דף זה תורגם על ידי Cloud Translation API.

סקירה כללית על Federated Credential Management API

ממשק API לאינטרנט לאיחוד שירותי אימות הזהות של שמירה על הפרטיות.

מה זה FedCM?

FedCM (ניהול של פרטי כניסה מאוחדים) שומר על הפרטיות גישה לשירותי זהות מאוחדים (כמו "כניסה באמצעות..."), שלפיה משתמשים יכולים להתחבר לאתרים בלי לשתף את המידע האישי שלהם עם בשירות הזהות או באתר.

סטטוס הטמעה

סטטוס הפלטפורמה של Chrome
FedCM נשלח ב-Chrome 108.
ההצעה של FedCM פתוחה לדיון ציבורי.
FedCM עדיין לא נתמך בדפדפנים אחרים.
- Mozilla מטמיעה אב טיפוס ב-Firefox ו-Apple הביעה תמיכה כללית ורצונה לעבוד יחד על ההצעה של FedCM.

בהמשך, אנחנו מתכננים להשיק כמה תכונות חדשות על המשוב שקיבלנו מספקי זהויות (IdP), גורמים מסתמכים (RP) וספקי דפדפנים. אנחנו מקווים שספקי זהויות יאמצו את FedCM, אבל חשוב לזכור ש-FedCM הוא עדיין API בפיתוח פעיל.

כדי לצמצם את האתגרים בפריסת שינויים לא תואמים לאחור, יש לנו שתי המלצות לספקי זהויות:

הרשמה ל ניוזלטר שבו יישלחו עדכונים בהתאם להתפתחות ה-API.
אנחנו ממליצים לספקי IdP להפיץ את FedCM API באמצעות ערכות JavaScript SDK ה-API עדיין בשלבי התבגרות, וכדי למנוע מגורם מוגבל (RP) להשתמש בערכות SDK באירוח עצמי. הפעולה הזו תגרור לוודא שמזהי IdP יוכלו לבצע שינויים ככל שה-API מתפתח, בלי שתצטרכו לבקש את כל את הצדדים המסתמכים עליהם לפריסה מחדש.

למה אנחנו צריכים FedCM?

בעשור האחרון, לאיחוד שירותי אימות הזהות היה תפקיד מרכזי בהעלאת סרגל האימות באינטרנט, מבחינת אמינות, קלות השימוש (לדוגמה, כניסה יחידה (SSO) ללא סיסמה) ואבטחה (לדוגמה, תכונות משופרות עמידות בפני מתקפות פישינג ודחיסת פרטי כניסה) בהשוואה לאתר שמות משתמש וסיסמאות.

עם איחוד שירותי אימות הזהות, הגורם הנסמך (RP) מסתמך על IdP (זהות ספק) כדי לספק למשתמש חשבון בלי לדרוש שם משתמש חדש וסיסמה.

לצערנו, המנגנונים שאיחוד שירותי אימות הזהות הסתמך עליהם (iframes, הפניות אוטומטיות וקובצי cookie) משמשים לרעה באופן פעיל כדי לעקוב אחר משתמשים באינטרנט. כי סוכן המשתמש לא יכול להבחין בין איחוד שירותי אימות הזהות לבין המעקב, אפשרויות ההקלות לסוגים השונים של ניצול לרעה הופכים את הפריסה של איחוד שירותי אימות הזהות,

ה-Federated Credential Management API (FedCM) מספק מקרה לדוגמה ספציפי הפשטה של תהליכים של זהויות מאוחדות באינטרנט, על ידי חשיפת דפדפן תיבת דו-שיח בתהליך בחירת הרשת שמאפשרת למשתמשים לבחור חשבונות מספקי הזהויות כדי להתחבר אליהם אתרים.

FedCM הוא שירות מרובה שלבים לשיפור הזהות באינטרנט. ב- השלב הראשון הוא התמקדות בצמצום ההשפעה של הגבלות על קובצי Cookie של צד שלישי בנושא זהות מאוחדת (בקטע 'מפת הדרכים' מופיעים השלבים הבאים: עוד).

משתמש נרשם לגורם מוגבל באמצעות FedCM

אילו שינויים צפויים להשפיע?

