为什么您的CIAM需要身份验证可观测性
了解为什么消费者身份验证可观测性至关重要。借助客户端遥测、通行密钥分析和实时的采用率推送,超越纯后端日志的局限。
本页由自动翻译生成。请阅读英文原文 此处.
1. 简介#
FIDO联盟报告通行密钥成功率高达93%——但大多数CIAM团队在发布后发现采用率停滞在5%到15%之间。产生这种差距的原因是后端日志无法看到消费者设备上发生的事情。身份验证可观测性弥补了这一差距。
根据FIDO联盟通行密钥指数(2025年),通行密钥登录实现了93%的成功率,而密码和短信OTP的成功率为63%
- 尽管设备支持度很高,但大多数CIAM部署的通行密钥采用率在发布后会停滞在5%到15% - 超过80%的通行密钥故障发生在消费者设备上,而此时没有任何请求到达后端服务器 - 后端IdP日志无法判断消费者是否取消了Face ID,生物识别是否超时,或者是否被密码管理器扩展程序阻止 - 身份验证可观测性跟踪整个客户端旅程,包括在消费者输入其电子邮件之前发生的标识符前事件
- 动态设备抑制可使已知损坏的设备/操作系统组合的支持工单减少高达60% - 基于群组的推送可将高可信度设备细分市场(例如macOS + Safari + Apple Silicon)的通行密钥注册率从个位数提升至47% - 身份验证可观测性跟踪两个核心KPI:通行密钥激活率(有多少符合条件的消费者创建了通行密钥)和通行密钥使用率(有多少人在日常登录中使用它)
2. CIAM可观测性与劳动力IAM有何不同#
消费者身份和劳动力IAM虽然共享词汇,但几乎没有其他共同点。在劳动力IAM中,IT部门管理每台笔记本电脑、浏览器和安全密钥。如果通行密钥出现故障,环境是已知的。在CIAM中,消费者使用的是非托管设备——廉价Android手机、使用五年的iPad、安装了多个密码管理器扩展的共享PC——而且客户端环境是不可预测的。
身份验证分析白皮书. 面向 passkey 项目的实用指南、推广模式和 KPI。
2.1 匿名用户与标识符前盲区问题#
在劳动力IAM中,每个用户在登录之前就已存在于Active Directory中。在CIAM中,消费者在输入他们的电子邮件之前是隐形的。如果他们在此之前离开——因为通行密钥提示让他们感到困惑,或者密码管理器覆盖层阻止了自动填充——您的后端不会记录任何内容。这种“标识符前盲区”是消费者身份验证中最大的可见性空白,也是收入流失最严重的地方。
示例: 一个电子商务平台的登录页面跳出率高达15%,但没有后端错误。客户端可观测性显示,1Password扩展覆盖了原生的通行密钥自动填充功能。消费者看到杂乱的UI后离开了。没有服务器日志捕捉到这一点。
2.2 哪些指标对消费者身份验证很重要#
CIAM的身份验证可观测性将经典的SRE“黄金信号”改编为特定于登录的KPI。在通行密钥分析仪表板中需要跟踪的最重要的指标包括:
- 登录成功率(LSR): 无错误完成的登录尝试的百分比。如果它在一夜之间从91%降至85%,那就说明出了问题。
- 身份验证流失率: 开始登录流程但从未完成的消费者百分比。跟踪每个决策点——从登录页面到完成生物识别验证。
- 通行密钥激活率(附加率): 在所有设备支持通行密钥的消费者中,有多少人在被要求时创建了一个?目标:在第一年内达到符合条件用户的60%以上。
- 通行密钥使用率(登录率): 在所有登录尝试中,有多少使用通行密钥?目标:超过40%的登录。根据传统后备比率进行跟踪,以衡量实际采用进度。
- 密码重置量: 激增意味着消费者无法进入——这是客户流失和支持成本上升的强烈领先指标。
在劳动力IAM中,登录失败会产生一个服务台工单。在CIAM中,它会造成流失,并且可能只会产生一个服务台工单。身份验证控制着每一个高价值的消费者行为——结账、续订、仪表板访问。一家SaaS订阅公司发现,每月有两次或更多登录失败的消费者,其流失率是正常情况下的3倍。可观测性让这种联系变得可见。
查看实际有多少人在使用 passkeys。
3. 为什么后端日志和通用分析在处理通行密钥时会失败#
大多数CIAM团队依靠IdP日志和像GA4或Mixpanel这样的工具。对于基于密码的登录,这已经足够了。但对于通行密钥,这是不够的——因为关键时刻已从服务器转移到了消费者的设备上。
3.1 客户端“黑匣子”#
对于密码,流程很简单:消费者发送凭据,服务器检查它们,服务器记录结果。对于通行密钥,浏览器会打开一个原生OS模态框——iCloud钥匙串、Google密码管理器、Windows Hello或第三方扩展。如果生物识别超时、被错误的凭据管理器接管或消费者取消——这一切都发生在任何请求到达服务器之前。
