Fonctions de carte intelligente prises en charge sur Mac
macOS 10.15 ou ultérieur inclut la prise en charge intégrée des capacités suivantes :
Authentification : LoginWindow, PKINIT, SSH, Économiseur d’écran, Safari, dialogues d’autorisation et dans les apps tierces compatibles avec CryptoTokenKit
Signature : Mail et les apps tierces compatibles avec CryptoTokenKit
Chiffrement : Mail, Trousseaux d’accès et les apps tierces compatibles avec CryptoTokenKit
Remarque : Si votre organisation a utlisé un logiciel tiers antérieurs à macOS 10.15, n’oubliez pas que la prise en charge de l’ancien module tokend a été désactivée et les solutions basées sur tokend ne sont plus disponibles.
Approvisionnement en cartes PIV
Pour utiliser les cartes intelligentes sous macOS, les certificats appropriés doivent être insérés dans les logements 9a (authentification PIV) et 9d (gestion des clés). Il est possible d’approvisionner un certificat dans le logement 9c (signature numérique) si des fonctions telles que la signature de courriel ou de document sont nécessaires.
Lors de l’utilisation de la correspondance d’attributs (voir ci-dessous) avec Active Directory, le nom principal NT du certificat d’authentification PIV et la valeur stockée dans l’attribut dsAttrTypeStandard:AltSecurityIdentities d’ActiveDirectory doivent correspondre en respectant la casse.
Authentification
Les cartes intelligentes peuvent être utilisées pour l’identification à deux facteurs. Les deux facteurs comprennent « quelque chose que vous avez » (la carte) et « quelque chose que vous savez » (le NIP) pour déverrouiller la carte. macOS 10.12.4 ou une version ultérieure est doté de la prise en charge native de l’authentification par carte intelligente et connexion ainsi que de l’authentification aux sites Web par certificat client à l’aide de Safari. macOS prend aussi en charge l’authentification Kerberos à l’aide de paires de clés (PKINIT) pour l’authentification unique aux services pris en charge par Kerberos.
Remarque : Assurez-vous que la carte intelligente est provisionnée adéquatement d’un certificat d’autorisation et d’une clé pour le chiffrement, si elle est utilisée pour la connexion au système. La clé de chiffrement est utilisée pour envelopper le mot de passe du trousseau, l’absence d’une telle clé entraîne des invites de trousseau répétées.
Signature numérique et chiffrement
Dans l’app Mail, l’utilisateur peut envoyer des messages qui sont signés et chiffrés de façon numérique. L’utilisation de cette fonctionnalité requiert un sujet d’adresse courriel sensible à la casse ou des noms alternatifs de sujets sur les certificats de signature numérique ou de chiffrement qui sont sur les jetons PIV attachés aux cartes intelligentes compatibles. Si un compte courriel configuré correspond à une adresse courriel sur un certificat de signature numérique ou de chiffrement sur un jetons PIV attaché, Mail affiche automatiquement le bouton de signature de courriel dans une nouvelle barre d’outils dans le message. Une icône de cadenas verrouillé indique que le message envoyé est chiffré à l’aide de la clé publique du destinataire.
Ajustement du trousseau
Pour la connexion au compte, la présence d’une clé de chiffrement, aussi appelée clé de gestion des clés, est requise pour utiliser la fonctionnalité d’ajustement du mot de passe du trousseau. En cas d’absence de la clé de gestion des clés, l’utilisateur est invité à plusieurs reprises à saisir le mot de passe de trousseau de session tout au long de la session de connexion, ce qui crée une mauvaise expérience pour l’utilisateur. De plus, cette utilisation d’un mot de passe peut poser problème dans les environnements où la carte intelligente est obligatoire. Si une clé de gestion des clés est présente lorsque l’utilisateur se connecte avec une carte intelligente, l’expérience du trousseau est similaire à celle d’une connexion basée sur un mot de passe dans la mesure où l’utilisateur n’est pas invité de manière répétée à saisir le mot de passe du trousseau de session.
Entité Carte intelligente
L’entité de carte intelligente sur le site Web Apple Developer contient des informations d’assistance pour la gestion des appareils mobiles (GAM) relative aux cartes intelligentes. La prise en charge des cartes intelligentes comprend la capacité à les autoriser, à les imposer, à autoriser le jumelage d’une carte intelligente par utilisateur, la vérification de la fiabilité des certificats et le retrait de jetons (verrouillage de l’économiseur d’écran).
Remarque : Les fournisseurs de GAM peuvent choisir de mettre en œuvre l’entité Carte intelligente. Pour découvrir si l’entité Carte intelligente est prise en charge par vos appareils, consultez la documentation de votre fournisseur de GAM.