WebAuthn是一种现代、安全的无密码认证标准。本指南将介绍如何在IDaaS中启用和配置WebAuthn,为企业用户提供硬件级的安全登录体验。
一、WebAuthn介绍
WebAuthn是FIDO 2.0标准的核心组成部分,允许用户使用设备本身的生物识别(如指纹、面部识别)或物理安全密钥来代替传统密码进行登录。
认证器的硬件类型:
平台认证器:设备内置的安全能力,如:MacBook 的 Touch ID,Windows 电脑的 Windows Hello(指纹/面部/ PIN),iOS/Android 设备的生物识别
漫游认证器:可跨设备使用的独立硬件,如:YubiKey、Google Titan 安全密钥等。
WebAuthn的优势:
更安全:基于非对称加密,有效防范钓鱼攻击和密码泄露。
更便捷:无需记忆和输入密码,通过生物识别或一键触摸即可登录。
标准化:获得所有主流现代浏览器的支持。
二、WebAuthn认证器注册
在使用WebAuthn登录前,用户必须先将自己的认证器与IDaaS账户绑定。
操作步骤:
1.用户登录主界面后,点击 账户 > 注册认证器。
2.按照浏览器提示完成认证器的注册流程(通常包括生物识别验证或插入安全密钥)。
注册成功后,该认证器即可用于登录。
特别说明:目前认证器的注册和管理需由用户自主完成,管理员无法代为操作。
三、WebAuthn的配置与使用场景
场景一:无密码登录(替代密码)
此场景下,用户仅需输入用户名,然后通过WebAuthn即可直接登录,完全跳过密码步骤。
管理员配置步骤:
1.在IDaaS管理控制台,进入 【设置】> 【系统配置】。
2.找到 【WebAuthn 登录IDaas】 选项,并将其启用。
用户登录流程:
1.在IDaaS登录页输入账户名。
2.选择 【WebAuthn】 作为登录方式。
3.根据提示使用已绑定的认证器(如按压指纹)完成验证,即可成功登录。
注意:如果用户尚未注册任何WebAuthn认证器,系统将提示错误,无法使用此方式登录。
场景二:作为多因素认证方式(二次验证 / MFA)
此场景下,用户在输入正确的用户名和密码后,需再次通过WebAuthn进行验证,以提供更高的安全性。
管理员配置步骤:
1.在IDaaS管理控制台,进入 【系统配置】> 【登录配置】。
2.确保 【二次认证模式】 不是【常闭模式】。
3.在认证方式列表中,勾选 【WebAuthn】 并保存。
