העברה ל-FedCM

המדריך הזה יעזור לכם להבין את השינויים באפליקציית האינטרנט שלכם שנוצר על ידי Federated Credentials Management API (FedCM).

כש-FedCM מופעל, הדפדפן מציג הודעות ממשתמשים ולא צד שלישי בשימוש בקובצי Cookie.

סקירה כללית

ארגז החול לפרטיות באינטרנט הסרה של קובצי Cookie של צד שלישי מהאינטרנט על ידי Chrome שינויים משמעותיים ב-Google Identity Services ובכניסת משתמשים.

FedCM מאפשר כניסה פרטית יותר בלי צורך בשימוש קובצי Cookie של צד שלישי. הדפדפן שולט בהגדרות המשתמש, מציג הודעות למשתמשים ויוצרים קשר רק עם ספק זהויות, כמו Google לאחר משתמש מפורש כאשר ניתנת הסכמה.

ברוב האתרים ההעברה מתבצעת בצורה חלקה באמצעות תאימות לאחור עדכונים לספריית ה-JavaScript של Google Identity Services.

עדכונים לגבי התכונה 'כניסה אוטומטית'

גרסת הבטא של Federated Credential Management (FedCM) ל-Google Identity Services באוגוסט 2023. מפתחים רבים בדקו את ה-API וסיפקו משוב חשוב.

אחת מהתגובות ש-Google שמעה ממפתחים לגבי הכניסה האוטומטית ל-FedCM דרישה לתנועת משתמש. כדי לשפר את הפרטיות, Chrome דורש מהמשתמשים לאשר שוב שהם רוצים להיכנס לאתר עם חשבון Google בכל אחד מופע של Chrome, גם אם המשתמש אישר את האתר לפני ה-FedCM בהשקה. האישור החד-פעמי הזה מתבצע בלחיצה אחת על הודעה בהקשה אחת שממחישה את כוונת המשתמש להיכנס לחשבון. שינוי זה עלול לגרום שיבוש ראשוני בשיעורי ההמרות של כניסה אוטומטית באתרים מסוימים.

לאחרונה בגרסה M121 בוצע ב-Chrome שינוי בכניסה האוטומטית ל-FedCM. UX. צריך לשלוח אישור מחדש רק כשצריך קובצי Cookie של צד שלישי מוגבלת. כלומר:

  1. לפני שההגבלות על קובצי cookie של צד שלישי יעלו עד 100% (מידע נוסף זמין במאמר בנושא פרטיות דף חדשות ועדכונים של Sandbox לציר הזמן האחרון), הכניסה האוטומטית של FedCM לא מחייבת אישור מחדש עבור משתמשים חוזרים. אם המשתמשים יאשרו מחדש באמצעות ממשק המשתמש של FedCM, האישור מחדש ייחשב לצורך דרישה לגבי תנועת משתמש בתקופה שאחרי 3PCD.

  2. בכניסה האוטומטית של FedCM, ייבדק סטטוס האישור מחדש כאשר משתמשים היום מגבילים את קובצי ה-Cookie של צד שלישי באופן ידני, או כברירת מחדל ב-Chrome בעתיד.

בעקבות השינוי הזה, אנחנו ממליצים לכל המפתחים של כניסה אוטומטית לעבור ל-FedCM בהקדם האפשרי, כדי לצמצם את ההפרעה בשיעורי ההמרות של כניסה אוטומטית.

בתהליך הכניסה האוטומטית, GIS JavaScript לא יפעיל את FedCM בגרסה ישנה יותר Chrome (לפני M121), גם אם באתר שלכם מותר להפעיל את FedCM.

הבדלים בתהליך שעובר המשתמש

חוויית One Tap באמצעות FedCM וללא FedCM דומה רק עם הבדלים קלים.

משתמש חדש עם סשן יחיד

בעזרת FedCM, הקשה אחת מציגה את שם הדומיין במקום את שם האפליקציה.

