Ondersteunde smartcardfuncties op de Mac
macOS 10.15 of nieuwer biedt ingebouwde ondersteuning voor de volgende functies:
Authenticatie: Het inlogvenster, PKINIT, SSH, de schermbeveiliging, Safari, authenticatievensters en in apps van derden die CryptoTokenKit ondersteunen
Ondertekening: Mail en apps van derden die CryptoTokenKit ondersteunen
Encryptie: Mail, Sleutelhangertoegang en apps van derden die CryptoTokenKit ondersteunen
Opmerking: Als je organisatie vóór macOS 10.15 software van derden gebruikte, is de oude tokend-ondersteuning uitgeschakeld en zijn oplossingen op basis van tokend niet meer beschikbaar.
PIV-kaarten implementeren
Als je smartcards wilt gebruiken met macOS, moeten er geschikte certificaten worden ingevuld in slots 9a (PIV-authenticatie) en 9d (sleutelbeheer). Er moet ook een certificaat worden ingevuld in slot 9c (digitale ondertekening) als functies zoals ondertekening van e‑mail of documenten nodig zijn.
Bij gebruik van kenmerkenovereenkomst (zie verderop) met Active Directory moeten de NT-principalnaam in het certificaat voor PIV-authenticatie en de waarde in het Active Directory-kenmerk dsAttrTypeStandard:AltSecurityIdentities exact overeenkomen, dus ook het hoofdlettergebruik.
Authenticatie
Smartcards kunnen worden gebruikt voor twee-factor-authenticatie. De twee factoren bestaan uit "iets dat je hebt" (de kaart) en "iets dat je weet" (de pincode). Met behulp van beide factoren kan de kaart worden ontgrendeld. macOS 10.12.4 of nieuwer heeft ingebouwde ondersteuning voor authenticatie door middel van een smartcard of inloggegevens, en op clientcertificaten gebaseerde authenticatie voor websites in Safari. macOS ondersteunt ook Kerberos-authenticatie via sleutelparen (PKINIT) voor eenmalige aanmelding bij diensten die Kerberos ondersteunen.
Opmerking: Zorg ervoor dat een smartcard die wordt gebruikt om op het systeem in te loggen op de juiste wijze is voorzien van zowel certificaatautorisatie als een sleutel voor encryptie. Het sleutelhangerwachtwoord wordt ingepakt in de encryptiesleutel. Als de encryptiesleutel ontbreekt, wordt de gebruiker herhaaldelijk gevraagd om het wachtwoord voor de inlogsleutelhanger in te voeren.
Digitale ondertekening en encryptie
In de Mail-app kan de gebruiker berichten versturen die digitaal zijn ondertekend en versleuteld. Gebruik van deze functie vereist hoofdlettergevoelige namen of alternatieve namen van onderwerpen in e‑mailadressen die worden vermeld in certificaten voor digitale ondertekening en encryptie in bijgevoegde PIV-tokens die op compatibele smartcards staan. Als een geconfigureerde e‑mailaccount overeenkomt met een e‑mailadres in een certificaat voor digitale ondertekening of encryptie dat in een bijgevoegd PIV-token is opgenomen, wordt op de knoppenbalk voor een nieuw bericht automatisch een knop weergegeven waarmee het e‑mailbericht kan worden ondertekend. Een gesloten hangslotsymbool geeft aan dat het bericht eerst wordt versleuteld met de publieke sleutel van de geadresseerde voordat het wordt verstuurd.
Het inpakken van sleutelhangers
Voor het inloggen bij accounts is de aanwezigheid van een encryptiesleutel, een zogeheten sleutelbeheersleutel, noodzakelijk om wachtwoorden in de sleutelhanger te kunnen inpakken ('wrapping'). Het ontbreken van een sleutelbeheersleutel heeft tot gevolg dat gebruikers gedurende de inlogsessie herhaaldelijk hun wachtwoord uit de inlogsleutelhanger moeten invoeren, wat vervelend is voor de gebruikers. Dit gebruik van een wachtwoord kan bovendien een probleem zijn omgevingen waar smartcards verplicht zijn. Als een sleutelbeheersleutel aanwezig is wanneer de gebruiker inlogt met een smartcard, is de procedure via de sleutelhanger vergelijkbaar met het inloggen met een wachtwoord en hoeft de gebruiker niet herhaaldelijk het wachtwoord uit de inlogsleutelhanger in te voeren.
Smartcard-payload
De Smartcard-payload op de Apple Developer-website bevat ondersteuningsinformatie voor MDM (Mobile Device Management) van smartcards (Engelstalig). De ondersteuning voor smartcards maakt het mogelijk om smartcards toe te staan, smartcards te verplichten, één smartcardkoppeling per gebruiker toe te staan, te controleren of certificaten vertrouwd zijn en tokens te verwijderen (vergrendelde schermbeveiliging).
Opmerking: MDM-leveranciers kunnen ervoor kiezen om de payload 'Smartcard' te implementeren. Als je wilt weten of deze payload functie wordt ondersteund, raadpleeg je de documentatie van je MDM-leverancier.