WebAuthn 是 FIDO 2.0 的組成部分.

WebAuthn 實現了體驗最佳的、硬體級安全的網頁免密登入。可利用 PC 端裝置原生的裝置加密和生物識別技術能力，進行網站的登入。

可應用的硬體類型有兩種：

• 漫遊認證器（Cross Platform），指需外部接入的跨不同裝置使用的認證器，例如 YubiKey。

• 平台認證器（Platform），指瀏覽網頁的裝置內建的認證能力，例如 Mac Touch ID，Windows Hello。

更多說明請參考：WebAuthn 說明（外部連結）。

幾乎所有現代瀏覽器均已支援 WebAuthn。若您希望檢查瀏覽器版本相容性，請點此（外部連結）查看。

登入效果示範

只需輸入使用者名稱，無需密碼，即可完成安全登入。體驗如下：

認證器註冊

在使用認證器登入前，使用者需要先將認證器與其賬戶綁定。

每位需要使用 WebAuthn 登入的使用者，均應該先登入到【我的賬戶】頁面，並在【安全資訊】【WebAuthn 認證器】點擊管理，在彈出的管理頁面中註冊新的認證器。

註冊過程只需一分鐘。在點擊註冊認證器後，請使用者按照瀏覽器提示完成即可，

註冊完成後，處於啟用狀態的認證器即可用於登入。使用者也可以對登入的認證器進行管理。

請注意：管理員暫時無法對使用者的認證器進行管理。註冊和管理流程均需每位使用者單獨完成。

登入情境

情境 1 無密碼登入

WebAuthn 最常用、最便捷的情境之一即是替代密碼登入。

使用者來到 IDaaS 登入頁後，輸入賬戶名稱，選擇一種 WebAuthn 認證方式進行驗證，驗證通過後登入應用。這一流程可適用於所有網頁應用的登入。流程如下圖：

IDaaS 管理員可在【登入】菜單中【通用配置】下看到【WebAuthn 認證器登入】的選項，預設處于禁用狀態。只需要將其啟用即可使用。

啟用後，在登入頁中即有 WebAuthn 登入選項。選擇使用即可，參考下圖（以使用 Mac TouchID 認證為例）。

IDaaS 會擷取到指定賬戶的登入認證器資訊，若尚未註冊，則會提示錯誤，無法使用。

情境2 二次認證 MFA

WebAuthn 最通用、最安全的情境之二即是二次認證。

使用者在正常輸入賬密，如果二次認證開啟，則會進入到二次認證流程。可選擇使用 WebAuthn 認證器進行安全登入。流程如下圖：

IDaaS 管理員可以在【登入】菜單中【二次認證】標籤，勾選【WebAuthn】二次認證方式並儲存，並確保二次認證已開啟。

啟用後，在使用者使用賬戶登入後，即會來到二次認證頁面。如果使用者登入 WebAuthn 認證器，將可選擇 WebAuthn 方式進行快速、安全的身分識別驗證，參考下圖（以使用 Mac TouchID 認證為例）。