שימוש ב-FedCM ללא FedCM
משתמש חדש עם סשן יחיד באמצעות FedCM משתמש חדש עם סשן יחיד ללא FedCM

משתמש חוזר בעל סשן יחיד (כאשר הכניסה האוטומטית מושבתת)

בעזרת FedCM, הקשה אחת מציגה את שם הדומיין במקום את שם האפליקציה.

שימוש ב-FedCM ללא FedCM
התהליך שעובר המשתמש החוזר במסגרת סשן יחיד באמצעות FedCM (כאשר הכניסה האוטומטית מושבתת) התהליך שעובר המשתמש החוזר בסשן יחיד ללא FedCM (כשהכניסה האוטומטית מושבתת)

משתמש חוזר בעל סשן יחיד (עם כניסה אוטומטית מופעלת)

באמצעות FedCM, משתמשים יכולים ללחוץ על X כדי לבטל את הכניסה האוטומטית תוך 5 במקום ללחוץ על הלחצן ביטול.

שימוש ב-FedCM ללא FedCM
התהליך שעובר המשתמש החוזר במסגרת סשן יחיד באמצעות FedCM (כאשר הכניסה האוטומטית מופעלת) התהליך שעובר המשתמש החוזר במסגרת סשן יחיד ללא FedCM (כאשר הכניסה האוטומטית מופעלת)

סשנים מרובים

בעזרת FedCM, הקשה אחת מציגה את שם הדומיין במקום את שם האפליקציה.

שימוש ב-FedCM ללא FedCM
משתמש שביצע מספר סשנים באמצעות FedCM משתמש עם סשנים מרובים ללא FedCM

לפני שמתחילים

ודאו שהגדרות הדפדפן והגרסה שלכם תומכות ב-FedCM API. מומלץ לעדכן לגרסה העדכנית ביותר.

  • FedCM API זמין ב-Chrome בגרסה 117 ואילך.

  • ההגדרה כניסה של צד שלישי מופעלת ב-Chrome.

  • אם דפדפן Chrome הוא בגרסה 119 או גרסאות קודמות, פותחים את chrome://flags. להפעיל את התכונה הניסיונית FedCmWithoutThirdPartyCookies. השלב הזה לא צריך את זה בדפדפן Chrome מגרסה 120 ואילך.

העברה של אפליקציית האינטרנט

יש לפעול לפי השלבים הבאים כדי להפעיל את FedCM, להעריך את ההשפעה הפוטנציאלית של ההעברה, במקרה הצורך כדי לבצע שינויים באפליקציית האינטרנט הקיימת:

1. מוסיפים דגל בוליאני כדי להפעיל את FedCM במהלך אתחול באמצעות:

2. מסירים את השימוש בשיטות isDisplayMoment(), isDisplayed(), isNotDisplayed() ו-getNotDisplayedReason() בקוד.

כדי לשפר את פרטיות המשתמשים, google.accounts.id.prompt מחזירה יותר זמן של כל התראה על רגע התצוגה אובייקט PromptMomentNotication. הסירו כל קוד שתלוי הצגת שיטות שקשורות לרגעים. הם isDisplayMoment(), isDisplayed(), isNotDisplayed() ו-getNotDisplayedReason() methods.

3. מסירים את השימוש ב-method getSkippedReason() בקוד.

עדיין תתבצע קריאה לרגע הדילוג, isSkippedMoment(), קריאה חוזרת של google.accounts.id.prompt אל PromptMomentNotication לא נוכל להסביר את הסיבה. מסירים כל קוד שתלוי ב- השיטה getSkippedReason() מהקוד שלכם.

חשוב לשים לב שההתראה על רגע הסגירה, isDismissedMoment(), וגם שיטת הסיבה המפורטת הקשורה, getDismissedReason(), לא השתנו כש-FedCM מופעל.

4. מסירים position מאפייני סגנון מ-data-prompt_parent_id ומ-intermediate_iframes.

