés manuellement. Ils disposent de l’Extended Key Usage (EKU) Client Authentication et d’un sujet personnalisable.
* **Request.CodeSigning**: Les demandes ne peuvent concerner que des certificats Code Signing.
* **Request.Server**: Les membres peuvent demander uniquement des certificats serveur. Ils disposent de l’EKU Server Authentication.
* **Request.SubCa**: Les membres peuvent demander des certificats pour des CAs subordonnées. Cependant, l’Extended Key Usage limite ces CAs à l’émission de certificats Server Authentication uniquement. Cela permet de les utiliser pour l’interception TLS comme dans les pare-feu, mais pas à d’autres fins. Il s’agit d’une fonctionnalité de sécurité. Si vous avez besoin d’une CA subordonnée à d’autres fins, vous devez créer une CSR et la soumettre à Certificate Master, ce qui nécessite le *Request.All* rôle.
* **Request.User**: Les membres peuvent demander uniquement des certificats utilisateur. Ils disposent de l’EKU Client Authentication et d’un UPN choisi par le demandeur. À partir de SCEPman 2.6, l’EKU Smart Card Logon est également possible. Gardez à l’esprit qu’une personne disposant de ce rôle peut demander des certificats pour d’autres utilisateurs. Si vous avez activé l’authentification basée sur un certificat dans AD ou AAD et ajouté la CA SCEPman comme élément de confiance à cet effet dans AD ou AAD, cela peut être utilisé pour usurper l’identité d’autres utilisateurs.

{% hint style="info" %}
Il s’agit de l’ensemble de rôles par défaut qui sera ajouté lors de la configuration post-installation. Il existe des rôles plus complexes qui peuvent être ajoutés si nécessaire : [Rôles CSR et formulaire](/fr/configuration-de-scepman/rbac/csr-and-form-roles.md)
{% endhint %}

## Attribution des rôles

{% stepper %}
{% step %}

### Accédez à SCEPman-CertMaster

Azure > Enterprise Applications > Clear Filters > SCEPman-CertMaster<br>

<figure><img src="/files/f3814f2fed724c844423bb446e3083e3bbff4a51" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Attribuer un utilisateur/groupe

Accédez à Manage > Users and Groups et sélectionnez les administrateurs souhaités ainsi que leur rôle. \
Appuyez sur attribuer une fois les administrateurs et les rôles sélectionnés.\
![](/files/1e6e7258cf152394457541f4f0aa520cac4c7fba)<br>

<figure><img src="/files/991b99e5a266d7d93484899061d5341c54ee5fe8" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Vider le cache de votre navigateur web (facultatif)

Dans certains cas, les autorisations d’un administrateur peuvent sembler identiques même après avoir été modifiées. Tous les cookies de Certificate Master doivent être supprimés pour contourner ce problème.
{% endstep %}
{% endstepper %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/fr/configuration-de-scepman/rbac.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.