Funcționalități compatibile pentru smart carduri pe Mac
macOS 10.15 sau ulterior include compatibilitate integrată pentru următoarele funcționalități:
Autentificare: LoginWindow, PKINIT, SSH, Screensaver, Safari, ferestre de dialog pentru autorizare și aplicații terțe compatibile cu CryptoTokenKit
Semnare: Mail și aplicațiile terțe compatibile cu CryptoTokenKit
Criptare: Mail, Acces portchei și aplicațiile terțe compatibile cu CryptoTokenKit
Notă: Dacă organizația dvs. a utilizat software terț anterior versiunii macOS 10.15, compatibilitatea cu tokend vechi a fost dezactivată și soluțiile bazate pe tokend nu mai sunt disponibile.
Alocarea cardurilor PIV
Pentru a utiliza smart carduri cu macOS, certificatele adecvate trebuie să populeze slotul 9a (autentificare PIV) and 9d (gestionare chei). Opțional, un certificat ar trebui alocat în slotul 9c (semnare digitală), dacă sunt necesare funcții precum semnarea e-mailurilor sau documentelor.
Când se utilizează corespondența atributelor (discutată mai jos) cu Active Directory, numele principal NT din certificatul de autentificare PIV și valoarea stocată în atributul ActiveDirectory dsAttrTypeStandard:AltSecurityIdentities trebuie să corespundă cu sensibilitate la majuscule/minuscule.
Autentificarea
Smart cardurile pot fi utilizate pentru autentificarea cu doi factori. Cei doi factori includ “ceva ce aveți” (cardul) și “ceva ce cunoașteți” (PIN-ul) pentru deblocarea cardului. macOS 10.12.4 sau versiunile ulterioare oferă compatibilitate nativă pentru smart carduri și autentificarea în fereastra de login și cu autentificarea bazată pe certificat de client la site-uri web în Safari. În plus, macOS oferă compatibilitate cu autentificarea Kerberos folosind perechi de chei (PKINIT) pentru autentificarea unică la serviciile compatibile cu Kerberos.
Notă: Dacă este utilizat pentru login la sistem, asigurați‑vă de aprovizionarea corespunzătoare a smart cardului atât cu o autorizare certificată, cât și cu o cheie pentru criptare. Cheia de criptare este utilizată pentru împachetarea parolei portcheiului; lipsa unei chei de criptare duce la solicitări repetate ale portcheiului.
Semnarea și criptarea digitală
În aplicația Mail, utilizatorul poate trimite mesaje care sunt semnate digital și criptate. Utilizarea funcționalității necesită un subiect sensibil la majuscule/minuscule din mesajul de e-mail sau numele alternative din subiect ale certificatelor de criptare sau semnare digitală care se află pe tokenuri PIV atașate în smart cardurile compatibile. Dacă un cont de e-mail configurat corespunde cu o adresă de e-mail dintr-un certificare de criptare sau semnare digitală aferent unui token PIV atașat, aplicația Mail afișează automat butonul de semnare a e-mailului, într-o bară nouă de instrumente pentru mesaj. Pictograma unui lacăt încuiat arată faptul că mesajul este trimis criptat cu cheia publică a destinatarului.
Împachetarea portcheiului
Pentru loginul cu cont, prezența unei chei de criptare, numită și cheie de management al cheilor, este obligatorie pentru funcția de împachetare a parolei portcheiului. Absența cheii de management al cheilor face ca utilizatorului să i se solicite în mod repetat parola portcheiului de login pe tot parcursul sesiunii de login, creând o experiență neplăcută. În plus, această utilizare a unei parole poate fi un motiv de îngrijorare în mediile cu smart card obligatoriu. Dacă este prezentă o cheie de management al cheilor atunci când utilizatorul efectuează login cu un smart card, experiența portcheiului va fi similară unui login pe bază de parolă prin faptul că utilizatorului nu i se solicită în mod repetat parola portcheiului de login.
Sarcina Smart Card
Sarcina Smart Card de pe site-ul web al dezvoltatorilor Apple conține informații de asistență pentru gestionarea dispozitivelor mobile (MDM) a smart cardurilor. Compatibilitatea Smart card include posibilitatea de a permite smart carduri, de a impune smart carduri, de a permite asocierea unui smart card cu un utilizator, verificarea încrederii în certificat și acțiunea de eliminare a tokenului (blocare la screensaver).
Notă: Furnizorii MDM pot opta să implementeze sarcina Smart Card. Pentru a afla dacă sarcina Smart Card este acceptată, consultați documentația oferită de furnizorul soluției MDM.