Funktioner för smarta kort som stöds för Mac
macOS 10.15 och senare har inbyggt stöd för följande funktioner:
Autentisering: LoginWindow, PKINIT, SSH, skärmsläckare, Safari, dialogrutor för auktorisering och tredjepartsprogramvara med stöd för CryptoTokenKit
Signering: Mail och tredjepartsappar med stöd för CryptoTokenKit
Kryptering: Mail, Nyckelhanterare och tredjepartsappar med stöd för CryptoTokenKit
Obs! Om din organisation använt tredjepartsprogramvara innan macOS 10.15 ska du tänka på att föråldrat tokend-stöd har avaktiverats och att lösningar som bygger på tokend inte längre är tillgängliga.
Tillhandahållande av PIV-kort
För att använda smarta kort med macOS måste lämpliga certifikat tillhandahållas i kortplats 9a (PIV-autentisering) och 9d (nyckelhantering). Alternativt kan ett certifikat tillhandahållas i kortplats 9c (digital signering) om funktioner som signering av mejl eller dokument krävs.
När attributmatchning används (beskrivs nedan) med Active Directory måste NT-huvudnamnet i PIV-autentiseringscertifikatet och värdet som lagras i ActiveDirectory-attributet dsAttrTypeStandard:AltSecurityIdentities matcha avseende skiftläge.
Autentisering
Smarta kort kan användas för tvåfaktorsautentisering. De två faktorerna omfattar något du har (kortet) och något du vet (PIN-koden) för att låsa upp kortet. macOS 10.12.4 eller senare har inbyggt stöd för smarta kort och inloggningsautentisering samt autentisering som bygger på klientcertifikat till webbplatser i Safari. macOS stöder även Kerberos-autentisering med nyckelpar (PKINIT) för enkel inloggning till tjänster som stöder Kerberos.
Obs! Se till att det smarta kortet är förberett med både en certifikatautentisering och en nyckel för kryptering om det används för systeminloggning. Krypteringsnyckeln används till att paketera nyckelringslösenordet. Avsaknaden av en krypteringsnyckel orsakar upprepade nyckelringsdialogrutor.
Digital signering och kryptering
I appen Mail kan användare skicka digitalt signerade och krypterade mejl. Användning av funktionen kräver ett skiftlägeskänsligt e-postadressämne eller alternativa ämnesnamn på certifikat för digital signering eller kryptering som finns på bifogade PIV-token i kompatibla smarta kort. Om ett konfigurerat e-postkonto stämmer överens med en e-postadress på ett certifikat för digital signering eller kryptering på en bifogad PIV-token visar Mail automatiskt signeringsknappen för e-post i ett verktygsfält för nytt mejl. En låst låssymbol innebär att mejlet skickas krypterat med mottagarens publika nyckel.
Nyckelringspaketering
För kontoinloggning krävs en befintlig krypteringsnyckel (en nyckelhanteringsnyckel) för att nyckelringslösenordets paketeringsfunktion ska fungera. Avsaknad av en nyckelhanteringsnyckel leder till att användaren upprepade gånger uppmanas att ange lösenordet för inloggningsnyckelringen under inloggningsprocessen, vilket skapar en undermålig användarupplevelse. Dessutom kan sådan användning av ett lösenord utgöra ett problem i en miljö där smarta kort krävs. Om en nyckelhanteringsnyckel finns när användaren loggar in med ett smart kort blir nyckelringsupplevelsen snarlik den lösenordsbaserade inloggningen på så vis att användaren inte uppmanas att ange lösenordet för inloggningsnyckelringen upprepade gånger.
Nyttolasten Smart Card
Smart Card payload på Apple Developer-webbplatsen innehåller supportinformation för MDM-hantering av smarta kort. Stödet för smarta kort omfattar möjligheten att tillåta smarta kort, genomdriva användning av smarta kort, tillåta parkoppling av ett smart kort per användare, kontrollera certifikattillförlitlighet och ta bort token (skärmsläckarlås).
Obs! MDM-leverantörer kan välja att implementera nyttolasten Smart Card. Du tar reda på om nyttolasten Smart Card stöds genom att läsa i MDM-tillverkarens dokumentation.