文档

高级:WebAuthn 安全登录

更新时间:

WebAuthn 是 FIDO 2.0 的组成部分.

WebAuthn 实现了体验最佳的、硬件级安全的网页免密登录。可利用 PC 端设备原生的设备加密和生物识别能力,进行网站的登录。

可应用的硬件类型有两种:

  • 漫游认证器(Cross Platform),指需外部接入的跨不同设备使用的认证器,例如 YubiKey。

  • 平台认证器(Platform),指浏览网页的设备自带的认证能力,例如 Mac Touch ID,Windows Hello。

更多说明请参考:WebAuthn 说明(外部链接)

几乎所有现代浏览器均已支持 WebAuthn。若您希望检查浏览器版本兼容性,请点此(外部链接)查看。

登录效果演示

只需输入用户名,无需密码,即可完成安全登录。体验如下(以使用 Mac TouchID 认证为例):

image.gif

认证器注册

在使用认证器登录前,用户需要先将认证器与其账户绑定。

每位需要使用 WebAuthn 登录的用户,均应该先登录到【我的账户】页面,并在【安全信息】【WebAuthn 认证器】点击管理,在弹出的管理页面中注册新的认证器。

image

注册过程只需一分钟。在点击注册认证器后,请用户按照浏览器提示完成即可,

注册完成后,处于启用状态的认证器即可用于登录。用户也可以对已注册的认证器进行管理。

请注意:管理员暂时无法对用户的认证器进行管理。注册和管理流程均需每位用户单独完成。

登录场景

场景 1 无密码登录

WebAuthn 最常用、最便捷的场景之一即是替代密码登录。

用户来到 IDaaS 登录页后,输入账户名称,选择一种 WebAuthn 认证方式进行验证,验证通过后登录应用。这一流程可适用于所有网页应用的登录。流程如下图:

image

IDaaS 管理员可在【登录】菜单中【通用配置】下看到【WebAuthn 认证器登录】的选项,默认处于禁用状态。只需要将其启用即可使用。

image

启用后,在登录页中即有 WebAuthn 登录选项。选择使用即可,参考下图(以使用 Mac TouchID 认证为例)。

image

IDaaS 会获取到指定账户的已注册认证器信息,若尚未注册,则会提示错误,无法使用。

场景2 二次认证 MFA

WebAuthn 最通用、最安全的场景之二即是二次认证。

用户在正常输入账密,如果二次认证开启,则会进入到二次认证流程。可选择使用 WebAuthn 认证器进行安全登录。流程如下图:

image

IDaaS 管理员可以在【登录】菜单中【二次认证】标签,勾选【WebAuthn】二次认证方式并保存,并确保二次认证已开启。

image

启用后,在用户使用账户登录后,即会来到二次认证页面。如果用户已注册 WebAuthn 认证器,将可选择 WebAuthn 方式进行快速、安全的身份验证,参考下图(以使用 Mac TouchID 认证为例)。

image

  • 本页导读 (0)
文档反馈