Understøttede funktioner til Smart Card på Mac
macOS 10.15 og nyere versioner har indbygget understøttelse af følgende funktioner:
Godkendelse: LoginWindow, PKINIT, SSH, Skærmskåner, Safari, godkendelsesdialoger og apps fra tredjeparter, der understøtter CryptoTokenKit
Signering: E-mail- og tredjepartsapps, der understøtter CryptoTokenKit
Kryptering: Mail, Hovednøglering og tredjepartsapps, der understøtter CryptoTokenKit
Bemærk: Hvis din organisation har brugt tredjepartssoftware før macOS 10.15, er understøttelse af ældre tokend slået fra, og løsninger baseret på tokend er ikke længere tilgængelige.
Klargøring af PIV-kort
For at bruge Smart Cards med macOS skal de relevante certifikater udfyldes i Slot 9a (PIV Authentication) og 9d (Key Management). Hvis der er behov for funktioner som f.eks. e-mail eller signering af dokumenter, skal der også være et certifikat i slot 9c (Digital Signing).
Ved brug af matchning af egenskaber (diskuteres nedenfor) med Active Directory skal NT Principal Name i PIV Authentication-certifikatet og den værdi, der er gemt i ActiveDirectory-egenskaben dsAttrTypeStandard:AltSecurityIdentities, skelne mellem små og store bogstaver.
Godkendelse
Smart Cards kan bruges til tofaktorgodkendelse. De to faktorer er henholdsvis “noget, du har” (kortet), og “noget, du ved” (PIN-koden), som kan låse kortet op. macOS 10.12.4 og nyere versioner har indbygget understøttelse af Smart Card og logingodkendelse samt godkendelse baseret på klientcertifikater til websteder via Safari. macOS understøtter Kerberos-godkendelse vha. nøglepar (PKINIT) til Single sign-on på Kerberos-understøttede tjenester.
Bemærk: Sørg for, at dit Smart Card er korrekt forsynet med både et certifikat til godkendelse og en nøgle til kryptering, hvis det bruges til systemlogin. Krypteringsnøglen bruges til at indpakke adgangskoden til nøgleringen. Hvis der ikke er nogen krypteringsnøgle, giver det anledning til gentagne forespørgsler efter en nøglering.
Digital signering og kryptering
I appen Mail kan brugeren sende beskeder, der er signeret digitalt og krypteret. Brug af denne funktion kræver et e-mailadresseemne eller alternative navne på emner med forskel på store og små bogstaver på digitale signerings- eller krypteringscertifikater på tilknyttede PIV-tokens i kompatible Smart Cards. Hvis en konfigureret e-mailkonto svarer til en e-mailadresse på et digitalt signerings- eller krypteringscertifikat i et tilknyttet PIV-token, viser Mail automatisk knappen Signering af e-mail på værktøjslinjen i en ny besked. Hvis symbolet viser en låst hængelås, sendes beskeden krypteret med modtagerens offentlige nøgle.
Indpakning af nøglering
Når der logges ind på en konto, skal der forefindes en krypteringsnøgle – også kaldet en nøgle til nøgleadministration – for at funktionen til indpakning af adgangskoden til nøgleringen kan fungere. Hvis der mangler en nøgle til nøgleadministration, bliver brugeren gentagne gange bedt om adgangskoden til loginnøgleringen under loginsessionen, hvilket giver en dårlig brugeroplevelse. Desuden kan denne brug af en adgangskode være et problem i miljøer med obligatorisk brug af Smart Card. Hvis der findes en nøgle til nøgleadministration, når brugeren logger ind med et Smart Card, er nøgleringoplevelsen omtrent den samme som ved login med adgangskode, hvor brugeren ikke bliver bedt om adgangskoden til loginnøgleringen gentagne gange.
Smart Card-data
I Smart Card payload på Apple Developer-webstedet findes supportoplysninger om administration af mobile enheder (MDM) i forbindelse med Smart Cards. Understøttelse af Smart Card omfatter mulighed for at tillade Smart Cards, håndhæve brug af Smart Cards, tillade en Smart Card-pardannelse pr. bruger, tjekke certifikatgodkendelser og fjerne tokens (skærmskånerlås).
Bemærk: MDM-leverandører kan vælge af implementere dataene i Smart Card. Se MDM-leverandørens dokumentation for at få oplysninger om, om dataene i Smart Card understøttes.