Smartkortfunksjoner som støttes på Mac
macOS 10.15 eller nyere har innebygd støtte for følgende funksjoner:
Autentisering: LoginWindow, PKINIT, SSH, skjermsparer, Safari, autoriseringsdialogruter og tredjepartsapper som støtter CryptoTokenKit
Signering: Mail og tredjepartsapper som støtter CryptoTokenKit
Kryptering: Mail, Nøkkelringtilgang og tredjepartsapper som støtter CryptoTokenKit
Merk: For organisasjonen din har brukt tredjepartsprogramvare eldre enn macOS 10.15, må du huske på at støtte for eldre tokend har blitt deaktivert, og løsninger basert på tokend er ikke lenger tilgjengelige.
Klargjøring av PIV-kort
For å bruke smartkort med macOS må de riktige sertifikatene populeres i Slot 9a (PIV Authentication) og 9d (Key Management). Eventuelt kan et sertifikat klargjøres i spor 9c (Digital Signing) hvis funksjoner som e-post- eller dokumentsignering trengs.
Ved bruk av attributtmatching (nevnt under) med Active Directory, vil NT Principal Name i PIV-autentiseringssertifikatet og verdien arkivert i ActiveDirectory attributtere dsAttrTypeStandard:AltSecurityIdentities måtte stemme med bokstavtypefølsomhet.
Autentisering
Smartkort kan brukes til tofaktorautentisering. De to faktorene inkluderer «noe du har» (kortet) og «noe du kjenner» (PIN-koden) for å låse opp kortet. macOS 10.12.4 eller nyere har innebygd støtte for smartkort og påloggingsautentisering og klientsertifikatbasert autentisering til nettsteder med Safari. macOS støtter også Kerberos-autentisering ved hjelp av nøkkelpar (PKINIT) for Single Sign On for tjenester med Kerberos-støtte.
Merk: Sørg for at smartkortet er riktig klargjort med både en sertifikatautorisering og en nøkkel for kryptering, hvis det brukes til systempålogging. Krypteringsnøkkelen brukes til å pakke nøkkelringpassordet, og mangelen på en krypteringsnøkkel forårsaker gjentatte nøkkelringmeldinger.
Digital signering og kryptering
I Mail-appen kan brukeren sende meldinger som er digitalt signert og kryptert. Bruk av funksjonen krever et e-postadresseemne eller alternative emnenavn som skiller mellom store og små bokstaver, på digitale signerings- og krypteringssertifikater som finnes på tilknyttede PIV-kjennetegn i kompatible smartkort. Hvis en konfigurert e-postkonto stemmer med en e-postadresse på et digitalt signerings- eller kryperingssertifikat på et tilknyttet PIV-kjennetegn, viser Mail automatisk e-postsigneringsknappen i verktøylinjen i en ny melding. Et låst låssymbol viser at meldingen sendes kryptert med mottakerens offentlige nøkkel.
Nøkkelringpakking
For kontopålogging kreves tilstedeværelsen av en krypteringsnøkkel – også kalt en nøkkeladministreringsnøkkel – for at passordpakkingsfunksjonen for nøkkelringer skal fungere. Hvis en nøkkeladministreringsnøkkel mangler, fører det til at brukeren stadig blir bedt om å oppgi passordet for påloggingsnøkkelringen gjennom hele påloggingsøkten, som skaper en dårlig brukeropplevelse. Denne bruken av et passord kan være upraktisk i miljøer med obligatoriske smartkort. Hvis en nøkkeladministreringsnøkkel er til stede når brukeren logger på med et smartkort, er nøkkelring-opplevelsen ganske lik som passordbasert pålogging med tanke på at brukeren ikke spørres om nøkkelringpassordet for pålogging på nytt.
Smartkortnyttelast
Smart Card-nyttelasten på Apple Developer-nettstedet inneholder støtteinformasjon for MDM for smartkort. Smartkortstøtte inkluderer muligheten til å tillate smartkort, håndheve smartkort, tillate én smartkortsammenkobling per bruker, kontroll av sertifikatgodkjenning og fjerning av kjennetegn (skjermsparerlås).
Merk: MDM-leverandører kan velge å implementere Smart Card-nyttelasten. Hvis du vil finne ut om Smart Card-nyttelasten støttes, slår du opp i dokumentasjonen som gjelder for MDM-leverandøren.