WebAuthn 是 FIDO 2.0 的组成部分.
WebAuthn 实现了体验最佳的、硬件级安全的网页免密登录。可利用 PC 端设备原生的设备加密和生物识别能力,进行网站的登录。
可应用的硬件类型有两种:
漫游认证器(Cross Platform),指需外部接入的跨不同设备使用的认证器,例如 YubiKey。
平台认证器(Platform),指浏览网页的设备自带的认证能力,例如 Mac Touch ID,Windows Hello。
更多说明请参考:WebAuthn 说明(外部链接)。
几乎所有现代浏览器均已支持 WebAuthn。若您希望检查浏览器版本兼容性,请点此(外部链接)查看。
登录效果演示
只需输入用户名,无需密码,即可完成安全登录。体验如下:
认证器注册
在使用认证器登录前,用户需要先将认证器与其账户绑定。
每位需要使用 WebAuthn 登录的用户,均应该先登录到【我的账户】页面,并在【安全信息】【WebAuthn 认证器】点击管理,在弹出的管理页面中注册新的认证器。
注册过程只需一分钟。在点击注册认证器后,请用户按照浏览器提示完成即可,
注册完成后,处于启用状态的认证器即可用于登录。用户也可以对已注册的认证器进行管理。
请注意:管理员暂时无法对用户的认证器进行管理。注册和管理流程均需每位用户单独完成。
登录场景
场景 1 无密码登录
WebAuthn 最常用、最便捷的场景之一即是替代密码登录。
用户来到 IDaaS 登录页后,输入账户名称,选择一种 WebAuthn 认证方式进行验证,验证通过后登录应用。这一流程可适用于所有网页应用的登录。流程如下图:
IDaaS 管理员可在【登录】菜单中【通用配置】下看到【WebAuthn 认证器登录】的选项,默认处于禁用状态。只需要将其启用即可使用。
启用后,在登录页中即有 WebAuthn 登录选项。选择使用即可,参考下图(以使用 Mac TouchID 认证为例)。
IDaaS 会获取到指定账户的已注册认证器信息,若尚未注册,则会提示错误,无法使用。
场景2 二次认证 MFA
WebAuthn 最通用、最安全的场景之二即是二次认证。
用户在正常输入账密,如果二次认证开启,则会进入到二次认证流程。可选择使用 WebAuthn 认证器进行安全登录。流程如下图:
IDaaS 管理员可以在【登录】菜单中【二次认证】标签,勾选【WebAuthn】二次认证方式并保存,并确保二次认证已开启。
启用后,在用户使用账户登录后,即会来到二次认证页面。如果用户已注册 WebAuthn 认证器,将可选择 WebAuthn 方式进行快速、安全的身份验证,参考下图(以使用 Mac TouchID 认证为例)。