🆕API REST de gestion

Disponible uniquement dans SCEPman Enterprise Edition

Applicable à la version 3.1 et supérieure

L’API de gestion fournit un accès administratif aux certificats émis dans SCEPman. Elle est destinée aux flux de travail de gestion et opérationnels, comme localiser des certificats et les révoquer si nécessaire.

Ces points de terminaison sont disponibles sous /api/manage et nécessitent un utilisateur authentifié disposant du Manage.All dans SCEPman-api.

Si vous effectuez une mise à jour depuis une version antérieure de SCEPman, il se peut que vous n’ayez pas encore le rôle Manage.All. Exécutez Complete-SCEPmanInstallation à nouveau dans un cloud shell pour l’ajouter automatiquement à votre application SCEPman-api.

Authentification

L’API utilise l’authentification Entra. La méthode la plus simple pour s’authentifier est souvent la Microsoft Authentication Library (MSAL).

Une façon d’obtenir un jeton porteur pour l’API de gestion est d’utiliser Azure CLI. La valeur requise pour le paramètre `--resource` est l’URI d’ID d’application de votre inscription d’application SCEPman-api (généralement son ID d’application préfixé par api://).

az account get-access-token --resource api://[APPLICATION-ID] --query accessToken --output tsv

Par exemple :

TOKEN=$(az account get-access-token \
  --resource api://16b6a4d1-0a20-4b41-bf58-12783034cad3 \
  --query accessToken \
  --output tsv)

Vous pouvez ensuite utiliser ce jeton dans les appels à l’API :

curl -X GET "https://scepman.contoso.com/api/manage/search?searchText=ABC123&pageSize=10&certValidity=Any&certType=Any" \
  -H "Authorization: Bearer $TOKEN" \
  -H "Accept: application/json"

API de recherche

GET /api/manage/search

Recherche les certificats émis et renvoie un ensemble de résultats paginé.

Paramètres de recherche

searchText

Terme de recherche en texte libre utilisé pour trouver les certificats correspondants. Il est généralement utilisé pour des recherches par sous-chaîne, par exemple pour faire correspondre le demandeur ou d’autres métadonnées de certificat recherchables.

pageSize

Nombre maximal de certificats renvoyés dans une seule page de réponse.

Par défaut : 50

continuationToken

Jeton de pagination facultatif utilisé pour demander la page suivante des résultats. Renvoyez le continuationToken renvoyé par une réponse de recherche précédente pour continuer à récupérer d’autres certificats.

certValidity

Filtre les certificats selon leur état de validité.

Par défaut : Tous

Les valeurs valides sont Tous, Actif, Expiré, Révoqué.

certType

Filtre les certificats par type de certificat.

Par défaut : Tous

Cela peut être utilisé pour restreindre l’ensemble de résultats à des catégories de certificats spécifiques. Les valeurs valides sont Statique, DC, Utilisateur, Appareil, et Tous.

Sources

Filtre les certificats selon le point de terminaison par lequel ils ont été émis. Vous pouvez spécifier ce filtre plusieurs fois, une fois par source.

Par défaut : aucune restriction

Les valeurs valides sont indiquées dans le tableau ci-dessous, vous devez spécifier la source à l’aide de leurs valeurs entières :

Source

Valeur

CertificateMaster

Intune

1 ou 9 (utilisez les deux pour vous assurer de tout trouver)

Statique

StaticAAD

Jamf

Contrôleur de domaine

API

RadiusAPI

Active Directory

La réponse est une liste paginée d’enregistrements de certificats, plus un jeton de continuation pour récupérer la page suivante.

Exemple

curl -X GET "https://scepman.contoso.com/api/manage/search?searchText=507AEAC03CCEF83F106914418D9222E466A629C1&pageSize=10&certValidity=Any&certType=Any" \
  -H "Authorization: Bearer <token>" \
  -H "Accept: application/json"

Exemple de réponse

{
  "items": [
    {
    "serialNumber":  "507AEAC03CCEF83F106914418D9222E466A629C1",
    "subject":  "CN=device01.contoso.local",
    "sans":  null,
    "upn":  null,
    "issuanceDate":  "2026-05-28T10:57:22Z",
    "expirationDate":  "2028-05-28T10:57:22Z",
    "revocationDate":  null,
    "revocationReason":  null,
    "revokedBy":  null,
    "requester":  "pkiAdmin@contoso.com",
    "source":  "CertificateMaster",
    "certificateType":  "Static"
    }
  ],
  "continuationToken": "..."
}

API de révocation

PATCH /api/manage/revoke/{serialNumber}

Révoque un certificat identifié par son numéro de série.

Le corps de la requête contient :

revocationReason - un entier indiquant la raison de la révocation. Voir le tableau ci-dessous pour les valeurs possibles
revoker (facultatif) - un identifiant en texte libre pour la personne ou le système demandant la révocation

S’il est spécifié, nous recommandons d’utiliser le UPN pour le champ revoker. S’il n’est pas spécifié, le UPN de l’utilisateur connecté sera utilisé. Même s’il est spécifié, le UPN de l’utilisateur connecté est toujours ajouté sous la forme « {revoker} via l’utilisateur API ${logged on user} ».

Cette valeur est utilisée pour l’audit et dans les recherches.

Exemple

curl -X PATCH "https://scepman.contoso.com/api/manage/revoke/ABC123" \
  -H "Authorization: Bearer <token>" \
  -H "Content-Type: application/json" \
  -d '{
    "revocationReason": 4,
    "revoker": "pkiAdmin@contoso.com"
  }'

Réponse réussie

HTTP/1.1 200 OK

Certificat introuvable

HTTP/1.1 404 Not Found
Content-Type: application/json

{
  "errorMessage": "Certificate not found.",
  "errorCode": 7012
}

Déjà révoqué

HTTP/1.1 409 Conflict
Content-Type: application/json

{
  "errorMessage": "The certificate is already revoked.",
  "errorCode": 5013
}

Raisons de révocation prises en charge

L’API prend en charge les raisons de révocation spécifiées dans RFC 5280:

Valeur

Raison de révocation

Non spécifiée

Compromission de clé

Compromission de l’AC

Affiliation modifiée

Remplacé

Cessation d’activité

Certificat en attente

Retirer de la CRL

Privilège retiré

Compromission de l’AA

Mis à jour il y a 14 jours

Ce contenu vous a-t-il été utile ?