示例: 一个银行应用发现,在iOS更新后,通行密钥尝试下降了30%。后端日志显示请求变少了,但错误为零。客户端可观测性找到了原因:iOS 18.2改变了Safari显示自动填充下拉菜单的方式,消费者直接忽略了通行密钥选项。
下图说明了每种身份验证方法的可见性终点:
3.2 通用分析遗漏了通行密钥特定数据#
即使是接受自定义事件的工具(GA4自定义维度,Mixpanel自定义属性)在通行密钥数据方面也会遇到结构性限制。通行密钥性能取决于操作系统版本 + 浏览器版本 + 凭据管理器 + 硬件身份验证器的确切组合——数千种独特组合。GA4将具有超过500个唯一值的自定义维度标记为高基数,将多余的值放入“(其他)”存储桶中或触发采样——实际上隐藏了对于通行密钥调试最关键的长尾设备/浏览器/凭据管理器组合。Mixpanel按事件量收费,并且不提供原生的WebAuthn事件架构。
它们还遗漏了通行密钥独有的信号:凭据是通过iCloud同步的还是绑定在设备上的?消费者是否在尝试通过二维码进行跨设备身份验证?后台是否触发了条件UI?这些都是需要通过专用工具捕获的原生浏览器API状态。
4. 身份验证可观测性究竟追踪什么#
身份验证可观测性不仅仅是“更多日志记录”。其真正的价值在于它提供的上下文——即使对于在消费者输入电子邮件之前发生的事件,也可以根据结果回填和反算消费者的整个旅程。
4.1 从开始到结束的仪式阶段#
专门构建的客户端SDK将完整的通行密钥生命周期作为结构化的事件分类法进行追踪:
- 消费者如何开始: 条件UI自动填充、专用的“使用通行密钥登录”按钮或手动输入电子邮件
- 设备检查: 静默的功能探测在显示任何UI之前确定设备是否支持通行密钥
- 身份验证器选择: 手机管理器中的同步通行密钥,或通过NFC、USB或蓝牙的外部硬件密钥
- 生物识别步骤: Face ID、指纹或PIN——它是成功了、超时了还是被取消了?
- 最终结果: 解释导致失败原因的特定WebAuthn错误代码——而不仅仅是“成功”或“错误”
示例: 一个零售应用追踪了这些阶段,发现22%的Android通行密钥尝试在“身份验证器选择”阶段失败。根本原因:Samsung Pass是某些Galaxy设备上的默认凭据管理器,但它不支持该应用所需的WebAuthn扩展。Google密码管理器本可以正常工作,但三星的系统皮肤首先将请求路由到了Samsung Pass。
下图将这些仪式阶段显示为一个漏斗,以及每个步骤的典型失败点:
4.2 解读业务决策的WebAuthn错误代码#
当仪式失败时,浏览器会返回一个特定的错误代码。业务解读比技术定义更重要:
| 错误 | 发生了什么 | 该怎么做 |
|---|---|---|
| NotAllowedError | 消费者取消或超时。 | 最常见。如果发生率激增,请测试不同的提示前消息。确保顺畅的回退机制。 |
| NotSupportedError | 设备不支持通行密钥。 | 在此设备类型上抑制通行密钥UI。默认使用密码或OTP。 |
| SecurityError | HTTPS或域配置问题。 | 立即检查TLS证书和依赖方ID设置。 |
| UnknownError | 凭据管理器崩溃或扩展受干扰。 | 检查特定扩展(Bitwarden,LastPass)是否导致问题。 |
| AbortError | 您应用的超时终止了请求。 | 延长超时——某些生物识别响应需要更多时间。 |
示例: 一个旅游预订网站发现Firefox用户的UnknownError激增至8%。其中92%的错误来自于启用了Bitwarden扩展的消费者——它拦截了WebAuthn调用并静默失败。修复:检测Bitwarden并在解决扩展错误之前跳过通行密钥提示。
WebAuthn规范正在不断发展。提出的新错误代码如UserCancellationError(故意取消与超时)和HybridPrerequisitesError(跨设备无法使用蓝牙)一旦被浏览器采用,将增加更多粒度。
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study5. 为什么消费者不注册通行密钥(以及如何找出原因)#
最难的问题不是调试为什么通行密钥仪式失败。而是要回答每个产品经理都会问的问题:为什么消费者一开始就不注册通行密钥?这是注册前的问题,而后端日志对此完全无法洞察。
5.1 在消费者提供标识符之前的旅程回填#
即使消费者对通行密钥不采取任何行动,优秀的观测系统也会捕获数据。当有人登录页面时,SDK会静默检查:此设备是否支持通行密钥?条件UI可用吗?是否存在平台身份验证器?
