WebAuthn是FIDO 2.0的組成部分.
WebAuthn實現了體驗最佳的、硬件級安全的網頁免密登錄。可利用PC端設備原生的設備加密和生物識別能力,進行網站的登錄。
可應用的硬件類型有兩種:
漫游認證器(Cross Platform),指需外部接入的跨不同設備使用的認證器,例如YubiKey。
平臺認證器(Platform),指瀏覽網頁的設備自帶的認證能力,例如Mac Touch ID,Windows Hello。
更多說明請參考:WebAuthn說明(外部鏈接)。
幾乎所有現代瀏覽器均已支持WebAuthn。若您希望檢查瀏覽器版本兼容性,請點此(外部鏈接)查看。
登錄效果演示
只需輸入用戶名,無需密碼,即可完成安全登錄。體驗如下:
認證器注冊
在使用認證器登錄前,用戶需要先將認證器與其賬戶綁定。
每位需要使用WebAuthn登錄的用戶,均應該先登錄到我的賬戶頁面,并在單擊管理,在彈出的管理頁面中注冊新的認證器。
注冊過程只需一分鐘。在單擊注冊認證器后,請用戶按照瀏覽器提示完成即可,
注冊完成后,處于啟用狀態的認證器即可用于登錄。用戶也可以對已注冊的認證器進行管理。
管理員暫時無法對用戶的認證器進行管理。注冊和管理流程均需每位用戶單獨完成。
登錄場景
場景1 無密碼登錄
WebAuthn最常用、最便捷的場景之一即是替代密碼登錄。
用戶來到IDaaS登錄頁后,輸入賬戶名稱,選擇一種WebAuthn認證方式進行驗證,驗證通過后登錄應用。這一流程可適用于所有網頁應用的登錄。流程如下圖:
IDaaS管理員可在登錄菜單中通用配置頁簽下看到WebAuthn 認證器登錄的選項,默認處于禁用狀態。只需要將其啟用即可使用。
啟用后,在登錄頁中即有WebAuthn登錄選項。選擇使用即可,參考下圖(以使用Mac TouchID認證為例)。
IDaaS會獲取到指定賬戶的已注冊認證器信息,若尚未注冊,則會提示錯誤,無法使用。
場景2 二次認證MFA
WebAuthn最通用、最安全的場景之二即是二次認證。
用戶在正常輸入賬密,如果二次認證開啟,則會進入到二次認證流程。可選擇使用WebAuthn認證器進行安全登錄。流程如下圖:
IDaaS管理員可以在登錄菜單中二次認證頁簽,勾選WebAuthn二次認證方式并保存,并確保二次認證已開啟。
啟用后,在用戶使用賬戶登錄后,即會來到二次認證頁面。如果用戶已注冊WebAuthn認證器,將可選擇WebAuthn方式進行快速、安全的身份驗證,參考下圖(以使用Mac TouchID認證為例)。
