RBAC do Gerenciador de Certificados

Quando os usuários acessam o SCEPman Certificate Master, seu papel determina as ações que podem executar e os certificados que podem ver. Os papéis são determinados através do Enterprise Application SCEPman-CertMaster no Microsoft Entra ID (Azure AD). Se você instalou o SCEPman antes da versão 2.5, é necessário executar novamente o CMDlet Complete-SCEPmanInstallation do módulo PS do SCEPman para ver os papéis no Portal do Microsoft Entra. Os papéis a seguir estão disponíveis:

Papéis disponíveis

• Admin.Full: Membros deste papel podem fazer qualquer coisa no SCEPman Certificate Master. Se versões futuras do SCEPman Certificate Master adicionarem novos recursos, os membros deste papel terão acesso a esses recursos.

• Manage.All: Membros deste papel podem ver e revogar todos os certificados. Isso inclui certificados no banco de dados do Certificate Master, bem como certificados registrados via Intune.

• Manage.All.Read: Embora os membros possam ver todos os certificados, eles não podem revogá-los.

• Manage.Intune: Membros podem ver e revogar certificados registrados via Intune.

• Manage.Intune.Read: Membros podem ver certificados registrados via Intune, mas não podem revogá-los.

• Manage.Storage: Membros podem ver e revogar certificados no banco de dados do Certificate Master.

• Manage.Storage.Read: Membros podem ver certificados no banco de dados do Certificate Master, mas não podem revogá-los.

• Request.All: Membros podem solicitar todos os tipos de certificados. Isso inclui enviar solicitações CSR, que podem ser de qualquer tipo. Se os usuários precisarem enviar solicitações CSR, este papel é necessário.

• Request.Client: As solicitações são limitadas a certificados de cliente, ou seja, certificados de dispositivo criados manualmente. Eles têm o Extended Key Usage (EKU) de Client Authentication e um sujeito personalizável.

• Request.CodeSigning: As solicitações podem ser apenas para certificados de Assinatura de Código.

• Request.Server: Membros podem solicitar apenas certificados de servidor. Eles possuem o EKU de Server Authentication.

• Request.SubCa: Membros podem solicitar certificados para CAs subordinadas. No entanto, o Extended Key Usage limita essas CAs a emitir apenas certificados de Server Authentication. Isso permite que sejam usadas para interceptação TLS, conforme utilizado em firewalls, mas não para outros fins. Isto é uma funcionalidade de segurança. Se você precisar de uma CA subordinada para outros fins, deve criar um CSR e enviá-lo ao Certificate Master, o que requer o Request.All papel.

• Request.User: Membros podem solicitar apenas certificados de usuário. Eles possuem o EKU de Client Authentication e um UPN escolhido pelo solicitante. A partir do SCEPman 2.6, o EKU Smart Card Logon também é possível. Tenha em mente que alguém com este papel pode solicitar certificados para outros usuários. Se você tiver Autenticação baseada em Certificado habilitada no AD ou AAD e adicionou a CA do SCEPman como confiável para esse fim no AD ou AAD, isso pode ser usado para se passar por outros usuários.

Atribuição de papéis

1

Navegar até SCEPman-CertMaster

Azure > Enterprise Applications > Limpar filtros > SCEPman-CertMaster

2

Atribuir um usuário/grupo

Navegue até Gerenciar > Usuários e Grupos e selecione os administradores desejados e seu papel. Pressione atribuir após os administradores e papéis terem sido selecionados.

3

Limpar o cache do navegador (Opcional)

Em alguns casos, as permissões de um administrador podem parecer as mesmas mesmo após suas permissões terem mudado. Quaisquer cookies do Certificate Master devem ser limpos para contornar esse problema.