如果设备具备功能,但消费者点击了“使用密码登录”,系统会记录一个放弃注册前的事件。在成千上万个会话中,这些事件揭示了模式——流失是否是由提示被遮挡、缺乏关于通行密钥的教育,或者密码管理器覆盖拦截了表单字段引起的。
示例: 一个医疗保健门户网站发现70%的Mac用户忽略了通行密钥选项。可观测性显示,通行密钥提示出现在首屏以下。大多数消费者从未向下滚动。将提示移至密码字段上方使注册率翻倍。
5.2 条件UI:隐形的故障点#
条件UI允许通行密钥与保存的密码一起出现在浏览器的自动填充下拉菜单中。它在后台静默运行。除非消费者实际选择了一个通行密钥,否则您的后端永远不会知道它被触发。
通行密钥可观测性追踪条件UI是否被调用。如果在数千台设备上触发,但几乎没有人选择通行密钥,那么问题出在UI上——而不是加密机制。可能是自动填充下拉菜单呈现不正确,或者是自定义CSS抑制了浏览器的原生行为。
示例: 一家媒体流媒体服务发现条件UI在94%的支持设备上正确触发,但选择率只有3%。登录表单使用了一个抑制了原生自动填充下拉菜单的自定义样式输入框。切换到标准输入框后,选择率提升至31%。
在实时 demo 中试用 passkeys。
6. 从数据到行动:抑制损坏设备并推送优质设备#
仅收集可观测性数据是没有意义的,关键在于你如何对其采取行动。该系统应驱动一个规则引擎,实时改变消费者所见。
6.1 发现系统性故障与随机取消的对比#
并非每一个通行密钥故障都是由于错误。消费者在Face ID提示上点击“取消”是常规操作。但是,当故障集中在特定的设备/操作系统/浏览器组合时,那就是系统性的。
示例: 全球通行密钥成功率:92%。在One UI 6.0搭载Chrome的Samsung Galaxy A14:15%。这不是用户错误——这是凭据管理器实现损坏。可观测性可在几小时内发现这一点,而不是几周。
6.2 自动抑制损坏环境#
当登录失败时,消费者会责怪您的应用——而不是手机制造商。一旦可观测性确定了某些通行密钥可靠出现故障的设备/操作系统组合,就可以使用“终止开关”来抑制通行密钥提示,并将消费者在看到错误模态框之前路由到可靠的后备机制——魔法链接、TOTP或密码。
示例: 一个共享乘车应用确定了三款总计具有82%通行密钥故障率的廉价Android机型。在对这些设备抑制通行密钥后,受影响地区的支持工单在一周内减少了60%。
6.3 推送高可信度群组#
另一方面,如果可观测性显示macOS + Safari + Apple Silicon消费者的成功率为98%,那么该群体就是安全的,可以进行断言推送——自动调用通行密钥模态框,显示“您的iCloud钥匙串已准备好保护您的帐户”,或者将通行密钥设为默认值,将密码隐藏在“更多选项”之后。
示例: 一个在线市场在密码登录后使用自动触发的注册模态框向高可信度群组推送。macOS/Safari消费者注册率为47%。所有其他群组(侵入性较小的推送):11%。
以下决策树总结了由可观测性数据驱动的抑制或推送逻辑:
7. 提升激活率和使用率#
身份验证可观测性服务于两个KPI:激活率(消费者正在创建通行密钥吗?)和使用率(他们是否经常使用?)。
7.1 提升激活率#
激活率衡量已创建通行密钥的符合条件消费者的百分比。标准分析无法计算这一点,因为它们不知道哪些设备支持通行密钥。可观测性通过持续的功能探测解决这个问题。
- 痛苦后提示: 当消费者刚经历过密码重置后,立即显示通行密钥创建提示。此时挫败感是最新鲜的——这个时刻的接受率最高。
- 持续提示: 分析表明只要不具备阻塞性,即使是第三或第四次提示,仍然能以两位数的比率转化。
示例: 一个银行应用在每个密码重置流程后提示创建通行密钥。34%的消费者在重置后立即创建了通行密钥,而在正常登录时提示的转化率仅为8%。
订阅我们的 Passkeys Substack,获取最新消息。
7.2 提升使用率#
消费者可能会创建一个通行密钥,但出于习惯继续输入密码。使用率追踪在所有登录中,使用通行密钥的频率。
- 更好的启动用户体验: 如果遥测数据显示拥有活动通行密钥的消费者仍然输入用户名,那么自动填充失败了。位于文本字段之前突出的“一键”按钮拦截了传统行为。
