Berechtigungen (MDM)
Überblick
Diese Seite beschreibt die macOS-Systemberechtigungen, welche der IBI-aws Client für macOS für den ordnungsgemässen Betrieb benötigt.
Ziel der Vorabvergabe der Berechtigungen
Durch die Verteilung der Berechtigungen über MDM wird sichergestellt, dass:
keine Benutzerinteraktion erforderlich ist
das initiale Setup übersprungen werden kann (in Kombination mit den Defaults)
Verwendeter Payload
Der Payload ist eindeutig identifiziert und ausschliesslich für den IBI-aws Client für macOS vorgesehen.
PayloadIdentifier:
ibi.aws.client.mdm.tccPayloadDisplayName: IBI-aws Client – Permissions
<key>PayloadType</key>
<string>com.apple.TCC.configuration-profile-policy</string>
<key>PayloadIdentifier</key>
<string>ibi.aws.client.mdm.tcc</string>
<key>PayloadDisplayName</key>
<string>IBI-aws Client - Permissions</string>Konfigurierte Services
Bedienungshilfen
Konfiguration:
Identifier:
ibi.aws.clientIdentifierType:
bundleIDZugriff: erlaubt
Die Berechtigung wird explizit an die signierte Anwendung gebunden und über eine CodeRequirement abgesichert.
<key>Accessibility</key>
<array>
<dict>
<key>IdentifierType</key>
<string>bundleID</string>
<key>Identifier</key>
<string>ibi.aws.client</string>
<key>CodeRequirement</key>
<string>identifier "ibi.aws.client" and anchor apple generic and certificate leaf[subject.OU] = "B7QQ66KZ4Y"</string>
<key>Allowed</key>
<true/>
</dict>
</array>Automation (AppleEvents)
Aktuell werden folgende Zielanwendungen unterstützt:
Safari
AEReceiverIdentifier:
com.apple.SafariZugriff: erlaubt
Google Chrome
AEReceiverIdentifier:
com.google.ChromeZugriff: erlaubt
Die Berechtigung für Google Chrome kann unabhängig von einer installierten Chrome-Version vergeben werden. Ist Google Chrome nicht installiert, bleibt der Eintrag wirkungslos und verursacht keine Fehler.
<key>AppleEvents</key>
<array>
<!-- Safari Automation -->
<dict>
<key>IdentifierType</key>
<string>bundleID</string>
<key>Identifier</key>
<string>ibi.aws.client</string>
<key>CodeRequirement</key>
<string>identifier "ibi.aws.client" and anchor apple generic and certificate leaf[subject.OU] = "B7QQ66KZ4Y"</string>
<key>AEReceiverIdentifierType</key>
<string>bundleID</string>
<key>AEReceiverIdentifier</key>
<string>com.apple.Safari</string>
<key>AEReceiverCodeRequirement</key>
<string>identifier "com.apple.Safari" and anchor apple</string>
<key>Allowed</key>
<true/>
</dict>
<!-- Google Chrome Automation -->
<dict>
<key>IdentifierType</key>
<string>bundleID</string>
<key>Identifier</key>
<string>ibi.aws.client</string>
<key>CodeRequirement</key>
<string>identifier "ibi.aws.client" and anchor apple generic and certificate leaf[subject.OU] = "B7QQ66KZ4Y"</string>
<key>AEReceiverIdentifierType</key>
<string>bundleID</string>
<key>AEReceiverIdentifier</key>
<string>com.google.Chrome</string>
<key>AEReceiverCodeRequirement</key>
<string>identifier "com.google.Chrome" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] and certificate leaf[field.1.2.840.113635.100.6.1.13] and certificate leaf[subject.OU] = EQHXZ8M8AV</string>
<key>Allowed</key>
<true/>
</dict>
</array>Sicherheit und Signierung
Alle Berechtigungen sind zusätzlich über CodeRequirement-Einträge abgesichert. Dadurch wird sichergestellt, dass ausschliesslich die korrekt signierte Anwendung mit der Bundle-ID ibi.aws.client die Berechtigungen nutzen kann.
Dies verhindert, dass andere Anwendungen mit identischer Bundle-ID Zugriff auf die konfigurierten Services erhalten.
Zusammenspiel mit den Defaults
Die Berechtigungen stehen in direktem Zusammenhang mit den folgenden Defaults:
SkipAccessibilityPermissionCheckAtStartupSkipAutomationPermissionCheckAtStartup
Sind die entsprechenden Berechtigungen über MDM verteilt, können diese Defaults auf true gesetzt werden, dadurch werden diese Checks im Setup übersprungen.
Die Verteilung der Berechtigungen erfolgt ausschliesslich über MDM
Eine nachträgliche manuelle Anpassung durch Benutzer ist nicht vorgesehen