Inscription en libre-service

Pour que les clients puissent inscrire des certificats pour eux-mêmes sans SCEP, ils peuvent utiliser l’API REST de SCEPman. Cependant, ils ne doivent pas pouvoir inscrire n’importe quel certificat arbitraire, uniquement des certificats liés à leur propre identité. Par conséquent, l’API SCEPman dispose d’un rôle qui peut être attribué aux utilisateurs/groupes pour permettre cela.

Prérequis

• Ce rôle est inclus à partir de SCEPman 2.9. Si vous avez installé SCEPman avant cela, vous devez exécuter le script d’installation à nouveau pour que ce rôle apparaisse.

Attribution des autorisations de libre-service

Vous pouvez vérifier que le rôle Self Service existe dans l’inscription d’application SCEPman-api :

Vous pouvez créer des attributions de rôle pour des utilisateurs et des groupes dans l’application d’entreprise SCEPman-api.

Demandes d’inscription de certificats

Un utilisateur disposant du rôle de libre-service ne peut inscrire que des certificats avec les attributs suivants. (Ce sont les mêmes attributs que vous sélectionneriez lors de l’inscription de certificats via un profil SCEP dans Intune par exemple). La validité du certificat sera liée à l’objet appareil dans Intune ou Entra ID, ou à l’objet utilisateur dans Entra ID, de la même manière que pour les certificats inscrits via Intune.

Certificats d’appareil

Soit le Nom alternatif du sujet (SAN) doit inclure IntuneDeviceID://<IntuneDeviceId> comme URI, où <IntuneDeviceId> sans les accolades est l’ID d’appareil de l’appareil dans Intune. Soit le champ CN du sujet doit être l’ID d’appareil Entra ID ou l’ID d’appareil Intune.

Certificats utilisateur