RBAC do Certificate Master

Quando os utilizadores acedem ao SCEPman Certificate Master, a respetiva função determina as ações que podem executar e os certificados que podem ver. As funções são determinadas através da Enterprise Application SCEPman-CertMaster no Microsoft Entra ID (Azure AD). Se instalou o SCEPman antes da versão 2.5, precisa de executar novamente o CMDlet Complete-SCEPmanInstallation a partir do módulo SCEPman PS para ver as funções no Microsoft Entra Portal. As seguintes funções estão disponíveis:

Funções disponíveis

• Admin.Full: Os membros desta função podem fazer qualquer coisa no SCEPman Certificate Master. Se uma versão futura do SCEPman Certificate Master adicionar novas funcionalidades, os membros desta função terão acesso a essas funcionalidades.

• Manage.All: Os membros desta função podem ver e revogar todos os certificados. Isto inclui certificados na base de dados do Certificate Master, bem como certificados inscritos através do Intune.

• Manage.All.Read: Embora os membros possam ver todos os certificados, não os podem revogar.

• Manage.Intune: Os membros podem ver e revogar certificados inscritos através do Intune.

• Manage.Intune.Read: Os membros podem ver certificados inscritos através do Intune, mas não os podem revogar.

• Manage.Storage: Os membros podem ver e revogar certificados na base de dados do Certificate Master.

• Manage.Storage.Read: Os membros podem ver certificados na base de dados do Certificate Master, mas não os podem revogar.

• Request.All: Os membros podem solicitar todos os tipos de certificados. Isto inclui a submissão de pedidos CSR, que podem ser de qualquer tipo. Se os utilizadores precisarem de submeter pedidos CSR, esta função é necessária.

• Request.Client: Os pedidos estão limitados a certificados de cliente, ou seja, certificados de dispositivo criados manualmente. Têm a EKU de Autenticação de Cliente e um assunto personalizável.

• Request.CodeSigning: Os pedidos só podem ser para certificados de Code Signing.

• Request.Server: Os membros podem solicitar apenas certificados de servidor. Estes têm a EKU de Autenticação de Servidor.

• Request.SubCa: Os membros podem solicitar certificados para CAs Subordinadas. No entanto, a Extended Key Usage limita estas CAs a emitir apenas certificados de Autenticação de Servidor. Isto permite que sejam usadas para interceção TLS, como é usado em firewalls, mas não para outros fins. Esta é uma funcionalidade de segurança. Se necessitar de uma CA Subordinada para outros fins, tem de criar um CSR e submetê-lo ao Certificate Master, o que requer a Request.All função.

• Request.User: Os membros podem solicitar apenas certificados de utilizador. Estes têm a EKU de Autenticação de Cliente e um UPN escolhido pelo requerente. A partir do SCEPman 2.6, a EKU de Smart Card Logon também é possível. Tenha em atenção que alguém com esta função pode solicitar certificados para outros utilizadores. Se tiver a Autenticação Baseada em Certificado ativada no AD ou AAD e tiver adicionado a CA do SCEPman como uma entidade de confiança para este fim no AD ou AAD, isto pode ser usado para se passar por outros utilizadores.

Atribuição de Função

1

Navegue para SCEPman-CertMaster

Azure > Aplicações Empresariais > Limpar Filtros > SCEPman-CertMaster

2

Atribuir um Utilizador/Grupo

Navegue para Gerir > Utilizadores e Grupos e selecione os administradores pretendidos e a respetiva função. Prima atribuir depois de os administradores e as funções terem sido selecionados.

3

Limpar a cache do seu navegador Web (Opcional)

Em alguns casos, as permissões de um administrador podem parecer iguais mesmo depois de terem sido alteradas. Quaisquer cookies do Certificate Master devem ser eliminados para contornar este problema.