# 🆕 SCEPman SaaS
space.vars.SCEPmanSAAS\_ProductName est un déploiement SCEPman entièrement géré, hébergé et maintenu entièrement par nous. Il est disponible dans le cadre du RADIUSaaS & space.vars.SCEPmanSAAS\_ProductName Bundle, qui combine les deux services en un seul abonnement. Cela élimine la nécessité de configurer et de gérer votre propre instance SCEPman, tout en offrant une authentification transparente basée sur des certificats pour votre environnement RADIUS. Le guide suivant vous accompagne à travers les étapes de configuration initiale pour mettre votre space.vars.SCEPmanSAAS\_ProductName instance en service avec RADIUSaaS
## Configuration space.vars.SCEPmanSAAS\_ProductName
{% hint style="info" %}
Si vous utilisez déjà un déploiement SCEPman Enterprise existant dans votre tenant avec RADIUSaaS, assurez-vous de consulter notre guide de migration : [migrer-depuis-scepman-enterprise](https://docs.radiusaas.com/fr/configuration/scepman-saas/migrer-depuis-scepman-enterprise "mention")
{% endhint %}
{% stepper %}
{% step %}
### Inscrire space.vars.SCEPmanSAAS\_ProductName
Avec une space.vars.SCEPmanSAAS\_ProductName licence activée, vous verrez que la section du menu dans **Paramètres** > **SCEPman** contient des options pour inscrire et configurer votre CA SCEPman.
En haut, vous avez la possibilité de choisir le **Nom commun** ainsi que le **Organisation** nom de votre CA.
{% hint style="info" %}
Le nom commun et l’organisation formeront le sujet du certificat de la CA lors de l’inscription.
{% endhint %}
En cliquant sur **Inscrire**, la configuration démarrera et l’état sera affiché ci-dessus. Après quelques minutes, le déploiement devrait être terminé et vous verrez que le menu principal de RADIUSaaS contient désormais une section pour [**SCEPman**](https://docs.radiusaas.com/fr/portail-dadministration/scepman).
{% tabs %}
{% tab title="État" %}
Le **État** page affiche l’état actuel de la CA et de ses intégrations, ainsi que les URL des points de terminaison dont vous avez besoin pour demander des certificats.
{% endtab %}
{% tab title="GĂ©rer les certificats" %}
Sous **Gérer les certificats** vous pouvez parcourir les certificats émis, vérifier leur validité et également les révoquer si nécessaire.
{% endtab %}
{% tab title="Demander des certificats" %}
Sous **Demander des certificats**, vous pouvez demander différents types de certificats pour une inscription et une installation manuelles ou signer des CSR.
{% hint style="info" %}
Jetez un œil à la documentation dédiée [Certificate Master](https://docs.scepman.com/certificate-management/certificate-master) pour plus d’informations sur les différents types de certificats que vous pouvez demander ici.
{% endhint %}
{% endtab %}
{% tab title="Tâches" %}
Le **Tâches** section affiche l’état actuel de Certificate Master et des liens vers les sections autorisées par votre rôle.
{% endtab %}
{% endtabs %}
{% hint style="success" %}
SCEPman est maintenant déployé et prêt à émettre des certificats !
{% endhint %}
{% endstep %}
{% step %}
### Connecter SCEPman Ă votre tenant Azure
{% hint style="info" %}
Vous n’aurez besoin de connecter SCEPman à votre tenant Azure que si vous prévoyez de déployer des certificats via Intune ou le point de terminaison StaticAAD.
{% endhint %}
Dans la plupart des scénarios, vous voudrez que SCEPman puisse émettre des certificats à l’aide des profils Intune SCEP et révoquer automatiquement les certificats si un appareil a été réinitialisé, par exemple.
Pour que cela fonctionne comme prévu, SCEPman a besoin de rôles spécifiques dans votre tenant. Cela peut se faire soit en consentant à notre application d’entreprise multitenant, soit en fournissant vous-même une inscription d’application disposant des autorisations requises.
#### Confirmer le tenant
{% hint style="info" %}
Nous recommandons l’approche Consentement administrateur / application d’entreprise multitenant pour vous connecter à votre tenant Azure, car elle ne nécessite pas de secret client qui doit être surveillé pour son expiration.
{% endhint %}
La première étape du **Consentement administrateur** flux consiste à saisir l’ID de votre tenant et à le confirmer.
En cliquant sur **Confirmer le tenant** vous serez redirigé vers la page de consentement de Microsoft pour vous authentifier et approuver cette application initialement :
L’acceptation de ce consentement ajoutera l’application d’entreprise space.vars.SCEPmanSAAS\_ProductName à votre tenant, mais n’ajoutera pas encore les autorisations requises.
#### Consentement administrateur
Après avoir confirmé le tenant, en cliquant sur **Consentement administrateur** vous serez à nouveau redirigé vers la page de consentement de Microsoft et il vous sera demandé de confirmer si l’application doit recevoir les autorisations listées. Pour plus d’informations sur les autorisations requises, veuillez consulter nos [Questions et réponses sur la sécurité et la confidentialité](https://docs.radiusaas.com/fr/autre/faqs/security-and-privacy#id-5.-which-tenant-permissions-do-users-accessing-the-radiusaas-web-portal-have-to-consent-to).
{% hint style="success" %}
SCEPman est maintenant capable de se connecter à votre tenant Azure et de récupérer des informations pour la liaison de certificats !
