Updates der Federated Credential Management API

Die Federated Credential Management API ist in Chrome 108 enthalten, wird aber weiterentwickelt. Es sind keine funktionsgefährdenden Änderungen geplant.

Für wen sind diese Updates gedacht?

Diese Aktualisierungen sind für Sie in folgenden Fällen relevant:

  • Sie sind ein IdP, der die Federated Credential Management API verwendet.
  • Sie sind ein IdP oder RP und möchten die API an Ihren Anwendungsfall anpassen. Sie haben z. B. die Diskussionen über das FedID CG-Repository beobachtet oder daran teilgenommen und möchten mehr über die an der API vorgenommenen Änderungen erfahren.
  • Sie sind ein Browseranbieter und möchten den Implementierungsstatus der API im Blick behalten.

Wenn Sie die API zum ersten Mal verwenden oder noch nicht damit experimentiert haben, lesen Sie die Einführung in die Federated Credential Management API.

Änderungsprotokoll

Aktuelle Informationen zu den Änderungen an der FedCM API finden Sie in unserem Blog oder im Newsletter.

Chrome 125 (April 2024)

Chrome 123 (Februar 2024)

  • Die Domain Hint API wird jetzt unterstützt. Mit der Domain Hint API können RPs ein domainHint-Attribut in einem FedCM API-Aufruf angeben, um nur übereinstimmende Konten für den Nutzer anzuzeigen.

Chrome 122 (Januar 2024)

  • Die Cancel API wird jetzt unterstützt. Mit der Verbindungs-API können RPs ihre Nutzer vom Konto des IdP trennen, ohne sich auf Drittanbieter-Cookies zu verlassen.
  • Die Überprüfung von /.well-known/web-identity wird jetzt übersprungen, wenn RP und IdP am selben Standort sind.
  • Unterressourcen können jetzt einen Anmeldestatus für dieselbe Website festlegen.

Chrome 121 (Dezember 2023)

  • Die gelockerte Bedingung zum Auslösen der automatischen erneuten FedCM-Authentifizierung:
    • Die Funktion zur automatischen erneuten Authentifizierung in FedCM wird nur ausgelöst, wenn der Nutzer zurückkehrt. Das bedeutet, dass sich der Nutzer für jede Browserinstanz einmal mit FedCM beim RP anmelden muss, bevor die automatische erneute Authentifizierung ausgelöst werden kann. Diese Bedingung wurde ursprünglich eingeführt, um das Risiko zu verringern, dass Tracker vorgeben, ein Identitätsanbieter (Identity Provider, IdP) zu sein, und den Browser dazu verleiten, einen Nutzer ohne Wissen oder Einwilligung automatisch neu zu authentifizieren. Dieses Design garantiert jedoch keinen Datenschutzvorteil, wenn der Tracker Zugriff auf Drittanbieter-Cookies im RP-Kontext hat. FedCM stellt nur einen Teil der Funktionen bereit, die über Drittanbieter-Cookies möglich sind. Wenn der Tracker also bereits Zugriff auf Drittanbieter-Cookies im RP-Kontext hat, stellt der Zugriff auf FedCM kein zusätzliches Datenschutzrisiko dar.
      Da die Verwendung von Drittanbieter-Cookies rechtmäßig ist und eine Lockerung der Bedingungen zu einer Verbesserung der Nutzererfahrung führen würde, ändert sich dieses Verhalten gegenüber Chrome 121. Wir haben uns entschieden, die Einschränkung der Bedingung so zu lockern, dass ein Nutzer als wiederkehrend behandelt wird: Wenn für den IdP im RP-Kontext Drittanbieter-Cookies verfügbar sind, vertraut Chrome der Aussage des IdP zum Kontostatus des Nutzers, die in der Liste approved_clients angegeben ist, und löst gegebenenfalls die automatische erneute Authentifizierung aus. Drittanbieter-Cookies können über Nutzereinstellungen, Unternehmensrichtlinien, Heuristiken (Safari, Firefox, Chrome) und andere Webplattform-APIs wie die Storage Access API verfügbar sein. Wenn der IdP in Zukunft den Zugriff auf Drittanbieter-Cookies verliert und ein Nutzer zuvor die Berechtigung auf der FedCM-Benutzeroberfläche nie explizit gewährt hat (z. B. durch Klicken auf die Schaltfläche Continue as), wird er weiterhin als neuer Nutzer behandelt.
      Der Entwickler muss nichts weiter tun. Der Ablauf für die automatische erneute Authentifizierung könnte mit dieser Änderung häufiger ausgelöst werden, wenn der IdP Zugriff auf Drittanbieter-Cookies hat und angibt, dass der Nutzer in der Vergangenheit ein Konto auf dem RP erstellt hat.