הדפדפן קובע את הגודל והמיקום של הנחיות המשתמש, מיקומים מותאמים אישית התכונה 'הקשה אחת על שולחן העבודה' לא נתמכת.

5. מעדכנים את פריסת הדף לפי הצורך.

הדפדפן קובע את הגודל והמיקום של ההצעות לפעולה שמוצגות למשתמשים. בהתאם ל- הפריסה של דפים נפרדים, חלק מהתוכן עשוי להופיע בשכבת-על של התאמה אישית מיקומים עבור One Tap on Desktop אינם נתמכים בשום צורה, מאפיין סגנון, data-prompt_parent_id, intermediate_iframes, iframe מותאם אישית ודרכים יצירתיות אחרות.

שינוי של פריסת הדף כדי לשפר את חוויית המשתמש כשיש מידע חשוב מוסתר. אל תעצבו את חוויית המשתמש בהתאם להנחיה בהקשה אחת, גם אם הוא במיקום ברירת המחדל. מכיוון ש-FedCM API מותאם לדפדפן, ייתכן שספקי דפדפנים שונים מציבים מעט את מיקום ההנחיה אחרת.

6. יש להוסיף את המאפיין allow="identity-credentials-get" למסגרת ההורה אם אפליקציית האינטרנט קוראת ל-One Tap API מרכיבי iframe ממקורות שונים.

iframe נחשב כזמין ממקורות שונים אם הערך origin לא זהה לחלוטין מקור ההורה. לדוגמה:

  • דומיינים שונים: https://example1.com ו-https://example2.com
  • דומיינים שונים ברמה העליונה: https://example.uk ו-https://example.jp

  • תת-דומיינים: https://example.com ו-https://login.example.com

    כדי לשפר את פרטיות המשתמשים, כשמתבצעת קריאה ל-One Tap API דרך מסגרות iframe ממקורות שונים, עליך להוסיף allow="identity-credentials-get" בכל תג iframe מסגרת הורה:

    <iframe src="https://your.cross-origin/onetap.page" allow="identity-credentials-get"></iframe>

    אם באפליקציה שלך נעשה שימוש ב-iframe שמכיל iframe אחר, עליך מוודאים שהמאפיין מתווסף לכל iframe, כולל לכל מסגרות המשנה iframe.

    למשל, נבחן את התרחיש הבא:

  • המסמך העליון (https://www.example.uk) מכיל iframe בשם "Iframe" A", שמטמיע דף (https://logins.example.com).

  • הדף המוטמע הזה (https://logins.example.com) מכיל גם iframe בשם "Iframe B", שמטמיע דף נוסף (https://onetap.example2.com) שמארח את One Tap.

    כדי להבטיח שאפשר יהיה להציג את התוכן בהקשה אחת כמו שצריך, צריך להוסיף את המאפיין בין תגי iframe A ו-Iframe B.

    הכנות לבירורים בנושא ההודעה בהקשה אחת שלא מוצגת. אתרים אחרים עם מקורות שונים עשויים להטמיע את הדפים שלך שמארחים בהקשה אחת במסגרות ה-iframe שלהם. ייתכן שיתקבלו כרטיסי תמיכה בכמות גדולה יותר שקשורה לתכונה 'הקשה אחת' שלא מוצגת ממשתמשי קצה או מבעלי אתרים אחרים. בזמן רק בעלי האתר יכולים לבצע את העדכונים בדפים שלהם, אתה יכול לבצע כדי לצמצם את ההשפעה:

  • צריך לעדכן את תיעוד המפתח כך שיכלול הסבר על הגדרת ה-iframe כדי לקרוא לאתר שלך בצורה נכונה. אתם יכולים לקשר לדף הזה במסמכים שלכם.

  • אם רלוונטי, מעדכנים את דף השאלות הנפוצות למפתחים.

  • כדאי להודיע לצוות התמיכה על השינוי הקרוב ולהתכונן לתגובה עם השאלה הזו מראש.

