Podporované funkcie kariet Smart Card na Macu
Systém macOS 10.15 alebo novší obsahuje vstavanú podporu nasledujúcich funkcií:
Autentifikácia: Prihlasovacie okno, PKINIT, SSH, šetrič obrazovky, Safari, dialógové okná autorizácie a apky tretích strán podporujúce štandard CryptoTokenKit.
Podpisovanie: Mail a apky tretích strán, ktoré podporujú CryptoTokenKit.
Šifrovanie: Mail, Kľúčenka a apky tretích strán podporujúce štandard CryptoTokenKit.
Poznámka: Ak vaša organizácia používala softvér tretích strán skôr ako bol systém macOS 10.15, pamätajte, že podpora pre starší tokend bola ukončená a riešenia založené na ovládačoch tokend už nebudú k dispozícii.
Poskytovanie kariet PIV
Ak chcete používať s macOS smart cards, do slotov Slot 9a (PIV overenie) a 9d (správa kľúčov) musia byť vložené príslušné certifikáty. Voliteľne je certifikáty možné poskytnúť do slotu 9c (digitálne podpisovanie) v prípade, že sú potrebné funkcie ako je email alebo podpisovanie dokumentov.
Keď používate s Active Directory zhody atribútov, hlavné meno NT v certifikáte overenia PIV a hodnota uložená v atribúte ActiveDirectory dsAttrTypeStandard:AltSecurityIdentities sa musia zhodovať v zmysle malých a veľkých písmen.
Autentifikácia
Karty Smart card je možné používať na dvojfaktorovú autentifikáciu. Dva faktory predstavujú „niečo, čo máte” (karta) a „niečo, čo viete” (PIN) na odomknutie karty. Systém macOS 10.12.4 alebo novší natívne podporuje autentifikáciu pomocou kariet Smart Card, autentifikáciu pri prihlasovaní a autentifikáciu pomocou klientskeho certifikátu, ktoré využívajú webové stránky v Safari. Systém macOS podporuje aj autentifikáciu Kerberos pomocou párov kľúčov (PKINIT) na jednorazové prihlásenie do služieb s podporou Kerberosu.
Poznámka: V prípade kariet smart card používaných na prihlasovanie do systému nezabudnite na správne zriadenie autorizácie pomocou certifikátov aj kľúča na šifrovanie. Šifrovací kľúč sa používa na zabalenie hesla kľúčenky a ak šifrovací kľúč chýba, môžu sa opakovane zobrazovať hlásenia kľúčenky.
Digitálne podpisovanie a šifrovanie
V apke Mail môže užívateľ posielať správy, ktoré sú digitálne podpísané a šifrované. Používanie tejto funkcie vyžaduje rozlišovanie malých a veľkých písmen v predmetoch emailových adries a alternatívnych názvoch predmetov v certifikátoch na digitálne podpisovanie a šifrovanie, ktoré sú v pripojených PIV tokenoch na kompatibilných kartách Smart Card. Ak nakonfigurovaný emailový účet zodpovedá emailovej adrese na certifikáte digitálneho podpisovania alebo šifrovania na pripojenom PIV tokene, aplikácia Mail automaticky zobrazí tlačidlo na podpísanie emailu v paneli s nástrojmi novej správy. Ikona zamknutého zámku označuje, že správa bude odoslaná šifrovaná pomocou verejného kľúča príjemcu.
Zabalenie kľúčenky
Na prihlásenie účtu je nevyhnutná prítomnosť šifrovacieho kľúča (známeho aj ako kľúč správy kľúčov), aby mohla fungovať funkcia zabalenia hesla kľúčenky. Absencia kľúča správy kľúčov bude mať za následok, že užívateľ bude opakovane vyzvaný na prihlasovacie heslo kľúčenky počas relácie prihlásenia, čím sa zhorší užívateľská skúsenosť. Takéto používanie hesla môže byť navyše problémom pri prostrediach s povinnými smart card. Ak je kľúč správy kľúčov prítomný, keď sa užívateľ prihlási pomocou karty Smart Card, užívateľský zážitok s kľúčenkou je podobný ako pri prihlasovaní pomocou hesla, teda že užívateľ nebude opakovane vyzvaný na zadanie prihlasovacieho hesla kľúčenky.
Objem dát Smart Card
Informácie o podpore kariet Smart Card v prostredí správy mobilných zariadení (MDM) nájdete v popise objemu dát Smart Card na webovej stránke Apple Developer. Podpora kariet Smart Card zahŕňa možnosť tieto karty povoliť, vyžadovať, umožniť spárovanie každého užívateľa len s jednou kartou Smart Card, kontrolovať dôveryhodnosť certifikátov a používať akciu odstránenia tokenu (zámok šetriča obrazovky).
Poznámka: Predajcovia MDM sa môžu rozhodnúť implementovať objem dát Smart Card. Ak chcete zistiť, či je objem dát Smart Card podporovaný, prečítajte si dokumentáciu dodávateľa riešenia MDM.