全部產品
Search
文件中心

Identity as a Service:進階:WebAuthn安全登入

更新時間:Sep 24, 2024

WebAuthn是FIDO 2.0的組成部分.

WebAuthn實現了體驗最佳的、硬體級安全的網頁免密登入。可利用PC端裝置原生的裝置加密和生物識別技術能力,進行網站的登入。

可應用的硬體類型有兩種:

  • 漫遊認證器(Cross Platform),指需外部接入的跨不同裝置使用的認證器,例如YubiKey。

  • 平台認證器(Platform),指瀏覽網頁的裝置內建的認證能力,例如Mac Touch ID,Windows Hello。

更多說明請參考:WebAuthn說明(外部連結)

幾乎所有現代瀏覽器均已支援WebAuthn。若您希望檢查瀏覽器版本相容性,請點此(外部連結)查看。

登入效果示範

只需輸入使用者名稱,無需密碼,即可完成安全登入。體驗如下:

IDaaS示範.gif

認證器註冊

在使用認證器登入前,使用者需要先將認證器與其賬戶綁定。

每位需要使用WebAuthn登入的使用者,均應該先登入到我的賬戶頁面,並在安全資訊 > WebAuthn 認證器單擊管理,在彈出的管理頁面中註冊新的認證器。

image

註冊過程只需一分鐘。在單擊註冊認證器後,請使用者按照瀏覽器提示完成即可,

註冊完成後,處於啟用狀態的認證器即可用於登入。使用者也可以對登入的認證器進行管理。

說明

管理員暫時無法對使用者的認證器進行管理。註冊和管理流程均需每位使用者單獨完成。

登入情境

情境1 無密碼登入

WebAuthn最常用、最便捷的情境之一即是替代密碼登入。

使用者來到IDaaS登入頁後,輸入賬戶名稱,選擇一種WebAuthn認證方式進行驗證,驗證通過後登入應用。這一流程可適用於所有網頁應用的登入。流程如下圖:

image

IDaaS管理員可在登入菜單中通用配置頁簽下看到WebAuthn 認證器登入的選項,預設處于禁用狀態。只需要將其啟用即可使用。

image

啟用後,在登入頁中即有WebAuthn登入選項。選擇使用即可,參考下圖(以使用Mac TouchID認證為例)。

image

IDaaS會擷取到指定賬戶的登入認證器資訊,若尚未註冊,則會提示錯誤,無法使用。

情境2 二次認證MFA

WebAuthn最通用、最安全的情境之二即是二次認證。

使用者在正常輸入賬密,如果二次認證開啟,則會進入到二次認證流程。可選擇使用WebAuthn認證器進行安全登入。流程如下圖:

image

IDaaS管理員可以在登入菜單中二次認證頁簽,勾選WebAuthn二次認證方式並儲存,並確保二次認證已開啟。

image

啟用後,在使用者使用賬戶登入後,即會來到二次認證頁面。如果使用者登入WebAuthn認證器,將可選擇WebAuthn方式進行快速、安全的身分識別驗證,參考下圖(以使用Mac TouchID認證為例)。

image