- 修复跨设备登录: 当使用iPhone通行密钥登录Windows笔记本电脑时,消费者会扫描二维码并使用蓝牙。如果跨设备认证(CDA)完成率下降(例如降至42%),清晰的“开启蓝牙”和“将摄像头对准此处”指示可以挽救许多尝试。
示例: 一个保险门户网站发现60%的已注册消费者仍然使用密码。通行密钥自动填充呈现在密码字段下方。将其移至上方并添加“使用Face ID登录”按钮,在两个月内将通行密钥使用率从40%提升到了73%。
8. 第2天的噩梦:原生应用程序和静默平台变更#
设置通行密钥是简单的一步。在混乱的消费者设备中保持它们的工作状态,是可观测性变得不可或缺的地方。
8.1 原生应用复杂性#
浏览器中的通行密钥非常直观。但在原生iOS和Android应用中,质量保证(QA)范围扩大了三倍。开发人员在原生API(iOS上的AuthenticationServices,Android上的Credential Manager)或嵌入式WebViews之间进行选择。每条路径的失败方式都不同。
示例: 一个送餐应用的iOS实现完美运行,但他们的Android应用使用了一个嵌入式的WebView,在Android 13上静默丢弃了通行密钥请求。如果没有特定于原生的遥测,该团队花了三周时间去怪罪一个服务器端问题。
8.2 静默系统更新#
Apple、Google和Microsoft不断发布更新。大部分都能改进通行密钥支持,但少数更新引入了静默退化,这会在没有警告的情况下破坏现有的逻辑。
示例: iOS 18.1更改了Safari向Mac上的Chrome报告设备能力的方式。Chrome开始错误地报告“无可用平台身份验证器”,从而完全隐藏了通行密钥选项。后端日志显示请求减少但无错误。客户端可观测性在数小时内就标记出了确切的OS + 浏览器组合。
9. CIAM团队应该构建还是购买#
一旦看到对客户端遥测的需求,问题就在于:是自行构建还是购买专用解决方案?
9.1 内部构建的隐性成本#
DIY之路听起来很简单:在JavaScript中包装WebAuthn调用,将事件传入您的日志堆栈。在实践中,通用工具无法处理基数。您的团队必须随着生态系统的发展维护事件分类法——研究新的错误代码并在每次操作系统更新后更新解析器。当出现故障时,修复需要代码部署,而不是简单的配置更改。
示例: 一家零售商花了六个月时间在内部构建通行密钥遥测。当macOS 15.2破坏了他们的功能检测时,该修复花了两周时间才发布——一个完整的前端部署周期。而供应商解决方案本来可以在几个小时内在服务器端完成更新。
9.2 供应商解决方案能提供什么#
一家专门的供应商可以在数千个消费者应用程序中聚合数据。当Chrome更新破坏了特定Android版本的通行密钥创建时,供应商能在全局范围内检测到它,并将更新的错误分类推送到所有客户——在您的消费者受到影响之前。
| 能力 | 内部构建 | 供应商解决方案 |
|---|---|---|
| 可见性 | 仅限后端日志;客户端受限。 | 追踪贯穿整个漏斗的完整客户端WebAuthn记录。 |
| 错误处理 | 手动日志关联;被动发现新代码。 | 从全局数据自动更新的分类法;纯文本根本原因。 |
| 采用工具 | 用户体验猜测和A/B测试。 | 从全球最大的通行密钥数据集中提供的群组推送。 |
| 维护 | 每次操作系统更新都需要解析器更改。 | 供应商维护所有操作系统和浏览器怪癖的映射。 |
| 事件响应 | 代码回滚。 | 即时终止开关和配置级回退机制。 |
供应商平台还能让您进行基准测试:FIDO联盟报告了93%的基准成功率。如果您的成功率是75%,平台可以精确显示您在哪些地方表现不佳及其原因。
采购与自建指南. 面向 passkey 项目的实用指南、推广模式和 KPI。
10. Corbado如何为CIAM提供身份验证可观测性#
Corbado提供现成的通行密钥可观测性和采用层。它集成到现有的身份堆栈中——Okta、Auth0、Ory、自定义IdP——无需替换任何内容。前端SDK在登录旅程中的特定点(通行密钥创建、条件UI调用、生物识别验证、错误状态)异步触发JavaScript事件。它从不涉及密码、私钥或PII,符合最严格的隐私要求。
平台提供:
- 漏斗分析: 显示消费者在何处退出——在输入电子邮件之前、在看到通行密钥提示之后、在生物识别验证期间——并按操作系统、浏览器和凭据管理器进行细分。