{% endhint %}
{% endstep %}
{% step %}
### Activer les points de terminaison de certificats
Dans la plupart des scénarios, les certificats seront déployés en s’appuyant sur les profils de certificat Intune SCEP pour déclencher les appareils à demander des certificats à SCEPman. Pour activer ce point de terminaison, naviguez vers **Paramètres** > **SCEPman** à nouveau et activez le paramètre **Validation Intune** et enregistrez la configuration :
#### Vérification de conformité
Comme avec SCEPman Enterprise, SCEPman peut évaluer la validité d’un certificat en vérifiant l’état de conformité d’un appareil associé. Veuillez consulter la [documentation SCEPman sur ce paramètre](https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-compliancecheck) pour plus d’informations.
#### Annuaire des appareils
La sélection du répertoire d’appareils dépend de la liaison spécifique que vous choisissez dans le profil SCEP :
* `{{DeviceId}}` sera recherché dans **Intune**
* `{{AAD_DeviceID}}` sera recherché dans **AAD** (Entra ID)
* `{{UserPrincipalName}}` (UPN) sera recherché dans **AAD** (Entra ID)
Veuillez consulter la [documentation SCEPman](https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory) pour plus de détails sur les répertoires d’appareils.
{% hint style="success" %}
La validation Intune est maintenant activée et son point de terminaison de certificat est disponible !
{% endhint %}
{% endstep %}
{% step %}
### DĂ©ployer des certificats
Avec la validation Intune activée, vous verrez que la page d’état de SCEPman affiche désormais une URL de point de terminaison pour l’Intune MDM :
Cette URL sera utilisée dans le profil de certificat Intune SCEP pour le **URL du serveur SCEP**.
#### Certificat racine
Assurez-vous de créer un profil **Certificat approuvé** dans Intune avant de continuer vers le profil **Certificat SCEP** et de déployer le certificat CA de space.vars.SCEPmanSAAS\_ProductName sur vos clients.
[Documentation SCEPman : Certificat racine](https://docs.scepman.com/certificate-management/microsoft-intune/windows-10#root-certificate)
#### Certificat SCEP
Le processus de création du profil de certificat SCEP est identique à celui de SCEPman Enterprise.
[Documentation SCEPman : SCEP - Intune - Windows](https://docs.scepman.com/certificate-management/microsoft-intune/windows-10)
{% hint style="success" %}
Vos clients devraient maintenant recevoir des certificats Ă©mis par SCEPman !
{% endhint %}
{% endstep %}
{% endstepper %}
## Établir la confiance
Pour permettre aux appareils de s’authentifier à l’aide de certificats de votre space.vars.SCEPmanSAAS\_ProductName CA et permettre à vos points d’accès d’établir des connexions RadSec à votre instance RADIUSaaS, vous devrez faire confiance à son certificat de CA. Pour cela, téléchargez d’abord votre certificat de CA depuis le **SCEPman** > **État** .
Une fois le certificat de CA en place, allez dans **Paramètres** > **page Certificats de confiance** et ajoutez un nouveau certificat.
Téléversez votre fichier de certificat téléchargé et enregistrez :
{% hint style="success" %}
RADIUSaaS acceptera désormais les connexions entrantes utilisant des certificats émis par SCEPman !
{% endhint %}
## Activer la gestion du certificat de serveur RADIUSaaS
Après avoir inscrit space.vars.SCEPmanSAAS\_ProductName, vous remarquerez que la section SCEPman Connection sous **Paramètres** > **Paramètres du serveur** vous permet de pré-générer un certificat et de configurer une connexion.
Une connexion à votre instance SCEPman a déjà été établie à ce stade et RADIUSaaS peut demander des certificats de serveur. La bonne manière de procéder dépend désormais de savoir si vous utilisez déjà RADIUSaaS pour authentifier des clients à ce stade ou s’il s’agit d’une nouvelle configuration.
#### Pré-générer le certificat
RADIUSaaS demandera un certificat de serveur et l’ajoutera à la liste des certificats, mais **ne l’activera pas et n’activera pas la gestion automatique.**
Si vous avez actuellement des clients qui s’authentifient auprès de RADIUSaaS, cela vous permet de vérifier que votre profil Wifi contient les bons noms pour la validation du serveur ainsi que le bon certificat racine pour la validation du serveur.
#### Configurer la connexion
S’il s’agit d’une nouvelle configuration ou après avoir vérifié que vos clients utilisent les bonnes informations pour valider le certificat du serveur, vous pouvez activer la gestion automatique du certificat du serveur en cliquant sur **Configurer la connexion**.
{% hint style="success" %}
RADIUSaaS demandera désormais un certificat de serveur à SCEPman, l’activera et le renouvellera à temps avant son expiration !
{% endhint %}
## Autres points de terminaison de certificats
La configuration d’autres points de terminaison de certificats est similaire à la manière dont ils sont configurés avec SCEPman Enterprise. Assurez-vous de consulter la documentation pertinente :
#### Général
{% content-ref url="../portail-dadministration/settings/scepman" %}
[scepman](https://docs.radiusaas.com/fr/portail-dadministration/settings/scepman)
{% endcontent-ref %}
#### Jamf
{% embed url="" %}
#### Validation statique
{% embed url="" %}
#### Validation Static-AAD
{% embed url="" %}
#### DC
{% embed url="" %}
## Journaux
Vous pouvez trouver tous les journaux d’application que vous attendez dans SCEPman Enterprise dans la section **Journaux** . Ceux-ci incluent :
* Messages d’état du service
* Certificats Ă©mis
* RĂ©ponses OCSP
* Avertissements et erreurs pendant la validation et l’émission
