# 🆕 SCEPman SaaS
space.vars.SCEPmanSAAS\_ProductName é uma implementação do SCEPman totalmente gerida, alojada e mantida inteiramente por nós. Está disponível como parte do RADIUSaaS & space.vars.SCEPmanSAAS\_ProductName Bundle, que combina ambos os serviços numa única subscrição. Isto elimina a necessidade de configurar e gerir a sua própria instância do SCEPman, oferecendo ao mesmo tempo autenticação baseada em certificados sem falhas para o seu ambiente RADIUS. O guia seguinte acompanha-o pelos passos iniciais de configuração para colocar a sua space.vars.SCEPmanSAAS\_ProductName instância em funcionamento com o RADIUSaaS
## Configuração space.vars.SCEPmanSAAS\_ProductName
{% hint style="info" %}
Se já estiver a utilizar uma implementação existente do SCEPman Enterprise no seu tenant com o RADIUSaaS, certifique-se de que consulta o nosso guia de migração: [migrar-do-scepman-enterprise](https://docs.radiusaas.com/pt/configuracao/scepman-saas/migrar-do-scepman-enterprise "mention")
{% endhint %}
{% stepper %}
{% step %}
### Registar space.vars.SCEPmanSAAS\_ProductName
Com uma space.vars.SCEPmanSAAS\_ProductName licença ativada, verá que a secção do menu em **Definições** > **SCEPman** contém opções para registar e configurar a sua CA do SCEPman.
No topo, tem a possibilidade de escolher a **Nome comum** bem como o **Organização** nome para a sua CA.
{% hint style="info" %}
O Common Name e a Organization formarão o assunto do certificado da CA durante o registo.
{% endhint %}
Ao clicar em **Registar**, a configuração será iniciada e o estado é apresentado acima. Após alguns minutos, a implementação deverá ter sido concluída e verá que o menu principal do RADIUSaaS contém agora uma secção para [**SCEPman**](https://docs.radiusaas.com/pt/portal-de-administracao/scepman).
{% tabs %}
{% tab title="Estado" %}
O **Estado** a página mostra o estado atual da CA e das suas integrações, bem como os URLs de endpoint de que precisa para solicitar certificados.
{% endtab %}
{% tab title="Gerir Certificados" %}
Em **Gerir Certificados** pode navegar pelos certificados emitidos, verificar a sua validade e também tem a opção de os revogar.
{% endtab %}
{% tab title="Solicitar Certificados" %}
Em **Solicitar Certificados**, pode solicitar diferentes tipos de certificados para registo e instalação manual ou assinar CSRs.
{% hint style="info" %}
Dê uma vista de olhos na documentação dedicada do [Certificate Master](https://docs.scepman.com/certificate-management/certificate-master) para obter mais informações sobre os diferentes tipos de certificados que pode solicitar aqui.
{% endhint %}
{% endtab %}
{% tab title="Tarefas" %}
O **Tarefas** a secção mostra o estado atual do Certificate Master e ligações para as secções permitidas pela sua função.
{% endtab %}
{% endtabs %}
{% hint style="success" %}
O SCEPman está agora implementado e pronto para emitir certificados!
{% endhint %}
{% endstep %}
{% step %}
### Ligar o SCEPman ao seu Azure Tenant
{% hint style="info" %}
Só precisará de ligar o SCEPman ao seu Azure tenant se pretender implementar certificados através do Intune ou do endpoint StaticAAD.
{% endhint %}
Na maioria dos cenários, vai querer que o SCEPman possa emitir certificados usando perfis SCEP do Intune e também revogar certificados automaticamente, se um dispositivo tiver sido apagado, por exemplo.
Para que isto funcione como pretendido, o SCEPman requer funções específicas no seu tenant. Isto pode ser feito através do consentimento à nossa aplicação empresarial multi-tenant ou fornecendo você mesmo um registo de aplicação com as permissões necessárias.
#### Confirmar Tenant
{% hint style="info" %}
Recomendamos a abordagem de Consentimento de Administrador / aplicação empresarial multi-tenant para se ligar ao seu Azure tenant, uma vez que não requer um segredo de cliente que tenha de ser monitorizado quanto à expiração.
{% endhint %}
O primeiro passo do **Consentimento de administrador** fluxo é introduzir o ID do seu tenant e confirmá-lo.
Ao clicar em **Confirmar Tenant** será redirecionado para a página de consentimento da Microsoft para autenticação e para aprovar inicialmente esta aplicação:
Ao aceitar este consentimento, a space.vars.SCEPmanSAAS\_ProductName aplicação empresarial será adicionada ao seu tenant, mas ainda não as permissões necessárias.
#### Consentimento de Administrador
Depois de confirmar o tenant, ao clicar em **Consentimento de Administrador** será novamente redirecionado para a página de consentimento da Microsoft e será pedida a sua confirmação se a aplicação deve receber as permissões listadas. Para mais informações sobre as permissões necessárias, consulte as nossas [Perguntas e Respostas de Segurança e Privacidade](https://docs.radiusaas.com/pt/outro/faqs/security-and-privacy#id-5.-which-tenant-permissions-do-users-accessing-the-radiusaas-web-portal-have-to-consent-to).
{% hint style="success" %}
O SCEPman já consegue ligar-se ao seu Azure tenant e obter informações para associação de certificados!