דרך הקהילה מאמץ ובמחקר שלנו, גילינו שיש כמה שקשורים לאיחוד שירותי אימות הזהות. שילובים שמושפעים מהגבלות של קובצי cookie של צד שלישי:

המטרה הראשונה של FedCM היא לצמצם את ההשפעה של הגבלות על קובצי cookie של צד שלישי על איחוד שירותי אימות הזהות, ואלו התחומים שבהם אנחנו צופים שיושפעו. אם המיקום יש תרחישים נוספים לדוגמה שלא רשומים. אתם יכולים לעורר עניין ולשתף משוב.

למי כדאי להשתמש ב-FedCM?

אנחנו מצפים ש-FedCM יועיל לך רק אם כל התנאים הבאים מתקיימים:

אתם ספקי זהויות (IdP).
חלות עליכם הגבלות על קובצי cookie של צד שלישי.
הגורמים המוגבלים שלך הם אתרים של צד שלישי. אם הגורמים המוגבלים (RP) הם אתרים בעלי קשר מהותי, יכול להיות שתקבלו שירות טוב יותר לפי אתר קשור סטים.

הוגדרת כ-IdP

FedCM דורש תמיכה מספק זהויות. צד נסמך לא יכול להשתמש FedCM בנפרד. אם אתם ישות מוגבלת, תוכלו לבקש מה-IdP לספק הוראות להתאמה אישית.

חלות עליך הגבלות על קובצי cookie של צד שלישי

יש להשתמש ב-FedCM רק אם השילוב הנוכחי שלך מושפע הגבלות על קובצי Cookie של צד שלישי.

אם אתם לא בטוחים שאיחוד שירותי אימות הזהות ימשיך לפעול כאשר קובצי Cookie של צד שלישי אינם זמינים, אפשר לבדוק את ההשפעה באתר על ידי חסימת קובצי Cookie של צד שלישי ב-Chrome.

אם אין השפעה גלויה על איחוד שירותי אימות הזהות ללא קובצי Cookie של צד שלישי, אפשר להמשיך להשתמש בשילוב הנוכחי בלי FedCM.

אם אתם לא בטוחים מה צריך לבדוק, אפשר לקרוא מידע נוסף על פיצ'רים צפויות להיות לכך השפעה על הגבלות על קובצי Cookie של צד שלישי.

הגורמים המוגבלים שלך הם צד שלישי

אם אתם ספקי זהויות שלגורם מוגבל (RP) יש קשר של צד ראשון ל-IdP, אנחנו מצפים לראות קבוצות של אתרים קשורים הוא פתרון טוב יותר. 'קבוצות של אתרים קשורים' (RWS) מאפשרות לארגון להצהיר על קשרים בין אתרים, כדי שדפדפנים יאפשרו גישה מוגבלת לקובצי cookie של צד שלישי למטרות ספציפיות. כך קובצי Cookie של צד שלישי יכולים לפעול בין קבוצות של אתרים בעלי קשר משמעותי, גם כשקובצי Cookie של צד שלישי מוגבלים בדרכים אחרות.

איך המשתמשים ישתמשו ב-FedCM?

המטרה העיקרית של FedCM היא לצמצם את ההשפעה של קובצי Cookie של צד שלישי ההגבלות. המשתמשים יכולים להפעיל או להשבית את FedCM במשתמש של Chrome הגדרות.

FedCM תוכנן כך שלא יהיה תלוי בפרוטוקולים, ומציע את הדברים הבאים פונקציונליות שקשורה לאימות.

שימוש בספק זהויות כדי להיכנס לחשבון של צד נסמך

אפשר לצפות בהדגמה שלנו כדי לראות איך זה עובד.

משתמש נרשם לגורם מוגבל באמצעות FedCM

כשהמשתמש מגיע לאתר של הגורם הנסמך (RP), מוצגת תיבת דו-שיח לכניסה ל-FedCM. תופיע אם המשתמש מחובר ל-IdP.

אם למשתמש אין חשבון ב-RP עם ה-IdP, תופיע תיבת דו-שיח להרשמה מופיעה עם טקסט גילוי נאות נוסף, כגון התנאים וההגבלות של הגורם המוגבל (RP) וכן מדיניות הפרטיות, אם היא מפורטת.