  • יוצרים קשר באופן יזום עם השותפים, הלקוחות או בעלי האתרים שהושפעו מהבעיה מעבר חלק ב-FedCM.

7. מוסיפים את ההנחיות האלה ל-Content Security Policy (CSP).

השלב הזה הוא אופציונלי, כי לא כל האתרים בוחרים להגדיר מדיניות CSP.

  • אם לא נעשה שימוש ב-CSP באתר, אין צורך לבצע שינויים.

  • אם מדיניות ה-CSP פועלת בשיטה הנוכחית בהקשה אחת ואתה לא משתמש ב-connect-src, frame-src, script-src, style-src או default-src לא בוצעו שינויים הדרושים.

  • אם לא, פועלים לפי ההוראות במדריך הזה כדי להגדיר את ה-CSP. ללא CSP מתאים הגדרת FedCM One Tap לא תוצג באתר.

8. מסירים את התמיכה ב-Accelerated Mobile Pages (AMP) לכניסה.

תמיכה בכניסת משתמשים ל-AMP היא תכונה אופציונלית של GIS באפליקציית האינטרנט ליישם. במקרה כזה,

מוחקים את כל ההפניות אל:

  • amp-onetap-google רכיב מותאם אישית, וגם

  • <script async custom-element="amp-onetap-google" src="https://cdn.ampproject.org/v0/amp-onetap-google-0.1.js"></script>

    כדאי להפנות את בקשות הכניסה מ-AMP אל כניסה ל-HTML של האתר . לתשומת ליבכם: Intermediate Iframe Support API הקשור הוא לא יושפע.

בדיקה ואימות של ההעברה

אחרי שתבצעו את השינויים הנדרשים על סמך השלבים הקודמים, תוכלו לאמת ההעברה בוצעה בהצלחה.

  1. מוודאים שהדפדפן תומך ב-FedCM ושיש לכם חשבון Google סשן בחשבון.

  2. מנווטים לדפים באפליקציה בהקשה אחת.

  3. מוודאים שההצעה 'הקשה אחת' מוצגת ומוצגת בשכבת-על בבטחה תוכן.

  4. מוודאים שפרטי הכניסה הנכונים חוזרים לנקודת הקצה או לשיטת הקריאה החוזרת (callback) בכניסה לאפליקציה באמצעות הקשה אחת.

  5. אם הכניסה האוטומטית מופעלת, מוודאים שהביטול פועל ומתקנים פרטי הכניסה הנכונים חוזרים לנקודת הקצה או לשיטת הקריאה החוזרת (callback).

תקופת צינון בהקשה אחת

לחיצה על הסמל בהקשה אחת בפינה השמאלית העליונה, הלחצן סוגר את ההנחיה ונכנסים לתקופת הצינון, מונע הצגה זמנית של ההנחיה בהקשה אחת. ב-Chrome, אם אם רוצים שההודעה בהקשה אחת תוצג שוב לפני שתקופת הצינון תסתיים, יכול לאפס את סטטוס הצינון על ידי לחיצה על סמל הנעילה בסרגל הכתובות לוחצים על הלחצן Reset Permissions.

פרק זמן שקט לכניסה אוטומטית

כשבודקים כניסה אוטומטית בהקשה אחת באמצעות FedCM, נדרשות 10 דקות פרק זמן שקט בין כל ניסיון כניסה אוטומטי. התקופה השקטה לא יכולה להיות לאתחל. תצטרך להמתין 10 דקות או להשתמש בחשבון Google אחר לבדיקה כדי להפעיל שוב כניסה אוטומטית.

מקורות מידע שימושיים

כלי הניתוח של 'ארגז החול לפרטיות' (PSAT) הוא תוסף של כלי הפיתוח ל-Chrome יכולות לעזור למפתחים להתמודד עם ההוצאה משימוש של קובצי cookie של צד שלישי ואימוץ ממשקי API חלופיים. הפעולה מתבצעת על ידי סריקה של האתר של התכונות המושפעות, ורשימה של שינויים מומלצים.