WebAuthn是FIDO 2.0的组成部分.
WebAuthn实现了体验最佳的、硬件级安全的网页免密登录。可利用PC端设备原生的设备加密和生物识别能力,进行网站的登录。
可应用的硬件类型有两种:
漫游认证器(Cross Platform),指需外部接入的跨不同设备使用的认证器,例如YubiKey。
平台认证器(Platform),指浏览网页的设备自带的认证能力,例如Mac Touch ID,Windows Hello。
更多说明请参考:WebAuthn说明(外部链接)。
几乎所有现代浏览器均已支持WebAuthn。若您希望检查浏览器版本兼容性,请点此(外部链接)查看。
登录效果演示
只需输入用户名,无需密码,即可完成安全登录。体验如下:
认证器注册
在使用认证器登录前,用户需要先将认证器与其账户绑定。
每位需要使用WebAuthn登录的用户,均应该先登录到我的账户页面,并在
单击管理,在弹出的管理页面中注册新的认证器。注册过程只需一分钟。在单击注册认证器后,请用户按照浏览器提示完成即可,
注册完成后,处于启用状态的认证器即可用于登录。用户也可以对已注册的认证器进行管理。
管理员暂时无法对用户的认证器进行管理。注册和管理流程均需每位用户单独完成。
登录场景
场景1 无密码登录
WebAuthn最常用、最便捷的场景之一即是替代密码登录。
用户来到IDaaS登录页后,输入账户名称,选择一种WebAuthn认证方式进行验证,验证通过后登录应用。这一流程可适用于所有网页应用的登录。流程如下图:
IDaaS管理员可在登录菜单中通用配置页签下看到WebAuthn 认证器登录的选项,默认处于禁用状态。只需要将其启用即可使用。
启用后,在登录页中即有WebAuthn登录选项。选择使用即可,参考下图(以使用Mac TouchID认证为例)。
IDaaS会获取到指定账户的已注册认证器信息,若尚未注册,则会提示错误,无法使用。
场景2 二次认证MFA
WebAuthn最通用、最安全的场景之二即是二次认证。
用户在正常输入账密,如果二次认证开启,则会进入到二次认证流程。可选择使用WebAuthn认证器进行安全登录。流程如下图:
IDaaS管理员可以在登录菜单中二次认证页签,勾选WebAuthn二次认证方式并保存,并确保二次认证已开启。
启用后,在用户使用账户登录后,即会来到二次认证页面。如果用户已注册WebAuthn认证器,将可选择WebAuthn方式进行快速、安全的身份验证,参考下图(以使用Mac TouchID认证为例)。