Funciones de tarjetas inteligentes compatibles con la Mac
macOS 10.15 o posterior incluye compatibilidad integrada con las siguientes características:
Autenticación: LoginWindow, PKINIT, SSH, Screensaver, Safari, cuadros de diálogo de autorización y apps de terceros compatibles con CryptoTokenKit.
Firma: Mail y apps de terceros compatibles con CryptoTokenKit
Encriptación: Mail, Acceso a Llaveros y apps de terceros compatibles con CryptoTokenKit
Nota: si tu organización ha estado usando un software de terceros previo a macOS 10.15, ten en cuenta que la compatibilidad con identificadores antiguos y las soluciones basadas en identificadores ya no están disponibles.
Suministro de tarjetas PIV
Para usar tarjetas inteligentes con macOS, es necesario rellenar los certificados adecuados en la ranura 9a (autenticación PIV) y 9d (administración de claves). Opcionalmente, hay que suministrar un certificado en la ranura 9c (firma digital) si se necesitan funciones como el correo electrónico o la firma de documentos.
Si se usa la concordancia de atributos (descrita a continuación) con Active Directory, el nombre principal de NT en el certificado de autenticación PIV y el valor almacenado en el atributo dsAttrTypeStandard:AltSecurityIdentities de ActiveDirectory deben coincidir por completo (con mayúsculas y minúsculas).
Autenticación
Las tarjetas inteligentes se pueden usar para la autenticación de doble factor. Los dos factores empleados para desbloquear la tarjeta son “algo que tienes” (la tarjeta) y “algo que sabes” (el PIN). macOS 10.12.4 o posterior incluye compatibilidad nativa con la autenticación mediante inicio de sesión y tarjetas inteligentes, y la autenticación basada en certificados de clientes para sitios web utilizando Safari. macOS también es compatible con la autenticación Kerberos mediante pares de claves (PKINIT) para el inicio de sesión único en servicios compatibles con Kerberos.
Nota: asegúrate de que la tarjeta inteligente esté configurada correctamente con un certificado para la autorización y una clave para la encriptación, si se usa para iniciar sesión en el sistema. La clave de encriptación se usa para proteger la contraseña del llavero; no contar con una clave de encriptación hace que aparezcan mensajes del llavero repetidamente.
Firma digital y encriptación
En la app Mail, el usuario puede enviar mensajes que están firmados digitalmente y encriptados. Para usar esta función se requiere un asunto de dirección de correo electrónico que distinga entre mayúsculas y minúsculas o nombres alternativos del sujeto en los certificados de firma digital y encriptación que se encuentran adjuntos a los identificadores PIV en las tarjetas inteligentes compatibles. Si una cuenta de correo electrónico configurada coincide con una dirección de correo electrónico en un certificado de firma digital o encriptación en un identificador PIV adjunto, Mail muestra automáticamente el botón de firma de correo electrónico en una barra de herramientas de mensaje nuevo. Un ícono de candado cerrado indica que el mensaje con la clave pública del destinatario se envía encriptado.
Protección de llaveros
Para iniciar sesión en la cuenta, se requiere la presencia de una clave de encriptación, también llamada clave de administración de claves, para el funcionamiento de la característica de protección (wrapping) de contraseñas de los llaveros. Si no se cuenta con una clave de administración de claves, se pide al usuario repetidamente la contraseña de inicio de sesión a lo largo de la sesión, lo que crea una mala experiencia de usuario. Además, usar una contraseña puede ser un problema en los entornos en los que la tarjeta inteligente es obligatoria. Si la clave de administración de claves está presente cuando el usuario inicia la sesión con una tarjeta inteligente, la experiencia del llavero es similar a la del inicio de sesión basado en la contraseña, ya que al usuario no se le pide repetidamente la contraseña del llavero de inicio de sesión.
Carga útil Tarjeta inteligente
La carga útil Tarjeta inteligente disponible en el sitio web de Apple Developer contiene información de soporte para la administración de dispositivos móviles (MDM) de tarjetas inteligentes. La compatibilidad con tarjetas inteligentes incluye la capacidad de permitir tarjetas inteligentes, requerir el uso de tarjetas inteligentes, permitir el emparejamiento de tarjetas inteligentes para cada uno de los usuarios, comprobar la confianza de los certificados y la eliminación de identificadores (bloqueo con protector de pantalla).
Nota: los proveedores de soluciones de MDM pueden optar por implementar la carga útil Tarjeta inteligente. Para averiguar si la carga útil Tarjeta inteligente es compatible, consulta la documentación de tu proveedor de MDM.