המשתמש יכול להשלים את הכניסה לחשבון בהקשה על המשך בתור.... אם הפעולה בוצעה ללא שגיאות, הדפדפן מאחסן את העובדה שהמשתמש יצר חשבון מאוחד ב-RP עם ה-IdP.

תוכנות RP אמורות לפעול בדפדפנים שלא תומכים ב-FedCM. המשתמשים צריכים להיות להשתמש בתהליך כניסה קיים שאינו של FedCM. מידע נוסף איך פועלת ב-FedCM.

זהירות: תיבת הדו-שיח לכניסה מאפשרת למשתמשים להיכנס ל-RP באמצעות חשבון מאוחד, אבל אין להסתמך עליו כהסכמה במסגרת הפרטיות האלקטרונית וחוקים להגנה על נתונים באזור הכלכלי האירופי (EEA) ובבריטניה. אם המיקום נקבע שיש צורך בהסכמת המשתמשים בהתאם לחוקים האלה לגבי חלק מהנתונים שלך בעיבוד (הסיבות לכך עשויות להיות מאחר שאתם משתמשים בנתוני API למטרות מעבר ל- אימות, לדוגמה הצגת מודעות בהתאמה אישית למשתמשים), אתם צריכים לקבל את ההסכמה הזו בנפרד מתיבת הדו-שיח של FedCM. לקבלת מידע נוסף, אפשר לקרוא את הקטע 'תאימות' ואת דרישות התאימות שקשורות לפרטיות שאלות נפוצות.

הגדרות להפעלה או להשבתה של FedCM

המשתמשים יכולים להפעיל או להשבית את FedCM בהגדרות של Chrome ב-Android. מעבר אל הגדרות > הגדרות לאתרים > כניסה של צד שלישי, ואז משנים את להחליף מצב.

הפעלת FedCM בהגדרות Chrome בנייד על ידי הפעלת האפשרות 'כניסה של צד שלישי'

כדי לעשות את אותו הדבר עבור Chrome במחשב, צריך לעבור אל chrome://settings/content/federatedIdentityApi

כדי להפעיל את FedCM בהגדרות Chrome במחשב, מחליפים את המצב 'כניסה של צד שלישי'.

מפת דרכים

אנחנו עובדים על מספר שינויים ב-FedCM. צפייה עדכונים פרטים נוספים.

יומן שינויים: עדכונים של Federated Credential Management API.

יש כמה דברים שאנחנו יודעים שעדיין צריכים לעשות, כולל בעיות שאנחנו ששמעתם מהם IdPs, מגורמים מוגבלים (RP) ומספקי דפדפנים. אנחנו מאמינים שאנחנו יודעים כדי לפתור את הבעיות האלה:

תמיכה ב-iframe ממקורות שונים: ספקי IdP יכולים לקרוא ל-FedCM מתוך iframe ממקורות שונים (עדכון).
לחצן בהתאמה אישית: ספקי הזהויות יכולים להציג את הזהות של המשתמש החוזר לחצן הכניסה מתוך iframe ממקורות שונים בבעלות IdP (עדכון).
נקודת קצה למדדים: מספקת מדדי ביצועים לספקי IdP.

בנוסף, יש בעיות שאנחנו בודקים באופן פעיל, כולל בעיות שלא נפתרו, כולל. הצעות ספציפיות שאנחנו בודקים או יוצרים אב טיפוס:

CORS: אנחנו מדברים עם Apple Mozilla כדי להבטיח לשפר את מפרט של אחזור FedCM.
Multiple-IdP API: אנחנו בוחנים דרכים לתמוך ב IdPs שיאפשרו קיום משותף בבורר החשבונות של FedCM.
IdP Sign-in Status API: Mozilla זיהתה התקפת תזמון , ואנחנו בודקים דרכים ל-IdP כדי להודיע לדפדפן באופן יזום על כניסת המשתמש סטטוס כדי מצמצמים את הבעיה. (עדכון)
Sign in to IdP API (כניסה ל-IdP API): כדי לתמוך במגוון תרחישים, שבהם המשתמש לא נכנס ל-IdP, הדפדפן מספק ממשק משתמש שבו המשתמש יכול להיכנס בלי לצאת מהגורם המוגבל.

