Funzionalità delle smart card supportate sul Mac
macOS 10.15 o versione successiva include il supporto integrato per le seguenti funzionalità:
Autenticazione: LoginWindow, PKINIT, SSH, salvaschermo, Safari, finestre di dialogo di autorizzazione e app di terze parti che supportano il framework CryptoTokenKit.
Firma: Mail e app di terze parti che supportano il framework CryptoTokenKit.
Crittografia: Mail, Accesso Portachiavi e app di terze parti che supportano il framework CryptoTokenKit.
Nota: se la tua organizzazione utilizzava un software di terze parti prima di macOS 10.15, tieni presente che il supporto per tokend è stato disabilitato e le soluzioni basate su tokend no sono più disponibili.
Provisioning scheda PIV
Per utilizzare le smart card con macOS, è necessario che lo slot 9a (autenticazione PIV) e 9d (gestione chiavi) siano popolati con i certificati adeguati. In via opzionale, anche lo slot 9c (firma digitale) dovrebbe essere fornito di un certificato, se è necessario utilizzare funzionalità come l’email o la firma digitale dei documenti.
Quando viene utilizzato il criterio di corrispondenza degli attributi (illustrato di seguito) con Active Directory, il nome principale NT nel certificato di autenticazione PIV e il valore archiviato nell’attributo ActiveDirectory dsAttrTypeStandard:AltSecurityIdentities devono corrispondere all’utilizzo di maiuscole/minuscole.
Autenticazione
Le smart card possono essere utilizzate per l’autenticazione a due fattori. I due fattori includono “qualcosa che hai” (la scheda) e “qualcosa che sai” (il PIN) per sbloccare la scheda. macOS 10.12.4 o versioni successive include il supporto nativo per l’autenticazione delle smart card e del login e per l’autenticazione ai siti web basata sui certificati client tramite Safari. macOS supporta anche l’autenticazione Kerberos tramite coppie di chiavi (PKINIT) per il Single Sign-On su servizi che supportano Kerberos.
Nota: assicurati che la smart card sia configurata correttamente con un certificato per l’autorizzazione e una chiave per la crittografia, se utilizzata per il login al sistema. La chiave di crittografia è utilizzata per incapsulare la password del portachiavi; la mancanza di una chiave di crittografia causerà ripetute richieste da parte del portachiavi.
Firma digitale e crittografia
Nell’app Mail l’utente può inviare messaggi con firma digitale e crittografati. L’uso di questa funzionalità richiede un oggetto degli indirizzi email che distingue maiuscole/minuscole o i nomi alternativi degli oggetti sui certificati di firma digitale e crittografia sui token PIV allegati in smart card compatibili. Se un account email configurato corrisponde a un indirizzo email su un certificato di firma digitale o un certificato di crittografia su un token PIV allegato, Mail visualizza automaticamente il pulsante per la firma digitale dell’email nella barra strumenti di un nuovo messaggio. L’icona di lucchetto chiuso indica che il messaggio viene inviato crittografato utilizzando la chiave pubblica del destinatario.
Wrapping del portachiavi
Per il login a un account, perché l’incapsulamento della password del portachiavi possa funzionare è necessaria la presenza di una chiave di crittografia (detta anche chiave per la gestione della chiave). Senza una chiave per la gestione della chiave all’utente verrà richiesto ripetutamente di inserire la password per il portachiavi di login nel corso dell’intera sessione di accesso, causando un’esperienza sgradevole. Inoltre, un tale utilizzo di una password potrebbe rappresentare una preoccupazione negli ambienti in cui deve l’utilizzo di una smart card è obbligatorio. Se una chiave per la gestione della chiave è presente quando l’utente accede con una smart card, l’esperienza del portachiavi è simile all’accesso basato su password, poiché non gli viene richiesto ripetutamente di immettere la password del portachiavi di login.
Payload smart Card
Il payload “Smart card” sul sito web di Apple Developer contiene informazioni per il supporto per la gestione MDM delle smart card. Il supporto per le smart card include la possibilità di consentire le smart card, rendere obbligatorio l’uso delle smart card, consentire l’abbinamento di una smart card per utente, controllare l’attendibilità dei certificati e scegliere l’azione da eseguire alla rimozione del token (blocco con salvaschermo).
Nota: i fornitori di servizi MDM possono scegliere di implementare il payload della smart card. Per scoprire se il payload della smart card è supportato, consulta la documentazione del fornitore della soluzione MDM.