Fungsi kad pintar yang disokong pada Mac
macOS 10.15 atau lebih baharu menyertakan sokongan dalaman untuk keupayaan berikut:
Pengesahan: LoginWindow, PKINIT, SSH, Penyelamat Skrin, Safari, dialog kebenaran dan dalam app pihak ketiga yang menyokong CryptoTokenKit
Penandatanganan: Mail dan app pihak ketiga yang menyokong CryptoTokenKit
Penyulitan: Mail, Akses Rantai Kunci dan app pihak ketiga yang menyokong CryptoTokenKit
Nota: Jika organisasi anda telah menggunakan perisian pihak ketiga lebih awal daripada macOS 10.15, perlu diingati bahawa sokongan tokend legasi telah dinyahdayakan dan penyelesaian berasaskan tokend tidak lagi tersedia.
Peruntukan kad PIV
Untuk menggunakan kad pintar dengan macOS, sijil yang bersesuaian mestilah diisi ke dalam Slot 9a (Pengesahan PIV) dan 9d (Pengurusan Kunci). Secara pilihan, sijil sepatutnya diperuntukkan ke dalam slot 9c (Penandatanganan Digital) jika fungsi seperti penandatanganan e-mel atau dokumen diperlukan.
Apabila menggunakan atribut yang sepadan (dibincangkan di bawah) dengan Active Directory, Nama Prinsipal NT dalam sijil dan nilai Pengesahan PIV yang disimpan dalam atribut ActiveDirectory dsAttrTypeStandard:AltSecurityIdentities mesti sepadan dengan kepekaan huruf besar/kecil.
Pengesahan
Kad Pintar boleh digunakan untuk pengesahan dua faktor. Dua faktor termasuk “sesuatu yang anda miliki” (kad) dan “sesuatu yang anda tahu” (PIN) untuk membuka kunci kad. macOS 10.12.4 atau lebih baharu menyertakan sokongan asli untuk pengesahan kad pintar dan log masuk, serta pengesahan berdasarkan sijil klien ke tapak web yang menggunakan Safari. macOS juga menyokong pengesahan Kerberos menggunakan pasangan kunci (PKINIT) untuk daftar diri tunggal ke perkhidmatan disokong Kerberos.
Nota: Pastikan kad pintar diperuntukkan dengan betul dengan kedua-dua sijil kebenaran dan kunci untuk penyulitan, jika digunakan untuk log masuk sistem. Kunci penyulitan digunakan untuk membalut kata laluan rantai kunci; kekurangan kunci penyulitan menyebabkan gesaan rantai kunci berulang.
Penandatanganan dan penyulitan digital
Dalam app Mail, pengguna boleh menghantar mesej yang ditandatangani dan disulitkan secara digital. Penggunaan ciri memerlukan subjek alamat e-mel sensitif huruf atau nama alternatif subjek pada tandatangan digital dan sijil penyulitan pada token PIV dilampirkan dalam kad pintar yang serasi. Jika akaun e-mel dikonfigurasi sepadan dengan alamat e-mel pada tandatangan digital atau sijil penyulitan pada token PIV yang dilampirkan, Mail memaparkan butang tandatangan e-mel secara automatik dalam bar alat mesej baharu. Ikon kunci dikunci menandakan yang mesej dihantar disulitkan dengan kunci awam penerima.
Pembalutan rantai kunci
Untuk log masuk akaun, kehadiran kunci penyulitan—juga dikenali sebagai kunci pengurusan utama—diperlukan untuk ciri pembalutan kata laluan rantai kunci untuk berfungsi. Ketiadaan kunci pengurusan utama menyebabkan pengguna digesa berulang kali untuk kata laluan rantai kunci log masuk menerusi sesi log masuk, mencipta pengalaman pengguna yang tidak bagus. Selain itu, penggunaan kata laluan ini mungkin menyebabkan kebimbangan dalam persekitaran mandatori kad pintar. Jika kunci pengurusan utama ada apabila pengguna log masuk dengan kad pintar, pengalaman rantai kunci ini serupa dengan log masuk berdasarkan kata laluan yang pengguna tidak digesa berulang kali untuk kata laluan rantai kunci log masuk.
Muat beban Kad Pintar
Muat beban Kad Pintar pada tapak web Pembangun Apple mengandungi maklumat sokongan untuk penyelesaian pengurusan peranti mudah alih (MDM) kad pintar. Sokongan kad pintar termasuklah keupayaan untuk membenarkan kad pintar, menguatkuasakan kad pintar, membenarkan satu pemasangan kad pintar setiap pengguna, penyemakan kepercayaan sijil dan tindakan pengeluaran token (kunci penyelamat skrin).
Nota: Vendor MDM boleh memilih untuk melaksanakan muat beban Kad Pintar. Untuk mengetahui jika muat beban Kad Pintar disokong, rujuk dokumentasi vendor MDM anda.