Mac’te desteklenen akıllı kart işlevleri
macOS 10.15 veya daha yenisine sahip bir Mac şu yetenekler için yerleşik destek içerir:
Kimlik doğrulama: Oturum Açma Penceresi, PKINIT, SSH, Ekran Koruyucu, Safari, yetkilendirme sorgu kutuları ve CryptoTokenKit’i destekleyen üçüncü parti uygulamalarda
İmzalama: Mail ve CryptoTokenKit’i destekleyen üçüncü parti uygulamalar
Şifreleme: Mail, Anahtar Zinciri Erişimi ve CryptoTokenKit’i destekleyen üçüncü parti uygulamalar
Not: Kuruluşunuz, macOS 10.15’ten daha eski üçüncü parti bir yazılım kullanıyorsa eski tokend desteğinin etkisizleştirildiğini ve tokend tabanlı çözümlerin artık kullanılamadığını unutmayın.
PIV kartı sağlama
macOS ile akıllı kartları kullanmak için Yuva 9a (PIV Kimlik Doğrulama) ve 9d (Anahtar Yönetimi) uygun sertifikalarla doldurulmalıdır. İsteğe bağlı olarak, e-posta veya belge imzalama gibi işlevler gerekiyorsa yuva 9c’ye (Dijital İmzalama) bir sertifika sağlanmalıdır.
Active Directory ile eşleşen (aşağıda açıklanan şekilde) özellik kullanılırken, PIV Kimlik Doğrulama sertifikasındaki NT Ana Adı ve dsAttrTypeStandard:AltSecurityIdentities adlı ActiveDirectory özelliğinde saklanan değer büyük/küçük harf duyarlılığıyla eşleşmelidir.
Kimlik doğrulama
Akıllı kartlar, iki faktörlü kimlik doğrulama için kullanılabilir. İki faktör, kartın kilidini açmak için “sahip-olduğunuz-bir-şey” (kart) ve “bildiğiniz-bir-şey” (PIN) bilgilerini içerir. macOS 10.12.4 veya daha yenisine sahip bir Mac; akıllı kart ile kimlik doğrulama, oturum açma kimlik doğrulaması ve Safari kullanan web sitelerinde istemci sertifikası tabanlı kimlik doğrulama için yerleşik destek içerir. macOS, Kerberos destekli servislerde tek oturum açma için anahtar çiftlerini (PKINIT) kullanarak Kerberos kimlik doğrulamasını da destekler.
Not: Akıllı kart için hem sertifika yetkilendirmesinin hem de sistem oturumu açma için kullanılıyorsa şifreleme anahtarının düzgün bir şekilde sağlandığından emin olun. Şifreleme anahtarı anahtar zinciri parolasını paketlemek için kullanılır; şifreleme anahtarının eksikliği anahtar zinciri isteklerinin yinelenmesine neden olur.
Dijital imzalama ve şifreleme
Kullanıcı, Mail uygulamasında dijital imzalı ve şifreli iletiler gönderebilir. Bu özelliğin kullanımı, uyumlu akıllı kartlara ekli PIV jetonlarındaki dijital imzalama ve şifreleme sertifikalarında yer alan büyük-küçük harfe duyarlı e-posta adresi konusunu veya konu alternatif adlarını gerektirir. Ayarlanmış bir e-posta hesabı, ekli PIV jetonundaki dijital imzalama veya şifreleme sertifikasında yer alan bir e-posta adresi ile eşleşiyorsa Mail yeni ileti araç çubuğunda e-posta imzalama düğmesini otomatik olarak görüntüler. Kilitli bir kilit simgesi, iletinin alıcının genel anahtarı ile şifrelenerek gönderildiğini belirtir.
Anahtar zinciri paketleme
Hesapta oturum açmada, anahtar zinciri parola paketleme özelliğinin çalışması için anahtar yönetimi anahtarı olarak da bilinen bir şifreleme anahtarının varlığı gereklidir. Anahtar yönetimi anahtarının olmaması, kullanıcıya oturum boyunca oturum açma anahtar zinciri parolasının sürekli sorulmasına ve dolayısıyla kötü bir kullanıcı deneyimine neden olacaktır. Ek olarak, bir parolanın bu şekilde kullanılması akıllı kartın zorunlu olduğu ortamlar açısından sorun olabilir. Kullanıcı akıllı kart ile oturum açtığında bir anahtar yönetim anahtarı varsa anahtar zinciri deneyimi, kullanıcıya sürekli olarak oturum açma anahtar zinciri parolasının sorulmaması açısından parola tabanlı oturum açmaya benzer.
Smart Card verisi
Apple Geliştirici web sitesindeki Smart Card verisi akıllı kartların mobil aygıt yönetimi (MDM) için destek bilgilerini içerir. Akıllı kart desteği; akıllı kartlara izin verme, akıllı kartları zorunlu tutma, kullanıcı başına bir akıllı kart eşlemesine izin verme, sertifika güven denetimi ve jeton silindiğinde eylemi (ekran koruyucu kilidi) özelliklerini içerir.
Not: MDM satıcıları Smart Card verisini uygulamayı seçebilir. Smart Card verisinin desteklenip desteklenmediğini öğrenmek için MDM satıcınızın belgelerine bakın.