Funkce čipových karet podporované na Macu
Systémy verze macOS 10.15 nebo novější obsahují integrovanou podporu následujících funkcí:
Ověření totožnosti: Přihlašovací okno, PKINIT, SSH, spořič obrazovky, Safari, dialogová okna pro ověřování totožnosti a aplikace nezávislých vývojářů podporující CryptoTokenKit.
Podepisování: Mail a aplikace nezávislých vývojářů podporující CryptoTokenKit.
Šifrování: Mail, Klíčenka a aplikace nezávislých vývojářů podporující CryptoTokenKit.
Poznámka: Pokud organizace před nasazením systému macOS 10.15 používala software od nezávislých vývojářů, je nutné počítat s tím, že podpora starších ovladačů tokend byla ukončena a řešení založená na ovladačích tokend už nebudou k dispozici.
Zajištění karty PIV
Chcete-li v systému macOS používat čipové karty, je třeba do slotů 9a (ověřování PIV) a 9d (správa klíčů) zadat příslušné certifikáty. Volitelně by měl být do slotu 9c (digitální podepisování) předán certifikát v případě, že jsou potřeba funkce, jako je podepisování e-mailů nebo dokumentů.
Při použití porovnávání atributů (jak je popsáno níže) pomocí služby Active Directory se název NT Principal Name v certifikátu ověřování totožnosti PIV a hodnota uložená v atributu dsAttrTypeStandard:AltSecurityIdentities služby ActiveDirectory musejí shodovat i s ohledem na velká a malá písmena.
Ověřování totožnosti
Karty Smart Card lze využívat pro dvoufaktorové ověřování. K odemknutí karty je nutné splnit dva faktory: „něco mít“ (kartu) a „něco znát“ (PIN). Systémy macOS 10.12.4 a novější obsahují nativní podporu ověřování pomocí čipových karet, ověřování při přihlašování a ověřování pomocí certifikátu klienta, které využívají webové stránky v Safari. macOS podporuje také ověřování Kerberos s využitím párových klíčů (PKINIT) u služeb podporovaných jednotným přihlášením Kerberos.
Poznámka: U čipových karet používaných pro přihlašování k systému nezapomeňte na řádné zřízení ověřování pomocí certifikátů i šifrovacího klíče. Šifrovací klíč se používá k zapouzdření hesla ke svazku klíčů a jeho nepřítomnost způsobí opakované zobrazování výzvy k zadání tohoto hesla.
Digitální podepisování a šifrování
V aplikaci Mail mohou uživatelé posílat digitálně podepsané a zašifrované zprávy. Použití této funkce vyžaduje rozlišování malých a velkých písmen v předmětech e‑mailových adres a alternativních názvech předmětů u certifikátů pro digitální podepisování a šifrování v připojených PIV tokenech na kompatibilních čipových kartách. Pokud se některý nakonfigurovaný e‑mailový účet shoduje s e‑mailovou adresou na certifikátu digitálního podpisu a šifrování na připojeném tokenu PIV, Mail automaticky zobrazí tlačítko pro podepsání e‑mailu na nástrojovém panelu nové zprávy. Ikona zámku indikuje odeslání zprávy v zašifrované podobě s použitím veřejného klíče adresáta.
Zapouzdření svazku klíčů
Při přihlašování k účtu je podmínkou pro použití funkce zapouzdření hesla svazku klíčů přítomnost šifrovacího klíče, označovaného také jako klíč správy klíčů. Absence klíče správy klíčů vede k tomu, že uživatel je v průběhu přihlašování opakovaně vyzýván k zadání hesla do klíčenky, což zhoršuje komfort uživatelského prostředí. Kromě toho může v prostředí s povinným používáním čipových karet toto použití hesla představovat problém. Pokud je při přihlašování uživatele pomocí čipové karty přítomen klíč správy klíčů, je přihlašování pomocí klíčenky podobné jako přihlašování pomocí hesla, protože uživatel není opakovaně vyzýván k zadání hesla pro přihlašovací svazek klíčů.
Datová část pro čipové karty
Informace o podpoře čipových karet v prostředí správy mobilních zařízení (MDM) najdete v popisu datové části SmartCard na webových stránkách Apple Developer. Podpora čipových karet zahrnuje možnosti tyto karty povolit, vyžadovat, umožnit spárování každého uživatele jen s jednou čipovou kartou, kontrolovat důvěryhodnost certifikátů a používat akci odebrání tokenu (zámek spořiče obrazovky).
Poznámka: Dodavatelé MDM se mohou rozhodnout implementovat datovou část Smart Card. Informace o tom, zda je datová část Smart Card na vašich zařízeních podporována, najdete v dokumentaci od dodavatele služby MDM.