Chrome 120 (November 2023)

  • Die Unterstützung für die folgenden drei Funktionen in Chrome 120 wurde hinzugefügt:
    • Login Status API: Die Login Status API ist ein Mechanismus, mit dem eine Website, insbesondere ein IdP, den Browser des Nutzers über den Anmeldestatus informiert. Mit dieser API kann der Browser unnötige Anfragen an den IdP reduzieren und potenzielle Timing-Angriffe abschwächen. Die Login Status API ist eine Voraussetzung für FedCM. Mit dieser Änderung ist das Flag chrome://flags/#fedcm-without-third-party-cookies nicht mehr erforderlich, um FedCM zu aktivieren, wenn Drittanbieter-Cookies blockiert werden.
    • Error API: Die Error API benachrichtigt den Nutzer über eine Browser-UI mit den vom IdP bereitgestellten Fehlerinformationen.
    • Auto-Selected Flag API: Die Auto-Selected Flag API gibt an, ob eine explizite Nutzerberechtigung durch Tippen auf die Schaltfläche Continue as (Weiter als) mit dem IdP und dem RP erhalten wurde, wenn eine automatische erneute Authentifizierung oder eine explizite Vermittlung erfolgt ist. Die Freigabe erfolgt erst, nachdem die Nutzerberechtigung für die IdP- und RP-Kommunikation gewährt wurde.

Chrome 117 (September 2023)

Chrome 116 (Aug. 2023)

  • In Chrome 116 werden jetzt die folgenden drei Funktionen unterstützt:
    • Login Hint API: Geben Sie das bevorzugte Nutzerkonto für die Anmeldung an.
    • User Info API: Ruft die Informationen des wiederkehrenden Nutzers ab, damit der Identitätsanbieter (IdP) eine personalisierte Anmeldeschaltfläche in einem iFrame rendern kann
    • RP Context API: Verwenden Sie im FedCM-Dialogfeld einen anderen Titel als „Anmelden“.
  • Ursprungstest für die IdP Sign-In Status API ist verfügbar. Weitere Informationen finden Sie unter FedCM-Updates: IdP Sign-In Status API, Log-in-Hint und mehr.

Chrome 115 (Juni 2023)

  • Die automatische erneute Authentifizierung wird jetzt unterstützt. Nutzer können sich dann automatisch noch einmal authentifizieren, wenn sie nach der ersten Authentifizierung mit FedCM zurückkommen. Das verbessert die Nutzererfahrung und ermöglicht eine optimierte erneute Authentifizierung beim RP nach der anfänglichen Einwilligung. Weitere Informationen zur automatischen erneuten FedCM-Authentifizierung

Chrome 110 (Februar 2023)

  • Für den ID-Assertion-Endpunkt müssen IdPs den Origin-Header (anstelle des Referer-Headers) prüfen, um festzustellen, ob der Wert mit dem Ursprung der Client-ID übereinstimmt.
  • Die ursprungsübergreifende Unterstützung von iFrames für FedCM ist jetzt verfügbar. Die Einbettung sollte die Berechtigungsrichtlinie identity-credentials-get angeben, um die FedCM API im eingebetteten ursprungsübergreifenden iFrame zuzulassen. Hier findest du ein Beispiel für einen ursprungsübergreifenden iFrame.
  • Neues Chrome-Flag „chrome://flags/#fedcm-without-third-party-cookies“ hinzugefügt. Mit diesem Flag können Sie die FedCM-Funktionalität in Chrome testen, indem Sie Cookies von Drittanbietern blockieren. Weitere Informationen finden Sie in der FedCM-Dokumentation.

