WebAuthn 是 FIDO 2.0 的组成部分.

WebAuthn 实现了体验最佳的、硬件级安全的网页免密登录。可利用 PC 端设备原生的设备加密和生物识别能力，进行网站的登录。

可应用的硬件类型有两种：

• 漫游认证器（Cross Platform），指需外部接入的跨不同设备使用的认证器，例如 YubiKey。

• 平台认证器（Platform），指浏览网页的设备自带的认证能力，例如 Mac Touch ID，Windows Hello。

更多说明请参考：WebAuthn 说明（外部链接）。

几乎所有现代浏览器均已支持 WebAuthn。若您希望检查浏览器版本兼容性，请点此（外部链接）查看。

登录效果演示

只需输入用户名，无需密码，即可完成安全登录。体验如下（以使用 Mac TouchID 认证为例）：

认证器注册

在使用认证器登录前，用户需要先将认证器与其账户绑定。

每位需要使用 WebAuthn 登录的用户，均应该先登录到【我的账户】页面，并在【安全信息】【WebAuthn 认证器】点击管理，在弹出的管理页面中注册新的认证器。

注册过程只需一分钟。在点击注册认证器后，请用户按照浏览器提示完成即可，

注册完成后，处于启用状态的认证器即可用于登录。用户也可以对已注册的认证器进行管理。

请注意：管理员暂时无法对用户的认证器进行管理。注册和管理流程均需每位用户单独完成。

登录场景

场景 1 无密码登录

WebAuthn 最常用、最便捷的场景之一即是替代密码登录。

用户来到 IDaaS 登录页后，输入账户名称，选择一种 WebAuthn 认证方式进行验证，验证通过后登录应用。这一流程可适用于所有网页应用的登录。流程如下图：

IDaaS 管理员可在【登录】菜单中【通用配置】下看到【WebAuthn 认证器登录】的选项，默认处于禁用状态。只需要将其启用即可使用。

启用后，在登录页中即有 WebAuthn 登录选项。选择使用即可，参考下图（以使用 Mac TouchID 认证为例）。

IDaaS 会获取到指定账户的已注册认证器信息，若尚未注册，则会提示错误，无法使用。

场景2 二次认证 MFA

WebAuthn 最通用、最安全的场景之二即是二次认证。

用户在正常输入账密，如果二次认证开启，则会进入到二次认证流程。可选择使用 WebAuthn 认证器进行安全登录。流程如下图：

IDaaS 管理员可以在【登录】菜单中【二次认证】标签，勾选【WebAuthn】二次认证方式并保存，并确保二次认证已开启。

启用后，在用户使用账户登录后，即会来到二次认证页面。如果用户已注册 WebAuthn 认证器，将可选择 WebAuthn 方式进行快速、安全的身份验证，参考下图（以使用 Mac TouchID 认证为例）。