وظائف البطاقات الذكية المدعومة على Mac
يتضمن macOS 10.15 أو أحدث دعمًا مضمنًا للإمكانات التالية:
المصادقة: LoginWindow و PKINIT و SSH وشاشة التوقف وسفاري ومربعات حوار التفويض وفي تطبيقات الجهات الخارجية التي تدعم CryptoTokenKit
التوقيع: البريد وتطبيقات الجهات الخارجية التي تدعم CryptoTokenKit
التشفير: البريد والوصول إلى سلسلة المفاتيح وتطبيقات الجهات الخارجية التي تدعم CryptoTokenKit
ملاحظة: إذا كانت مؤسستك تستخدم برامج تابعة لجهات خارجية أقدم من macOS 10.15، فضع في حسبانك أنه تم تعطيل دعم tokend القديم ولم تعد الحلول المستندة إلى tokend متاحة.
توفير بطاقة PIV
لاستخدام البطاقات الذكية مع macOS، يجب تعبئة الشهادات المناسبة في الفتحة 9a (مصادقة PIV) و 9d (إدارة المفاتيح). اختياريًا، يجب توفير الشهادة في الفتحة 9c (التوقيع الرقمي) إذا كانت الوظائف مثل البريد الإلكتروني أو توقيع المستند ضرورية.
عند استخدام مطابقة السمة (التي تمت مناقشتها أدناه) مع Active Directory، يجب أن يتطابق الاسم الرئيسي لـ NT في شهادة مصادقة PIV والقيمة المخزنة في سمة ActiveDirectory dsAttrTypeStandard:AltSecurityIdentities مع حساسية حالة الأحرف.
المصادقة
يمكن استخدام البطاقات الذكية للمصادقة بخطوتين. ويضم العاملان "شيئًا ما لديك" (البطاقة) ثم "شيئًا ما تعرفه" (رقم PIN) لفتح قفل البطاقة. يحتوي macOS 10.12.4 أو أحدث على دعم أساسي للبطاقة الذكية ومصادقة تسجيل الدخول، والمصادقة القائمة على شهادة العميل لمواقع الويب باستخدام سفاري. ويدعم macOS كذلك مصادقة Kerberos باستخدام أزواج المفاتيح (PKINIT) لتسجيل الدخول الموحد إلى الخدمات المدعومة من Kerberos.
ملاحظة: تأكد من تزويد البطاقة الذكية بكل من تخويل شهادة ومفتاح للتشفير بشكل صحيح، في حالة استخدامها لتسجيل الدخول إلى النظام. يُستخدم مفتاح التشفير لتغليف كلمة سر سلسلة المفاتيح، كما أن عدم وجود مفتاح تشفير يؤدي إلى تكرار مطالبات سلسلة المفاتيح.
التوقيع الرقمي والتشفير
في تطبيق البريد، يمكن للمستخدم إرسال الرسائل التي يتم توقيعها رقميًا وتشفيرها. يتطلب استخدام الميزة وجود موضوع عنوان بريد إلكتروني حساس لحالة الأحرف أو أسماء بديلة للموضوع في شهادات التوقيع الرقمي والتشفير على رموز PIV المرفقة في البطاقات الذكية المتوافقة. إذا تطابق حساب بريد إلكتروني تم تكوينه مع عنوان بريد إلكتروني على توقيع رقمي أو شهادة تشفير على رمز PIV مرفق، يعرض البريد تلقائيًا زر توقيع البريد الإلكتروني في شريط أدوات رسالة جديد. تشير أيقونة القفل المقفول إلى أنه قد تم إرسال الرسالة مشفرةً باستخدام المفتاح العام للمستلِم.
تغليف سلسلة المفاتيح
بالنسبة إلى تسجيل الدخول إلى الحساب، يعد وجود مفتاح تشفير—معروف أيضًا باسم مفتاح إدارة المفاتيح—مطلوبًا حتى تعمل ميزة التفاف كلمة سر سلسلة المفاتيح. يؤدي عدم وجود مفتاح إدارة المفاتيح إلى مطالبة المستخدم بشكل متكرر بكلمة سر سلسلة مفاتيح تسجيل الدخول طوال جلسة تسجيل الدخول، ما تنتج عنه تجربة مستخدم سيئة. بالإضافة إلى ذلك، قد يكون استخدام كلمة السر هذا أمرًا مهمًا في البيئات الإلزامية للبطاقة الذكية. إذا كان مفتاح إدارة المفاتيح موجودًا عندما يسجل المستخدم الدخول باستخدام بطاقة ذكية، فإن تجربة سلسلة المفاتيح تشبه تسجيل الدخول المستند إلى كلمة السر حيث لا تتم مطالبة المستخدم بشكل متكرر بكلمة سر سلسلة مفاتيح تسجيل الدخول.
حمولة البطاقة الذكية
تحتوي حمولة البطاقة الذكية في موقع ويب مطوري Apple على معلومات الدعم الخاصة بإدارة جهاز الجوال (MDM) للبطاقات الذكية. يتضمن دعم البطاقة الذكية إمكانية السماح بالبطاقات الذكية وفرض البطاقات الذكية والسماح بإقران بطاقة ذكية واحدة لكل مستخدم والتحقق من ثقة الشهادة وإجراء إزالة الرمز (قفل شاشة التوقف).
ملاحظة: يمكن لبائعي MDM اختيار تنفيذ حمولة البطاقة الذكية. لمعرفة ما إذا كانت حمولة البطاقة الذكية مدعومة، راجع وثائق بائع MDM.