Funções de smart card compatíveis com o Mac
O macOS 10.15 ou posterior inclui compatibilidade integrada com as capacidades seguintes:
Autenticação: LoginWindow, PKINIT, SSH, Protetor de Tela, Safari, diálogos de autenticação e apps de terceiros compatíveis com CryptoTokenKit
Assinatura: Mail e apps de terceiros compatíveis com CryptoTokenKit
Criptografia: Mail, Acesso às Chaves e apps de terceiros compatíveis com CryptoTokenKit
Nota: se a sua organização usa software de terceiros com versões anteriores ao macOS 10.15, leve em consideração que a compatibilidade com o tokend antigo é desativada e as soluções com base em tokend deixam de estar disponíveis.
Aprovisionamento de cartões PIV
Para usar smart cards com o macOS, os certificados adequados devem ser colocados no Slot 9a (Autenticação PIV) e 9d (Gerenciamento de Chaves). Opcionalmente, um certificado deve ser colocado no slot 9c (Assinatura Digital) se funções como assinatura de e-mails e documentos forem necessárias.
Ao usar a correspondência de atributos (discutida abaixo) com Active Directory, o Nome Principal do NT no certificado de Autenticação PIV e o valor armazenado no atributo dsAttrTypeStandard:AltSecurityIdentities do ActiveDirectory devem corresponder, com distinção de maiúsculas.
Autenticação
Smart Cards podem ser usados para autenticação de dois fatores. Os dois fatores incluem “algo que você tem” (o cartão) e “algo que você sabe” (o PIN) para desbloquear o cartão. O macOS 10.12.4 ou posterior oferece suporte nativo a smart cards e autenticação de início de sessão, e autenticação com base em certificado de cliente para sites usando o Safari. O macOS também é compatível com a autenticação Kerberos usando pares de chaves (PKINIT) para início de sessão único em serviços compatíveis com Kerberos.
Nota: certifique-se de que o smart card tenha sido corretamente provisionado com um certificado de autorização e uma chave para criptografia, caso ele seja usado para o início de sessão no sistema. A chave de criptografia é usada para embalar a senha das chaves, e a ausência de uma chave de criptografia gera solicitações repetidas das chaves.
Assinatura digital e criptografia
No app Mail, o usuário pode enviar mensagens que são assinadas digitalmente e criptografadas. O uso desse recurso requer endereços de e-mail, assunto e nomes alternativos que diferenciam maiúsculas em certificados de assinatura digital e criptografia que estejam em tokens PIV anexados em smart cards compatíveis. Se uma conta de e-mail configurada coincidir com o endereço de e-mail em um certificado de assinatura digital ou criptografia em um token PIV anexado, o Mail mostrará automaticamente o botão de assinatura de e-mail em uma barra de ferramentas de nova mensagem. Um ícone de cadeado fechado indica que a mensagem é enviada criptografada com a chave pública do destinatário.
Embalagem de chaves
Para iniciar a sessão na conta, a presença de uma chave de criptografia (também conhecida como chave de gerenciamento de chaves) é necessária para que o recurso de embalagem de senha das chaves funcione. A ausência de uma chave de gerenciamento de chaves faz com que o usuário seja solicitado repetidamente a digitar a senha das chaves de início de sessão durante todo o processo de início de sessão, o que prejudica a experiência de uso. Além disso, esse tipo de uso de uma senha pode ser uma preocupação em ambientes com uso obrigatório de smart cards. Se uma chave de gerenciamento de chaves estiver presente quando o usuário iniciar a sessão com um smart card, ele não será solicitado repetidamente a digitar a senha das chaves de início de sessão, o que faz com que a experiência das chaves se assemelhe ao início de sessão com senha.
Payload Smart Card
O payload de Smart Card (em inglês) no site Apple Developer contém informações de compatibilidade para o gerenciamento de dispositivos móveis (MDM) de smart cards. A compatibilidade com smart cards inclui as capacidades de permitir smart cards, exigir smart cards, permitir o emparelhamento de um smart card por usuário, verificação de confiança de certificado e ação de remoção de token (bloqueio por protetor de tela).
Nota: os fornecedores de MDM podem optar por implementar o payload Smart Card. Para saber se há compatibilidade com o payload Smart Card, confira a documentação do fornecedor do MDM.