{% endhint %}
{% endstep %}
{% step %}
### Ativar Endpoints de Certificado
Na maioria dos cenários, os certificados serão implementados através de perfis de certificado SCEP do Intune para acionar os dispositivos a solicitarem certificados ao SCEPman. Para ativar este endpoint, navegue novamente para **Definições** > **SCEPman** e ative a definição **Validação do Intune** e guarde a configuração:
#### Verificação de conformidade
Tal como com o SCEPman Enterprise, o SCEPman pode avaliar a validade de um certificado verificando o estado de conformidade de um dispositivo associado. Consulte a [documentação do SCEPman sobre esta definição](https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-compliancecheck) para mais informações.
#### Diretório de dispositivos
A seleção do diretório do dispositivo depende da associação específica que escolher no perfil SCEP:
* `{{DeviceId}}` será procurado em **Intune**
* `{{AAD_DeviceID}}` será procurado em **AAD** (Entra ID)
* `{{UserPrincipalName}}` (UPN) será procurado em **AAD** (Entra ID)
Consulte a [documentação do SCEPman](https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory) para mais detalhes sobre os diretórios de dispositivos.
{% hint style="success" %}
A validação do Intune está agora ativada e o respetivo endpoint de certificado está disponível!
{% endhint %}
{% endstep %}
{% step %}
### Implementar Certificados
Com a validação do Intune ativada, verá que a página de estado do SCEPman mostra agora um URL de endpoint para o Intune MDM:
Este URL será utilizado no perfil de certificado SCEP do Intune para o **SCEP Server URL**.
#### Certificado Raiz
Certifique-se de criar um perfil de **Certificado Confiável** no Intune antes de avançar para o perfil **Certificado SCEP** e implementar o certificado da CA de space.vars.SCEPmanSAAS\_ProductName nos seus clientes.
[Documentação do SCEPman: Certificado Raiz](https://docs.scepman.com/certificate-management/microsoft-intune/windows-10#root-certificate)
#### Certificado SCEP
O processo de criação do perfil de certificado SCEP é idêntico ao do SCEPman Enterprise.
[Documentação do SCEPman: SCEP - Intune - Windows](https://docs.scepman.com/certificate-management/microsoft-intune/windows-10)
{% hint style="success" %}
Os seus clientes deverão agora receber certificados emitidos pelo SCEPman!
{% endhint %}
{% endstep %}
{% endstepper %}
## Estabelecer Confiança
Para permitir que os dispositivos se autentiquem usando certificados da sua space.vars.SCEPmanSAAS\_ProductName CA e para permitir que os seus pontos de acesso estabeleçam ligações RadSec à sua instância do RADIUSaaS, terá de confiar no respetivo certificado da CA. Para isso, primeiro transfira o certificado da sua CA a partir da **SCEPman** > **Estado** .
Tendo o certificado da CA em vigor, navegue para **Definições** > **Certificados confiáveis** e adicione um novo certificado.
Carregue o ficheiro de certificado transferido e guarde:
{% hint style="success" %}
O RADIUSaaS aceitará agora as ligações recebidas que usem certificados emitidos pelo SCEPman!
{% endhint %}
## Ativar a Gestão do Certificado do Servidor RADIUSaaS
Depois de ter registado space.vars.SCEPmanSAAS\_ProductName, notará que a secção SCEPman Connection em **Definições** > **Definições do Servidor** permite pré-gerar um certificado e configurar uma ligação.
Nesta altura, já foi estabelecida uma ligação à sua instância do SCEPman e o RADIUSaaS pode solicitar certificados de servidor. A forma correta de prosseguir agora depende de se já utiliza o RADIUSaaS para autenticar clientes neste momento ou se esta é uma configuração nova.
#### Pré-gerar Certificado
O RADIUSaaS solicitará um certificado de servidor e adicioná-lo-á à lista de certificados, mas **não o ativará nem ativará a gestão automática.**
Caso tenha atualmente clientes a autenticar-se no RADIUSaaS, isto permite-lhe verificar se o seu perfil Wi-Fi tem os nomes corretos para validação do servidor, bem como o certificado raiz correto para validação do servidor.
#### Configurar Ligação
Se esta for uma configuração nova ou depois de verificar que os seus clientes usam a informação correta para validar o certificado do servidor, pode ativar a gestão automática do certificado do servidor ao clicar em **Configurar Ligação**.
{% hint style="success" %}
O RADIUSaaS solicitará agora um certificado de servidor ao SCEPman, ativá-lo-á e renová-lo-á atempadamente antes de expirar!
{% endhint %}
## Outros Endpoints de Certificado
A configuração de outros endpoints de certificado é semelhante à forma como são configurados com o SCEPman Enterprise. Certifique-se de consultar a documentação relevante:
#### Geral
{% content-ref url="../portal-de-administracao/settings/scepman" %}
[scepman](https://docs.radiusaas.com/pt/portal-de-administracao/settings/scepman)
{% endcontent-ref %}
#### Jamf
{% embed url="" %}
#### Validação estática
{% embed url="" %}
#### Validação Static-AAD
{% embed url="" %}
#### DC
{% embed url="" %}
## Registos
Pode encontrar todos os registos de aplicação que esperaria no SCEPman Enterprise na secção **Registos** . Estes incluem:
* Mensagens de Integridade do Serviço
* Certificados Emitidos
* Respostas OCSP
* Avisos e Erros durante a Validação e Emissão