- 纯文本诊断: 将WebAuthn错误代码翻译为人类可读的解释(“Bitwarden扩展拦截了通行密钥请求”),并区分一次性取消和系统性故障。
- 跨部署错误数据库: 当其他部署中出现错误(例如,在Vivo OS上条件UI损坏)时,平台会主动为您的环境标记它——在您的消费者遇到它之前。
- 全设备覆盖: 追踪硬件安全密钥、NFC卡和原生iOS/Android流,而不仅仅是基于浏览器的登录。
- 安全发布: 动态终止开关、逐渐分组发布、A/B测试和智能回退路由。
11. 结论#
消费者身份验证可观测性决定了通行密钥的采用率是停滞在5%还是达到大多数用户。后端日志无法看到消费者设备上发生的事情——而对于通行密钥而言,这是80%的故障发生的地方。
通过实现一个定制构建的可观测性层,CIAM团队从猜测转向确知:为什么消费者不注册,哪些设备会出现故障,以及哪些群组准备好进行积极的部署。
关于 Corbado
Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容:哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey,为什么注册没有转化为登录,WebAuthn 流程在哪里失败,以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品:Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey(与你的 IDP 并存)。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey(passkey 激活率 +80%)。 与 Passkey 专家交谈 →
FAQ#
什么是身份验证可观测性?#
身份验证可观测性是指收集和分析整个消费者登录旅程遥测数据的实践——包括在任何请求到达后端之前发生的客户端事件。它不仅提供传统的日志记录,还提供了有关设备功能、凭据管理器行为、生物识别交互和WebAuthn错误状态的上下文。与只告诉你何时出现问题的标准监控不同,可观测性会告诉你为什么会出现问题。
身份验证可观测性与标准登录分析有何不同?#
标准登录分析(IdP日志、GA4、Mixpanel)仅捕获服务器端结果和粗略的前端事件(如按钮点击)。身份验证可观测性在消费者设备上捕获原生浏览器API调用、凭据管理器交互和生物识别提示结果。它能处理通行密钥生成的高基数数据(数千种独特的操作系统、浏览器、凭据管理器和硬件组合),而通用分析平台通常会截断或丢弃这些数据。
为什么通行密钥部署会停滞在低采用率?#
大多数通行密钥部署停滞在5%到15%的采用率,因为团队缺乏对客户端故障和注册前放弃的可见性。消费者可能拥有支持该功能的设备,但从未看到通行密钥提示(UI放置问题),被相互冲突的密码管理器覆盖层弄糊涂,或遇到隐蔽的设备级错误。如果没有客户端遥测,这些问题是不可见的。
什么是CIAM中的标识符前盲区?#
标识符前盲区是指后端系统无法看到消费者输入电子邮件或用户名之前发生的事情。在CIAM中,消费者在表明身份之前是匿名的。如果他们在此之前离开登录页面——由于令人困惑的UI、扩展冲突或损坏的条件UI——任何后端日志都无法捕获该事件。身份验证可观测性通过在页面加载时立即运行的客户端静默功能检测来填补这一空白。
可观测性如何帮助提高通行密钥的采用率(而不仅仅是调试)?#
可观测性不仅能诊断失败的验证仪式。它能识别出哪些消费者群体拥有最高的通行密钥成功率,并实现数据驱动的推送——为高可信度设备群组自动触发注册。它还揭示了提示的最佳时机(例如,在密码重置后,当挫败感很新鲜时),并通过数据证明,持续、非阻塞的提示即使在第三或第四次尝试时也能以两位数的转化率进行转换。
在生产环境中,最常见的通行密钥故障是什么?#
生产环境CIAM部署中最常见的故障包括:凭据管理器实现损坏的特定设备/操作系统组合(例如,来自区域OEM的廉价Android手机),第三方密码管理器扩展(Bitwarden、1Password、LastPass)拦截WebAuthn调用并静默失败,改变浏览器报告设备功能方式的静默操作系统更新回归,以及由于自定义样式输入字段或CSS冲突导致条件UI未渲染。
分享本文
相关文章
目录