Funciones de tarjeta inteligente compatibles en el Mac
macOS 10.15 o posterior incluye compatibilidad integrada con las siguientes funciones:
Autenticación: LoginWindow, PKINIT, SSH, Salvapantallas, Safari, diálogos de autorización y apps de terceros compatibles con CryptoTokenKit
Firma: Mail y aplicaciones de terceros compatibles con CryptoTokenKit
Encriptación: Mail, Acceso a Llaveros y aplicaciones de terceros compatibles con CryptoTokenKit
Nota: Si la organización ya utilizaba software de terceros antes de macOS 10.15, ten en cuenta que se ha retirado la compatibilidad con tokend antiguo y ya no están disponibles las soluciones basadas en tokend.
Aprovisionamiento de tarjetas PIV
Para usar tarjetas inteligentes con macOS, se deben rellenar certificados adecuados en la ranura 9a (autenticación PIV) y 9d (gestión de claves). Opcionalmente, se debe aprovisionar un certificado en la ranura 9c (firma digital) si se necesitan funciones como la firma de correos electrónicos y documentos.
Al usar la coincidencia de atributos (descrita más adelante) con Active Directory, el “Nombre principal de NT” en el certificado de “Autenticación PIV” y el valor almacenado en el atributo dsAttrTypeStandard:AltSecurityIdentities de Active Directory deben coincidir, y se distinguen mayúsculas y minúsculas.
Autenticación
Las tarjetas inteligentes se pueden usar para la autenticación de doble factor. Los dos factores empleados para desbloquear la tarjeta son “algo que tienes” (la tarjeta) y “algo que sabes” (el PIN). macOS 10.12.4 o posterior es compatible de serie tanto con la autenticación mediante tarjeta inteligente e inicio de sesión como con la autenticación basada en certificados de cliente para sitios web con Safari. macOS también permite autenticarse con Kerberos utilizando pares de claves (PKINIT) para el inicio de sesión único en servicios compatibles con Kerberos.
Nota: Asegúrate de que la tarjeta inteligente incluya un certificado de autorización y de encriptación si se utiliza para iniciar sesión en el sistema. La clave de encriptación se usa para proteger la contraseña del llavero; la falta de una clave de encriptación hace que aparezcan mensajes del llavero repetidamente.
Firma digital y encriptación
En la app Mail, el usuario puede enviar mensajes firmados digitalmente y encriptados. El uso de la función requiere que los certificados de firma digital y encriptación de los identificadores PIV vinculados con las tarjetas inteligentes compatibles incluyan nombres de sujeto o nombres alternativos de sujeto de dirección de correo electrónico con distinción de mayúsculas/minúsculas. Si una cuenta de correo electrónico configurada coincide con una dirección de correo electrónico en un certificado de firma digital o encriptación en un identificador PIV adjunto, Mail muestra automáticamente el botón de firma de correo electrónico en una barra de herramientas de mensaje nuevo. Un icono de candado cerrado indica que el mensaje se envía encriptado con la clave pública del destinatario.
Protección del llavero
Para iniciar sesión en la cuenta, se requiere la presencia de una clave de encriptación —también llamada clave de gestión de claves— para el funcionamiento de la característica de protección (wrapping) de contraseñas de llaveros. En ausencia de una clave de gestión de claves, se pide al usuario repetidamente que introduzca la contraseña del llavero de inicio de sesión a lo largo de la sesión, lo cual se traduce en una experiencia de usuario deficiente. Además, este uso de una contraseña puede ser motivo de inquietud en entornos donde sea obligatorio utilizar tarjetas inteligentes. Si hay una clave de gestión de claves cuando el usuario inicia sesión con una tarjeta inteligente, la experiencia con el llavero es parecida a un inicio de sesión con contraseña en el sentido de que no se pide al usuario repetidamente que introduzca la contraseña del llavero de inicio de sesión.
Carga “Tarjeta inteligente”
La carga “Tarjeta inteligente” del sitio web para desarrolladores de Apple contiene información de compatibilidad para el servicio de gestión de dispositivos móviles (MDM) de tarjetas inteligentes. La compatibilidad con tarjetas inteligentes incluye la capacidad de permitir tarjetas inteligentes, imponer su uso, permitir el enlace de una tarjeta inteligente por usuario, la comprobación de certificados de confianza y la acción de eliminación de identificadores (bloqueo del salvapantallas).
Nota: Los proveedores de MDM pueden elegir implementar la carga útil “Tarjeta inteligente”. Para ver si se admite la carga útil “Tarjeta inteligente”, consulta la documentación de tu proveedor de MDM.