# Enrôlement en libre-service

{% hint style="info" %}
Applicable à la version 2.9 de SCEPman et aux versions ultérieures
{% endhint %}

Pour que les clients puissent inscrire des certificats pour eux-mêmes sans SCEP, ils peuvent utiliser l’API REST de SCEPman. Cependant, ils ne doivent pas pouvoir inscrire n’importe quel certificat arbitraire, uniquement des certificats liés à leur propre identité. Par conséquent, l’API SCEPman dispose d’un rôle qui peut être attribué aux utilisateurs/groupes pour permettre cela.

## Prérequis

* Ce rôle est inclus à partir de SCEPman 2.9. Si vous avez installé SCEPman avant cela, vous devez exécuter le [script d’installation](https://docs.scepman.com/fr/deploiement-scepman/permissions/post-installation-config#running-the-scepman-installation-cmdlet) à nouveau pour que ce rôle apparaisse.

## Attribution des autorisations de libre-service

Vous pouvez vérifier que le rôle Self Service existe dans l’inscription d’application SCEPman-api :

<figure><img src="https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FNKRfCaiolQQRMoVZ4KIu%2Fimage.png?alt=media&#x26;token=0237fecc-2935-47a5-8e06-39cb7ca2b772" alt=""><figcaption></figcaption></figure>

Vous pouvez créer des attributions de rôle pour des utilisateurs et des groupes dans l’application d’entreprise SCEPman-api.&#x20;

<figure><img src="https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FsTrrI2sHpugkm3U5fx6v%2Fimage.png?alt=media&#x26;token=23f31d76-bc00-418d-92c9-77274dddc286" alt=""><figcaption></figcaption></figure>

## Demandes d’inscription de certificats

Un utilisateur disposant du rôle de libre-service ne peut inscrire que des certificats avec les attributs suivants. (Ce sont les mêmes attributs que vous sélectionneriez lors de l’inscription de certificats via un profil SCEP dans [Intune ](https://docs.scepman.com/fr/gestion-des-certificats/microsoft-intune)par exemple). La validité du certificat sera liée à l’objet appareil dans Intune ou Entra ID, ou à l’objet utilisateur dans Entra ID, de la même manière que pour les certificats inscrits via Intune.

{% hint style="info" %}
Si vous utilisez le script d’inscription préfourni de notre [Section Cas d’utilisation](https://docs.scepman.com/fr/use-cases), il générera automatiquement une demande conforme à ces exigences.
{% endhint %}

### Certificats d’appareil

Soit le Nom alternatif du sujet (SAN) doit inclure `IntuneDeviceID://<IntuneDeviceId>` comme URI, où `<IntuneDeviceId>` sans les accolades est l’ID d’appareil de l’appareil dans Intune. Soit le champ CN du sujet doit être l’ID d’appareil Entra ID ou l’ID d’appareil Intune.

<table><thead><tr><th width="223">Champ</th><th>Valeur</th></tr></thead><tbody><tr><td>Sujet</td><td><code>CN=&#x3C;AAD_Device_Id></code> ou <code>CN=&#x3C;DeviceId></code>, où l’appareil est celui appartenant à l’utilisateur.</td></tr><tr><td>SAN (URI)</td><td><code>IntuneDeviceId://&#x3C;IntuneDeviceId></code></td></tr><tr><td>Contraintes de base</td><td><code>Type de sujet=entité finale</code></td></tr><tr><td>EKU</td><td><code>Authentification du client, 1.3.6.1.5.5.7.3.2</code></td></tr></tbody></table>

### Certificats utilisateur

<table><thead><tr><th width="221">Champ</th><th>Valeur</th></tr></thead><tbody><tr><td>Sujet</td><td><code>CN=&#x3C;DisplayName></code></td></tr><tr><td>SAN (Autre nom/UPN)</td><td><code>&#x3C;UserPrincipalName></code></td></tr><tr><td>Contraintes de base</td><td><code>Type de sujet=entité finale</code></td></tr><tr><td>EKU</td><td><code>Authentification du client, 1.3.6.1.5.5.7.3.2</code></td></tr></tbody></table>