Macissa tuetut älykorttitoiminnot
macOS 10.15:ssä tai uudemmassa on sisäinen tuki seuraaville ominaisuuksille:
Todentaminen: LoginWindow, PKINIT, SSH, näytönsäästäjä, Safari, valtuutusvalintaikkunat ja muiden valmistajien apit, jotka tukevat CryptoTokenKitiä
Allekirjoitus: Mail ja muiden valmistajien apit, jotka tukevat CryptoTokenKitiä
Salaaminen: Mail, Avainnippu ja muiden valmistajien apit, jotka tukevat CryptoTokenKitiä
Huomaa: Jos organisaatiossa on käytetty muun valmistajan ohjelmistoa ennen macOS 10.15:tä, huomioi että vanha tokend-tuki on poistettu eikä tokend-pohjaisia ratkaisuja voida enää käyttää.
PIV-korttien provisiointi
Jotta älykortteja voidaan käyttää macOS:n kanssa, täytyy asiaankuuluvat varmenteet täyttää paikkaan 9a (PIV Authentication) ja 9d (Key Management). Jos tarvitaan sellaisia toimintoja kuin sähköpostin tai dokumenttien allekirjoittaminen, sitä varten tulee provisioida valinnainen varmenne paikkaan 9c (Digital Signing).
Kun käytetään attribuuttien vastaavuutta (käsitelty jäljempänä) Active Directoryn kanssa, PIV-todentamisvarmenteessa olevan NT Principal Name ‑nimen ja arvon, joka on tallennettu ActiveDirectory-attribuuttiin dsAttrTypeStandard:AltSecurityIdentities, täytyy täsmätä siten, että myös kirjainkoko on sama.
Todentaminen
Älykortteja voidaan käyttää kaksiosaiseen todennukseen. Kaksiosaisessa todennuksessa kortin lukituksen avaamiseen tarvitaan jokin fyysinen esine (kortti) ja jokin tieto (PIN-koodi). macOS 10.12.4:ssä ja uudemmissa on natiivituki älykortille ja kirjautumisen todentamiseen sekä asiakasvarmennepohjainen todentaminen verkkosivustoille Safaria käyttäen. macOS tukee myös Kerberos-todentamista avainpareilla (PKINIT), mikä mahdollistaa kertakirjautumisen Kerberosta tukeviin palveluihin.
Huomaa: Varmista, että älykortti on asianmukaisesti valmisteltu varmenteella ja salausavaimella, jos sitä käytetään järjestelmään kirjautumiseen. Salausavainta käytetään avainnipun salasanan ympäröimiseen. Salausavaimen puuttuminen aiheuttaa jatkuvia avainnippukehotteita.
Digitaalinen allekirjoitus ja salaus
Mail-apissa käyttäjä voi lähettää viestejä, jotka ovat digitaalisesti allekirjoitettuja ja salattuja. Ominaisuuden käyttäminen vaatii isot ja pienet kirjaimet erottelevan sähköpostiosoitekohteen tai kohteen vaihtoehtoiset nimet digitaalisissa allekirjoitus- ja salausvarmenteissa, jotka ovat liitetyissä PIV-tunnisteissa yhteensopivilla älykorteilla. Jos määritetty sähköpostitili vastaa liitetyssä PIV-tunnisteessa olevan digitaalisen allekirjoitus- tai salausvarmenteen sähköpostiosoitetta, Mail näyttää automaattisesti sähköpostiallekirjoituspainikkeen uuden viestin työkalupalkissa. Lukkokuvake osoittaa, että viesti lähetetään vastaanottajan julkisella avaimella salattuna.
Avainnipun salaaminen
Tilille sisäänkirjautumisessa vaaditaan salausavain eli avaintenhallinta-avain (key management key), jotta avainnipun salasanan salaustoiminto toimisi. Avaintenhallinta-avaimen puuttumisesta seuraa, että käyttäjältä pyydetään toistuvasti sisäänkirjautumisavainnipun salasanaa koko sisäänkirjautumisistunnon ajan, mikä tuottaa kehnon käyttäjäkokemuksen. Lisäksi tämä salasanan käyttö saattaa olla ongelma ympäristöissä, joissa älykortti on pakollinen. Jos avaintenhallinta-avain on olemassa, kun käyttäjä kirjautuu sisään älykortilla, avainnippukokemus on samanlainen kuin salasanaan perustuvassa sisäänkirjautumisessa siinä mielessä, että käyttäjältä ei pyydetä toistuvasti sisäänkirjautumisavainnipun salasanaa.
Älykortti-tietosisältö
Apple Developer ‑sivuston Smart Card ‑tietosisältösivulla on tukitietoja mobiililaitteiden hallinnan (MDM) älykorttimäärityksille. Älykorttien tuki sisältää mahdollisuuden sallia älykortit, pakottaa älykorttien käyttö ja sallia yksi älykortti käyttäjää kohden sekä varmenteiden luottamuksen tarkistamisen ja tunnisteen poistamisesta seuraavan toiminnon (lukitus näytönsäästäjään).
Huomaa: MDM-toimittajat voivat valita ottaa Älykortti-tietosisällön käyttöön. Jos haluat selvittää, tuetaanko Älykortti-tietosisältöä, tutustu MDM-toimittajasi dokumentaatioon.