Überblick
Diese Seite beschreibt die macOS-Systemberechtigungen, welche der IBI-aws Client für macOS für den ordnungsgemässen Betrieb benötigt.
Ziel der Vorabvergabe der Berechtigungen
Durch die Verteilung der Berechtigungen über MDM wird sichergestellt, dass:
-
keine Benutzerinteraktion erforderlich ist
-
das initiale Setup übersprungen werden kann (in Kombination mit den Defaults)
Verwendeter Payload
Der Payload ist eindeutig identifiziert und ausschliesslich für den IBI-aws Client für macOS vorgesehen.
-
PayloadIdentifier:
ibi.aws.client.mdm.tcc -
PayloadDisplayName: IBI-aws Client – Permissions
<key>PayloadType</key>
<string>com.apple.TCC.configuration-profile-policy</string>
<key>PayloadIdentifier</key>
<string>ibi.aws.client.mdm.tcc</string>
<key>PayloadDisplayName</key>
<string>IBI-aws Client - Permissions</string>
Konfigurierte Services
Bedienungshilfen
Konfiguration:
-
Identifier:
ibi.aws.client -
IdentifierType:
bundleID -
Zugriff: erlaubt
Die Berechtigung wird explizit an die signierte Anwendung gebunden und über eine CodeRequirement abgesichert.
<key>Accessibility</key>
<array>
<dict>
<key>IdentifierType</key>
<string>bundleID</string>
<key>Identifier</key>
<string>ibi.aws.client</string>
<key>CodeRequirement</key>
<string>identifier "ibi.aws.client" and anchor apple generic and certificate leaf[subject.OU] = "B7QQ66KZ4Y"</string>
<key>Allowed</key>
<true/>
</dict>
</array>
Automation (AppleEvents)
Aktuell werden folgende Zielanwendungen unterstützt:
Safari
-
AEReceiverIdentifier:
com.apple.Safari -
Zugriff: erlaubt
Google Chrome
-
AEReceiverIdentifier:
com.google.Chrome -
Zugriff: erlaubt
Die Berechtigung für Google Chrome kann unabhängig von einer installierten Chrome-Version vergeben werden. Ist Google Chrome nicht installiert, bleibt der Eintrag wirkungslos und verursacht keine Fehler.
<key>AppleEvents</key>
<array>
<!-- Safari Automation -->
<dict>
<key>IdentifierType</key>
<string>bundleID</string>
<key>Identifier</key>
<string>ibi.aws.client</string>
<key>CodeRequirement</key>
<string>identifier "ibi.aws.client" and anchor apple generic and certificate leaf[subject.OU] = "B7QQ66KZ4Y"</string>
<key>AEReceiverIdentifierType</key>
<string>bundleID</string>
<key>AEReceiverIdentifier</key>
<string>com.apple.Safari</string>
<key>AEReceiverCodeRequirement</key>
<string>identifier "com.apple.Safari" and anchor apple</string>
<key>Allowed</key>
<true/>
</dict>
<!-- Google Chrome Automation -->
<dict>
<key>IdentifierType</key>
<string>bundleID</string>
<key>Identifier</key>
<string>ibi.aws.client</string>
<key>CodeRequirement</key>
<string>identifier "ibi.aws.client" and anchor apple generic and certificate leaf[subject.OU] = "B7QQ66KZ4Y"</string>
<key>AEReceiverIdentifierType</key>
<string>bundleID</string>
<key>AEReceiverIdentifier</key>
<string>com.google.Chrome</string>
<key>AEReceiverCodeRequirement</key>
<string>identifier "com.google.Chrome" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] and certificate leaf[field.1.2.840.113635.100.6.1.13] and certificate leaf[subject.OU] = EQHXZ8M8AV</string>
<key>Allowed</key>
<true/>
</dict>
</array>
Sicherheit und Signierung
Alle Berechtigungen sind zusätzlich über CodeRequirement-Einträge abgesichert. Dadurch wird sichergestellt, dass ausschliesslich die korrekt signierte Anwendung mit der Bundle-ID ibi.aws.client die Berechtigungen nutzen kann.
Dies verhindert, dass andere Anwendungen mit identischer Bundle-ID Zugriff auf die konfigurierten Services erhalten.
Zusammenspiel mit den Defaults
Die Berechtigungen stehen in direktem Zusammenhang mit den folgenden Defaults:
-
SkipAccessibilityPermissionCheckAtStartup -
SkipAutomationPermissionCheckAtStartup
Sind die entsprechenden Berechtigungen über MDM verteilt, können diese Defaults auf true gesetzt werden, dadurch werden diese Checks im Setup übersprungen.
-
Die Verteilung der Berechtigungen erfolgt ausschliesslich über MDM
-
Eine nachträgliche manuelle Anpassung durch Benutzer ist nicht vorgesehen