Fonctions de carte à puce prises en charge sur Mac
macOS 10.15 ou ultérieur inclut la prise en charge intégrée des fonctionnalités suivantes :
Authentification : LoginWindow, PKINIT, SSH, Économiseur d’écran, Safari, zones de dialogue d’autorisation et dans les apps tierces compatibles avec CryptoTokenKit
Signature : Mail et apps tierces compatibles avec CryptoTokenKit
Chiffrement : Mail, Trousseaux d’accès et apps tierces compatibles avec CryptoTokenKit
Remarque : si votre établissement utilisait un logiciel tiers avant macOS 10.15, gardez à l’esprit que la prise en charge des anciens jetons tokend a été désactivée et que les solutions basées sur tokend ne sont plus disponibles.
Approvisionnement de cartes PIV
Pour utiliser des cartes à puce avec macOS, les certificats adéquats doivent être renseignés dans l’emplacement 9a (authentification PIV) et 9d (gestion des clés). Au besoin, un certificat peut également être renseigné dans l’emplacement 9c (signature numérique) en cas de recours à des fonctions telles que la signature d’e-mails ou de documents.
Lors de l’utilisation de la mise en correspondance d’attributs (abordée ci-dessous) avec Active Directory, le Nom principal NT dans le certificat d’authentification PIV et la valeur stockée dans l’attribut Active Directory dsAttrTypeStandard:AltSecurityIdentities doivent correspondre avec respect de la casse.
Authentification
Les cartes à puce peuvent être utilisées pour l’identification à deux facteurs. Les deux facteurs comprennent « quelque chose en votre possession » (la carte) et « quelque chose que vous connaissez » (le code PIN) pour déverrouiller la carte. macOS 10.12.4 ou ultérieur inclut une prise en charge native de l’authentification par l’intermédiaire d’une carte à puce et d’informations de connexion, ainsi que l’authentification de certificat client pour les sites web via Safari. macOS prend également en charge l’authentification Kerberos à l’aide de paires de clés (PKINIT) pour l’authentification unique sur les services pris en charge par Kerberos.
Remarque : si votre carte à puce est utilisée pour la connexion au système, assurez-vous qu’elle est correctement approvisionnée à la fois avec un certificat d’autorisation et une clé de chiffrement. La clé de chiffrement sert à ajuster le mot de passe du trousseau. Si aucune clé de chiffrement n’est fournie, de nombreuses invites de trousseau apparaissent.
Signature numérique et chiffrement
Dans l’app Mail, l’utilisateur peut envoyer des messages qui disposent d’une signature numérique et qui sont chiffrés. L’utilisation de la fonctionnalité requiert un objet d’adresse e-mail sensible à la casse ou des noms alternatifs d’objet dans les certificats de chiffrement et les signatures numériques sur les jetons PIV joints dans les cartes à puce compatibles. Si un compte de messagerie électronique configuré correspond à une adresse e-mail dans une signature numérique ou un certificat de chiffrement dans un jeton PIV joint, Mail affiche automatiquement le bouton de signature d’e-mail dans une barre d’outils d’un nouveau message. L’icône d’un verrou fermé indique que le message est envoyé avec son contenu chiffré à l’aide de la clé publique du destinataire.
Ajustement du trousseau
Pour la connexion au compte, la présence d’une clé de chiffrement, désignée également par le terme clé de gestion des clés, est requise pour que la fonctionnalité d’ajustement du mot de passe du trousseau fonctionne. Dans le cas contraire, l’utilisateur est sans cesse invité à saisir le mot de passe du trousseau de session pendant la session de connexion, ce qui nuit à l’expérience utilisateur. En outre, cette utilisation d’un mot de passe peut poser problème dans des environnements imposant le recours à une carte à puce. Si une clé de gestion des clés est présente lorsque l’utilisateur se connecte à l’aide d’une carte à puce, l’expérience avec le trousseau est similaire au processus de connexion reposant sur un mot de passe en ce sens que l’utilisateur n’est pas sans cesse invité à saisir le mot de passe du trousseau de session.
Données utiles de carte à puce
Les données utiles de carte à puce sur le site web Apple Developer contiennent des informations d’assistance pour la gestion d’appareils à distance des cartes à puce. La prise en charge des cartes à puce inclut la possibilité d’autoriser des cartes à puce, d’appliquer des cartes à puce, d’autoriser un jumelage de carte à puce par utilisateur, la vérification des certificats de confiance et l’action de suppression des jetons (verrouillage de l’économiseur d’écran).
Remarque : les fournisseurs de solution MDM peuvent choisir d’implémenter les données utiles de carte à puce. Pour découvrir si les données utiles de carte à puce sont prises en charge, consultez la documentation de votre fournisseur de solution MDM.