Saltar al contenido principal
Para obtener una introducción a WebAuthn y a cómo Auth0 lo implementa tanto para las claves de seguridad como para la biometría del dispositivo, consulta Autenticación FIDO con WebAuthn.

La disponibilidad varía según el plan de Auth0

Tanto tu implementación concreta del inicio de sesión como tu plan de Auth0 o acuerdo personalizado determinan si esta funcionalidad está disponible. Para obtener más información, consulta Precios.
Si necesitas configurar un dominio personalizado, hazlo antes de desplegar WebAuthn en entornos de producción. Si configuras o cambias un dominio personalizado, los usuarios inscritos previamente no podrán autenticarse.Puedes usar la configuración Relying Party para especificar el dominio que se usa para autenticar a los usuarios.

Usa el Dashboard

Habilita WebAuthn con biometría del dispositivo en Dashboard > Security > Multifactor Auth. Deberás habilitar un factor adicional, ya que este no puede ser el único factor habilitado.

Configurar la parte de confianza

WebAuthn hace que el phishing sea imposible al vincular las credenciales con el origen del navegador. Los usuarios tampoco pueden usar WebAuthn en un sitio en el que no se registraron. Vincular las credenciales al origen significa que, si configura un o lo cambia, los usuarios inscritos antes del cambio no podrán autenticarse. WebAuthn define un atributo de ID de la parte de confianza, que le permite especificar el dominio que se usa para autenticar a los usuarios. Puede establecerlo en cualquier sufijo de dominio registrable del origen del navegador. Por ejemplo, si el dominio personalizado es login.example.com, puede configurar el ID de la como example.com. Esto permite que los usuarios se autentiquen en cualquier dominio example.com con sus credenciales de WebAuthn. Auth0 le permite especificar el ID de la parte de confianza solo si tiene configurado un dominio personalizado. Si el dominio personalizado cambia, debe actualizar el ID de la parte de confianza.

Reconocimiento de dispositivos

Cuando habilitas WebAuthn con biometría del dispositivo, Auth0 intentará inscribir de forma progresiva todos los dispositivos del usuario final compatibles con WebAuthn. Los navegadores con JavaScript deshabilitado o sin compatibilidad con autenticadores de plataforma WebAuthn no tendrán la opción de inscribirse ni de autenticarse con biometría del dispositivo. Como no hay una forma determinista de saber si un dispositivo específico se inscribió o no sin pedirle al usuario que complete una verificación de WebAuthn, Auth0 se basa en el agente de usuario para decidir qué hacer. El comportamiento depende del sistema operativo.
En el escenario más habitual, en el que los usuarios siempre usan el mismo navegador y tienen un móvil y un equipo portátil o de escritorio, los matices de comportamiento que se describen a continuación no afectarán a la experiencia del usuario.

Windows e iOS 14.5+

En Windows e iOS 14.5+, el autenticador de plataforma WebAuthn se registra a nivel del sistema operativo. Los usuarios pueden inscribirse con un navegador e iniciar sesión con cualquier navegador. Si Auth0 detecta que los usuarios tienen un dispositivo inscrito, se les ofrecerá la opción de autenticarse con Face ID / Touch ID / Windows Hello. Si se inscribieron con ese mismo dispositivo, podrán autenticarse. De lo contrario, fallará y tendrán que usar otro método de autenticación.

macOS

En Mac, el autenticador de plataforma de WebAuthn se registra a nivel del sistema del navegador. Se pedirá a los usuarios que se inscriban en WebAuthn en cada navegador que utilicen. Si Auth0 detecta que el usuario se ha inscrito desde Chrome en un Mac, tendrá la opción de autenticarse con Touch ID cuando inicie sesión desde Chrome en un Mac. Si se inscribió desde el mismo Mac, podrá autenticarse. Si no, la autenticación fallará y tendrá que usar otro método de autenticación. Si intenta inscribirse desde Safari en el mismo Mac, se le pedirá que complete la con el otro método de autenticación y luego se le pedirá que se inscriba con Touch ID.

Android

En Android, solo Chrome admite autenticadores de plataforma WebAuthn. Si Auth0 detecta que los usuarios tienen un dispositivo Android registrado, verán la opción de autenticarse con el reconocimiento de huella dactilar/facial de Android. Si se registraron con ese mismo dispositivo Android, podrán autenticarse. De lo contrario, fallará y tendrán que usar otro método de autenticación.

Compatibilidad de dispositivos

El usuario debe tener activada otra inscripción de MFA antes de usar la biometría del dispositivo. Para usar claves biométricas del dispositivo, el navegador debe tener JavaScript habilitado y ser compatible con los autenticadores de plataforma WebAuthn. Si no se cumplen esas condiciones, Auth0 no ofrecerá la opción de inscribirse o autenticarse con el dispositivo. Auth0 solicitará al usuario que use otro factor. Las versiones más recientes de los navegadores y sistemas operativos más populares ofrecen compatibilidad con WebAuthn mediante claves de seguridad. Para obtener más detalles, consulta la sección de compatibilidad de navegadores en webauthn.me.

Limitaciones

  • No hay forma de inscribir la biometría del dispositivo con WebAuthn fuera de la pantalla de inscripción progresiva.
  • Al usar la API de MFA, puede listar y eliminar inscripciones de WebAuthn, pero no inscribirlas.
  • Los usuarios solo pueden inscribir un dispositivo de cada tipo al usar WebAuthn con biometría del dispositivo (un teléfono, una tableta, una laptop/equipo de escritorio). Si un usuario quiere inscribir otro dispositivo del mismo tipo, primero se debe cancelar la inscripción del primer dispositivo.

Webauthn.me

Auth0 mantiene webauthn.me, que ofrece información detallada sobre WebAuthn y una lista actualizada de los navegadores compatibles con esta tecnología.

Más información