# Autoatendimento de Registro

{% hint style="info" %}
Aplicável à versão 2.9 e superior do SCEPman
{% endhint %}

Para que os clientes possam emitir certificados para si próprios sem SCEP, podem usar a API REST do SCEPman. No entanto, não devem poder emitir qualquer certificado arbitrário, apenas certificados vinculados à sua própria identidade. Portanto, a API do SCEPman tem uma função que pode ser atribuída a utilizadores/grupos para permitir isso.

## Pré-requisitos

* Esta função está incluída a partir do SCEPman 2.9. Se instalou o SCEPman antes disso, precisa executar o [script de instalação](https://docs.scepman.com/pt/implantacao-do-scepman/permissions/post-installation-config#running-the-scepman-installation-cmdlet) novamente para que esta função apareça.

## Atribuir Permissões de Self Service

Pode verificar se a função Self Service existe no registo da aplicação SCEPman-api:

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FNKRfCaiolQQRMoVZ4KIu%2Fimage.png?alt=media&#x26;token=0237fecc-2935-47a5-8e06-39cb7ca2b772" alt=""><figcaption></figcaption></figure>

Pode criar atribuições de função para utilizadores e grupos na aplicação empresarial SCEPman-api.&#x20;

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FsTrrI2sHpugkm3U5fx6v%2Fimage.png?alt=media&#x26;token=23f31d76-bc00-418d-92c9-77274dddc286" alt=""><figcaption></figcaption></figure>

## Pedidos de Emissão de Certificados

Um utilizador com a função de self-service só pode emitir certificados com os seguintes atributos. (Estes são os mesmos atributos que selecionaria ao emitir certificados através de um perfil SCEP em [Intune ](https://docs.scepman.com/pt/gerenciamento-de-certificados/microsoft-intune)por exemplo). A validade do certificado ficará associada ao objeto do dispositivo no Intune ou no Entra ID, ou ao objeto do utilizador no Entra ID, de forma análoga aos certificados emitidos pelo Intune.

{% hint style="info" %}
Se estiver a utilizar o script de emissão fornecido pelo nosso [Secção Casos de Uso](https://docs.scepman.com/pt/use-cases), ele irá gerar automaticamente um pedido de acordo com estes requisitos.
{% endhint %}

### Certificados de dispositivo

Ou o Nome Alternativo do Assunto (SAN) deve incluir `IntuneDeviceID://<IntuneDeviceId>` como um URI, em que `<IntuneDeviceId>` sem as chavetas é o Device Id do dispositivo no Intune. Ou o campo CN do Subject deve ser o ID de dispositivo do Entra ID ou o Intune Device Id.

<table><thead><tr><th width="223">Campo</th><th>Valor</th></tr></thead><tbody><tr><td>Assunto</td><td><code>CN=&#x3C;AAD_Device_Id></code> ou <code>CN=&#x3C;DeviceId></code>, quando o dispositivo é um dispositivo pertencente ao utilizador.</td></tr><tr><td>SAN (URI)</td><td><code>IntuneDeviceId://&#x3C;IntuneDeviceId></code></td></tr><tr><td>Restrições Básicas</td><td><code>Tipo de Assunto=Entidade Final</code></td></tr><tr><td>EKUs</td><td><code>Autenticação de cliente, 1.3.6.1.5.5.7.3.2</code></td></tr></tbody></table>

### Certificados de utilizador

<table><thead><tr><th width="221">Campo</th><th>Valor</th></tr></thead><tbody><tr><td>Assunto</td><td><code>CN=&#x3C;DisplayName></code></td></tr><tr><td>SAN (Outro Nome/UPN)</td><td><code>&#x3C;UserPrincipalName></code></td></tr><tr><td>Restrições Básicas</td><td><code>Tipo de Assunto=Entidade Final</code></td></tr><tr><td>EKUs</td><td><code>Autenticação de cliente, 1.3.6.1.5.5.7.3.2</code></td></tr></tbody></table>