Inscription en libre-service

circle-info

Applicable à la version 2.9 de SCEPman et aux versions ultérieures

Pour que les clients puissent inscrire des certificats pour eux-mêmes sans SCEP, ils peuvent utiliser l’API REST de SCEPman. Cependant, ils ne doivent pas pouvoir inscrire n’importe quel certificat arbitraire, uniquement des certificats liés à leur propre identité. Par conséquent, l’API SCEPman dispose d’un rôle qui peut être attribué aux utilisateurs/groupes pour permettre cela.

Prérequis

  • Ce rôle est inclus à partir de SCEPman 2.9. Si vous avez installé SCEPman avant cela, vous devez exécuter le script d’installation à nouveau pour que ce rôle apparaisse.

Attribution des autorisations de libre-service

Vous pouvez vérifier que le rôle Self Service existe dans l’inscription d’application SCEPman-api :

Vous pouvez créer des attributions de rôle pour des utilisateurs et des groupes dans l’application d’entreprise SCEPman-api.

Demandes d’inscription de certificats

Un utilisateur disposant du rôle de libre-service ne peut inscrire que des certificats avec les attributs suivants. (Ce sont les mêmes attributs que vous sélectionneriez lors de l’inscription de certificats via un profil SCEP dans Intune par exemple). La validité du certificat sera liée à l’objet appareil dans Intune ou Entra ID, ou à l’objet utilisateur dans Entra ID, de la même manière que pour les certificats inscrits via Intune.

circle-info

Si vous utilisez le script d’inscription préfourni de notre Section Cas d’utilisation, il générera automatiquement une demande conforme à ces exigences.

Certificats d’appareil

Soit le Nom alternatif du sujet (SAN) doit inclure IntuneDeviceID://<IntuneDeviceId> comme URI, où <IntuneDeviceId> sans les accolades est l’ID d’appareil de l’appareil dans Intune. Soit le champ CN du sujet doit être l’ID d’appareil Entra ID ou l’ID d’appareil Intune.

Champ
Valeur

Sujet

CN=<AAD_Device_Id> ou CN=<DeviceId>, où l’appareil est celui appartenant à l’utilisateur.

SAN (URI)

IntuneDeviceId://<IntuneDeviceId>

Contraintes de base

Type de sujet=entité finale

EKU

Authentification du client, 1.3.6.1.5.5.7.3.2

Certificats utilisateur

Champ
Valeur

Sujet

CN=<DisplayName>

SAN (Autre nom/UPN)

<UserPrincipalName>

Contraintes de base

Type de sujet=entité finale

EKU

Authentification du client, 1.3.6.1.5.5.7.3.2

Mis à jour

Ce contenu vous a-t-il été utile ?