Chrome 108 (Oktober 2022)

  • Das „Manifest der obersten Ebene“ wird im Dokument jetzt als „well-known file“ bezeichnet. Es sind keine Änderungen an der Implementierung erforderlich.
  • „IdP-Manifest“ wird im Dokument jetzt als „Konfigurationsdatei“ bezeichnet. Es sind keine Änderungen an der Implementierung erforderlich.
  • id_token_endpoint in der Konfigurationsdatei wird in id_assertion_endpoint umbenannt.
  • Die Anfragen an den IdP enthalten jetzt einen Sec-Fetch-Dest: webidentity-Header anstelle eines Sec-FedCM-CSRF: ?1-Headers.

Chrome 105 (August 2022)

  • Dem Dokument wurden wichtige Sicherheitsinformationen hinzugefügt. Der Identitätsanbieter (Identity Provider, IdP) muss prüfen, ob der Referer-Header mit dem Ursprung übereinstimmt, den das RP im Voraus auf dem ID-Token-Endpunkt registriert hat.
  • Das Manifest der obersten Ebene wird von /.well-known/fedcm.json in /.well-known/web-identity umbenannt. Die in provider_urls angegebene URL sollte den Dateinamen enthalten.
  • Die Methoden login(), logout() und revoke() für FederatedCredential-Instanzen sind nicht mehr verfügbar.
  • Die Federated Credential Management API verwendet jetzt den neuen Typ IdentityCredential anstelle von FederatedCredential. Dies kann für die Featureerkennung verwendet werden, ist ansonsten jedoch eine weitgehend unsichtbare Änderung.
  • Verschieben Sie die Anmeldefunktion von einer Kombination aus navigator.credentials.get() und FederatedCredential.prototype.login() zu navigator.credentials.get().
  • Der im Manifest angegebene Widerrufsendpunkt ist nicht mehr gültig.
  • Verwenden Sie für navigator.credentials.get()-Aufrufe das Feld identity anstelle des Felds federated.
  • url ist jetzt configURL und muss die vollständige URL für die JSON-Manifestdatei anstelle des Pfads für einen navigator.credentials.get()-Aufruf sein.
  • nonce ist jetzt ein optionaler Parameter für navigator.credentials.get().
  • hint ist nicht mehr als Option für navigator.credentials.get() verfügbar.
const credential = await navigator.credentials.get({
  identity: {
    providers: [{
      configURL: 'https://idp.example/anything.json',
      clientId: '********',
      nonce: '******'
    }]
  }
});
const { token } = credential;

Chrome 104 (Juni 2022)

  • Der an den ID-Token-Endpunkt gesendete consent_acquired-Parameter ist jetzt disclosure_text_shown. Der Wert bleibt unverändert.
  • Brandingsymbole im IdP-Manifest unterstützen SVG-Bilder nicht mehr, müssen jedoch nicht mehr gemäß der Content Security Policy des RP zulässig sein.

Chrome 103 (Mai 2022)

  • Unterstützt Desktopumgebungen.
  • Unterstützt RP-Einstellungen auf dem Computer.
  • Der Clientmetadatenendpunkt ist jetzt optional. An diesem Endpunkt ist auch die URL der Datenschutzerklärung optional.
  • Ein Vorbehalt zur Verwendung der CSP connect-src im Dokument wurde hinzugefügt.

Weitere Informationen