Inscription en libre-service

Pour que les clients s'inscrivent des certificats pour eux-mêmes sans SCEP, ils peuvent utiliser l'API REST de SCEPman. Cependant, ils ne doivent pas pouvoir inscrire n'importe quel certificat, seulement des certificats liés à leur propre identité. Par conséquent, l'API SCEPman possède un rôle qui peut être attribué aux utilisateurs/groupes pour permettre cela.

Prérequis

• Ce rôle est inclus à partir de SCEPman 2.9. Si vous avez installé SCEPman avant cela, vous devez exécuter le script d'installation à nouveau pour que ce rôle apparaisse.

Attribution des autorisations en libre-service

Vous pouvez vérifier que le rôle Self Service existe dans l'enregistrement d'application SCEPman-api :

Vous pouvez créer des affectations de rôle pour les utilisateurs et les groupes dans l'application d'entreprise SCEPman-api.

Demandes d'inscription de certificats

Un utilisateur avec le rôle libre-service ne peut s'inscrire que pour des certificats avec les attributs suivants. (Ce sont les mêmes attributs que vous sélectionneriez lors de l'inscription de certificats via un profil SCEP dans Intune par exemple). La validité du certificat sera liée à l'objet appareil dans Intune ou Entra Id ou à l'objet utilisateur dans Entra Id, de manière analogue aux certificats inscrits via Intune.

Certificats d'appareil

Soit le Subject Alternative Name (SAN) doit inclure IntuneDeviceID://<IntuneDeviceId> comme URI, où <IntuneDeviceId> sans les accolades est l'identifiant de l'appareil dans Intune. Ou le champ CN du sujet doit être l'ID d'appareil Entra ID ou l'ID d'appareil Intune.

Certificats utilisateur