Funções de smart card suportadas no Mac
O macOS 10.15 ou posterior inclui suporte integrado para as seguintes capacidades:
Autenticação: LoginWindow, PKINIT, SSH, proteção de ecrã, Safari, caixas de diálogo de autorização e aplicações de terceiros que suportem CryptoTokenKit
Assinatura: Mail e aplicações de terceiros que suportem CryptoTokenKit.
Cifragem: Mail, Acesso a Porta‑chaves e aplicações de terceiros que suportem CryptoTokenKit.
Nota: se a organização já estiver a usar software de terceiros anterior ao macOS 10.15, esteja ciente que o suporte para tokend de legado foi desativado e as soluções baseadas em tokend já não estão disponíveis.
Fornecimento de cartão PIV
Para usar smart cards com o macOS, os certificados adequados têm de ser preenchidos na ranhura 9a (autenticação PIV) e 9d (gestão de chaves). Opcionalmente, deve ser fornecido um certificado na ranhura 9c (assinatura digital) se forem necessárias funções como a assinatura de e-mail ou documentos.
Ao usar a correspondência de atributos (abordada abaixo) com o Active Directory, o Nome Principal de NT no certificado de autenticação PIV e o valor armazenado no atributo ActiveDirectory dsAttrTypeStandard:AltSecurityIdentities têm de corresponder com distinção entre maiúsculas e minúsculas.
Autenticação
Os smart cards podem ser usados para a autenticação de dois fatores. Os dois fatores incluem “algo que tem” (o cartão) e “algo que conhece” (o PIN) para desbloquear o cartão. O macOS 10.12.4 ou posterior tem suporte nativo para a autenticação com janela de início de sessão e smart card, e autenticação baseada em certificados de cliente para websites usando o Safari. O macOS também suporta a autenticação de Kerberos através de pares de chaves (PKINIT) para o início de sessão único em dispositivos com suporte de Kerberos.
Nota: certifique-se de que o smart card inclui um certificado para autorização e uma chave para cifragem, se for utilizado para início de sessão do sistema. A chave de cifragem é usada para ajustar a palavra-passe do porta-chaves; a falta de uma chave de cifragem origina pedidos repetidos ao porta-chaves.
Assinatura e cifragem digital
Na aplicação Mail, o utilizador pode enviar mensagens que são assinadas e cifradas digitalmente. A utilização da funcionalidade requer um sujeito do endereço de e-mail ou nomes alternativos do sujeito com distinção entre maiúsculas e minúsculas durante a assinatura digital e certificados de cifragem, os quais estão em tokens PIV anexos em smart cards compatíveis. Se uma conta de e-mail configurada corresponder a um endereço de e-mail numa assinatura digital ou certificado de cifragem num token PIV anexo, o Mail apresenta automaticamente um botão de assinatura de e-mail numa nova barra de ferramentas da mensagem. Um ícone de cadeado fechado indica que a mensagem é enviado cifrada com a chave pública do destinatário.
Ajuste do Porta-chaves
Para o início de sessão da conta é necessária a presença de uma chave de cifragem, também denominada chave de gestão de chaves, para a funcionalidade de ajuste da palavra-passe do porta-chaves à função. A falta da chave para gestão de chaves resulta no aviso repetido ao utilizador para introduzir a palavra-passe do porta-chaves de início de sessão durante a sessão de início de sessão, o que cria uma má experiência do utilizador. Além disso, esta utilização de uma palavra-passe pode ser motivo de preocupação em ambientes de smart card obrigatórios. Se uma chave para gestão de chaves estiver presente quando o utilizador inicia sessão com um smart card, a experiência do porta-chaves é semelhante a um início de sessão com palavra-passe em que não será pedido repetidamente ao utilizador a palavra-passe do porta-chaves de início de sessão.
Carga útil para smart card
A carga útil de smart card no site da Apple para Programadores contém informação de suporte para a gestão de dispositivos móveis (MDM) de smart cards. O suporte para smart card inclui a capacidade para permitir smart cards, impor smart cards, permitir um emparelhamento de smart card por utilizador, verificação da fidedignidade de certificados e ação de remoção de token (bloqueio da proteção de ecrã).
Nota: os fornecedores de MDM podem optar por implementar a carga útil de smart card. Para saber se a carga útil de smart card é compatível com os seus dispositivos, consulte a documentação do seu fornecedor de MDM.