Az intelligens kártyák támogatott funkciói Macen
A macOS 10.15 vagy újabb rendszer az alábbi funkciókhoz biztosít beépített támogatást:
Hitelesítés: Bejelentkezési ablak, PKINIT, SSH, képernyővédő, Safari, jogosultsággal kapcsolatos párbeszédpanelek és a CryptoTokenKitet támogató külső appok
Aláírás: Mail és a CryptoTokenKitet támogató külső alkalmazások
Titkosítás: Mail, Kulcskarika-hozzáférés és a CryptoTokenKitet támogató külső alkalmazások
Megjegyzés: Ha a szervezete a macOS 10.15 rendszer előtt harmadik fél által fejlesztett szoftvert használt, ügyeljen rá, hogy a régi tokenek támogatása le lesz tiltva, és a tokeneken
PIV-kártya előkészítése
Az intelligens kártyák macOS rendszerrel való használatához a megfelelő tanúsítványokat el kell helyezni a 9a foglalatban (PIV-hitelesítés) és a 9d foglalatban (kulcskezelés). Másik megoldásként tanúsítványt kell elhelyezni a 9c foglalatba (digitális aláírás), ha az az olyan funkciók, mint az e-mail és dokumentumok aláírása szükséges.
Amikor attribútumegyeztetést használ (az alábbiakban ismertetve) Active Directoryval, a PIV-hitelesítési tanúsítványban lévő NT-elöljáró nevének és a dsAttrTypeStandard:AltSecurityIdentities ActiveDirectory-attribútumban tárolt ártéknek meg kell egyeznie a kis- és nagybetűket figyelembe véve.
Hitelesítés
Az intelligens kártyák használhatók kétfaktoros hitelesítésre. A kártya feloldásához szükséges két lépcső a „fizikai eszköz” (kártya) és az „információ” (PIN-kód). A macOS 10.12.4 és újabb rendszerek natívan támogatják az intelligens kártyás és bejelentkezési hitelesítést, továbbá a klienstanúsítvány alapú hitelesítést a webhelyekhez a Safariban. Ezenkívül a macOS rendszer a kulcspárral (PKINIT) végzett Kerberos-hitelesítést is támogatja a Kerberos által támogatott szolgáltatásokba való egyszeri bejelentkezés érdekében.
Megjegyzés: Ügyeljen arra, hogy az intelligens kártya megfelelően legyen előkészítve mind tanúsítványhitelesítéssel, mind titkosítási kulccsal, ha a rendszerre történő bejelentkezéshez lesz használva. A titkosítási kulccsal a kulcskarika jelszavát lehet körbefuttatni. Ha nem áll rendelkezésre titkosítási kulcs, akkor ismétlődően megjelenik egy kulcskarikával kapcsolatos értesítés.
Digitális aláírás és titkosítás
A Mail appban a felhasználó digitálisan aláírt és titkosított üzeneteket küldhet. A funkció használatához fontos, hogy a digitális aláírásra és titkosításra használt tanúsítványok esetében a kis- és nagybetűket megkülönböztető e-mail-cím alanya vagy az alany alternatív nevei meg legyenek adva a kompatibilis intelligens kártyák csatolt PIV-tokenjein. Ha a konfigurált e-mail-fiók megfelel egy csatolt PIV-tokenen lévő, digitális aláírásra vagy titkosításra használt tanúsítvány e-mail-címének, akkor a Mail automatikus megjeleníti az e-mail aláírása gombot az új üzenet eszközsorában. A lezárt lakat ikon azt jelzi, hogy az üzenet a címzett nyilvános kulcsával titkosítva kerül elküldésre.
Kulcskarika körbefuttatása
A fiókokba történő bejelentkezés esetében egy titkosítási kulcs – más néven kulcskezelési kulcs – megléte szükséges, hogy a kulcskarikán lévő jelszó körbefuttatása működjön. A kulcskezelési kulcs hiányában a felhasználónak folyamatosan meg kell adnia a bejelentkezési kulcskarika jelszavát mindenhol a bejelentkezési folyamat során, ami rontja a felhasználói élményt. Ezenfelül a jelszó ilyen használata aggodalomra adhat okot az intelligens kártyát megkövetelő környezetekben. Ha jelen van egy kulcskezelési kulcs, amikor a felhasználó bejelentkezik egy intelligens kártyával, a kulcskarika használata hasonló a jelszóalapú bejelentkezéshez, ahol a felhasználónak nem kell többször egymás után megadnia a bejelentkezési kulcskarikajelszavát.
Az Intelligens kártya adatcsomag
Az Apple fejlesztői webhely Intelligens kártya adatcsomagja útmutatója támogatási információkat tartalmaz az intelligens kártyák mobileszköz-kezelési (MDM) megoldással történő kezeléséhez. Az intelligens kártyák támogatása a következő funkciókat foglalja magában: intelligens kártyák engedélyezése, intelligens kártyák érvényesítése, felhasználónként egy intelligens kártya párosításának engedélyezése, tanúsítványok megbízhatóságának ellenőrzése és tokeneltávolítási művelet (képernyővédő-zár).
Megjegyzés: Az MDM-forgalmazók választhatják az Intelligens kártya adatcsomag megvalósítását. Ha szeretné megtudni, hogy az Intelligens kártya adatcsomag támogatott-e, tekintse meg az MDM-szolgáltató dokumentációját.