RBAC du gestionnaire de certificats
Uniquement SCEPman Enterprise Edition
Applicable à SCEPman Certificate Master version 2.5 et supérieure
Lorsque les utilisateurs accèdent à SCEPman Certificate Master, leur rôle détermine les actions qu'ils peuvent effectuer et les certificats qu'ils peuvent voir. Les rôles sont déterminés via l'Application d'Entreprise SCEPman-CertMaster dans Microsoft Entra ID (Azure AD). Si vous avez installé SCEPman avant la version 2.5, vous devez exécuter à nouveau le Cmdlet Complete-SCEPmanInstallation depuis le module PS SCEPman pour voir les rôles dans le portail Microsoft Entra. Les rôles suivants sont disponibles :
Rôles disponibles
Admin.Full : Les membres de ce rôle peuvent tout faire dans SCEPman Certificate Master. Si de futures versions de SCEPman Certificate Master ajoutent de nouvelles fonctionnalités, les membres de ce rôle y auront accès.
Manage.All : Les membres de ce rôle peuvent voir et révoquer tous les certificats. Cela inclut les certificats dans la base de données du Certificate Master ainsi que les certificats enregistrés via Intune.
Manage.All.Read : Bien que les membres puissent voir tous les certificats, ils ne peuvent pas les révoquer.
Manage.Intune : Les membres peuvent voir et révoquer les certificats enregistrés via Intune.
Manage.Intune.Read : Les membres peuvent voir les certificats enregistrés via Intune, mais ne peuvent pas les révoquer.
Manage.Storage : Les membres peuvent voir et révoquer les certificats dans la base de données du Certificate Master.
Manage.Storage.Read : Les membres peuvent voir les certificats dans la base de données du Certificate Master, mais ne peuvent pas les révoquer.
Request.All : Les membres peuvent demander tous types de certificats. Cela inclut la soumission de requêtes CSR, qui peuvent être de n'importe quel type. Si des utilisateurs doivent soumettre des requêtes CSR, ce rôle est requis.
Request.Client : Les requêtes sont limitées aux certificats client, c.-à-d. les certificats d'appareils créés manuellement. Ils possèdent l'Extended Key Usage (EKU) d'authentification client et un sujet personnalisable.
Request.CodeSigning : Les requêtes ne peuvent être que pour des certificats de signature de code.
Request.Server : Les membres peuvent demander uniquement des certificats de serveur. Ils ont l'EKU d'authentification serveur.
Request.SubCa : Les membres peuvent demander des certificats pour des Autorités de Certification subordonnées. Toutefois, l'Extended Key Usage limite ces CA à émettre uniquement des certificats d'authentification serveur. Cela permet de les utiliser pour l'interception TLS comme dans les pare-feu, mais pas pour d'autres usages. C'est une fonctionnalité de sécurité. Si vous avez besoin d'une CA subordonnée pour d'autres usages, vous devez créer une CSR et la soumettre au Certificate Master, ce qui requiert le Request.All rôle.
Request.User : Les membres peuvent seulement demander des certificats utilisateur. Ils possèdent l'EKU d'authentification client et un UPN choisi par le demandeur. À partir de SCEPman 2.6, l'EKU Smart Card Logon est également possible. Gardez à l'esprit que quelqu'un disposant de ce rôle peut demander des certificats pour d'autres utilisateurs. Si vous avez activé l'authentification basée sur certificat dans AD ou AAD et ajouté la CA SCEPman comme autorité approuvée à cet effet dans AD ou AAD, cela peut être utilisé pour usurper l'identité d'autres utilisateurs.
Ceci est l'ensemble par défaut de rôles qui sera ajouté lors de la configuration post-installation. Il existe d'autres rôles plus spécifiques qui peuvent être ajoutés si nécessaire : Rôles CSR et formulaire
Attribution de rôles
Mis à jour
Ce contenu vous a-t-il été utile ?