לסיום, יש דברים שאנחנו עדיין חושבים שצריך לעשות, על סמך משוב מתוך Mozilla, Apple ותיוג בביקורת. אנחנו פועלים כדי להעריך את הפתרונות הטובים ביותר לשאלות הפתוחות האלה:

שיפור הבנת המשתמשים וכוונת ההתאמה של המשתמשים: בתור Mozilla צוין, נשמח להמשיך לחקור ניסוחים שונים של חוויית המשתמש ותחומים שונים של חוויית המשתמש, וגם קריטריונים לטריגרים.
מאפייני זהות וגילוי נאות סלקטיבי: בתור בודקי התגים שלנו" צוין, אנחנו רוצים לספק מנגנון כדי לשתף באופן סלקטיבי יותר או פחות זהות מאפיינים (כמו כתובות אימייל, טווחי גיל, מספרי טלפון וכו').
העלאת מאפייני הפרטיות: כפי שהציע Mozilla במיקום הרגיל שלו, אנחנו רוצים להמשיך ולבחון מנגנונים כדי להציע פרטיות טובה יותר התחייבויות, כמו עיוורון ל-IdP, מזהים מכוונים.
הקשר עם WebAuthn: כפי שהוצע על ידי Apple, אנחנו שמחים לראות את ההתקדמות מפתחות גישה, וכדי לעבוד על לספק קוהרנטית חוויה אחידה של FedCM, סיסמאות, WebAuthn ו-WebOTP.
סטטוס התחברות: כפי ש-Apple הציעה עם סטטוס ההתחברות של CG API, אנחנו משתפים את האינטואיציה סטטוס ההתחברות של המשתמש הוא מידע שימושי שיכול לעזור לדפדפנים לקבל החלטות מושכלות, ואנחנו שמחים לראות אילו הזדמנויות עולות מזה. (עדכון)
Enterprise ו-Education: כפי שאפשר לראות ב-FedID CG, עדיין יש הרבה שימוש פניות שלא מקבלים היטב את התוצאות של FedCM שהיינו רוצים לעבוד עליהן, כמו התנתקות בערוץ קדמי (היכולת של ה-IdP לשלוח אות לגורם מוגבל (RP) יציאה) ותמיכה ב-SAML.
הקשר עם mDLs/VCs וכו': צריך להמשיך לעבוד כדי להבין איך הם מתאימות ל-FedCM, לדוגמה, באמצעות Mobile Document Request API.

שימוש ב-FedCM API

כדי להשתמש ב-FedCM, צריך הקשר מאובטח (HTTPS או Localhost) ב-IdP וגם ב-RP ב-Chrome.

כדי לשלב אותו עם FedCM צריך ליצור קובץ ידוע, קובץ תצורה ונקודות קצה (endpoints) לרשימת חשבונות, להנפקת טענות נכונות (assertions) ולמטא-נתונים של לקוחות (אופציונלי). כאן, FedCM חושף ממשקי API של JavaScript שמשמשים את הגורמים המוגבלים (RP) כדי להיכנס באמצעות ה-IdP.

כדי ללמוד איך להשתמש ב-FedCM API, כדאי לעיין במדריך למפתחים של FedCM.

GitHub: קראו את הסברים, העלאה ועקבו אחר הדיון.
תמיכה למפתחים: ניתן לשאול שאלות ולהצטרף לדיונים בנושא פרטיות תמיכה במפתחים של Sandbox במאגר.

ציות לחוקים בנושא פרטיות ותקשורת אלקטרונית

השימוש ב-FedCM, כ-IdP או כ-RP, כולל אחסון מידע לציוד הטרמינל או לגישה של המשתמש למידע שכבר מאוחסן בו, לכן פעילות מסוימת כפופה לחוקים בנושא פרטיות ותקשורת אלקטרונית באזור הכלכלי האירופי (EEA) ובבריטניה בדרך כלל דורשים הסכמת משתמשים. באחריותך לקבוע אם השימוש שלכם ב-FedCM נדרש באופן מחמיר כדי לספק לשירות מקוון שהמשתמש ביקש באופן מפורש, ולכן הוא פטור דרישה לקבלת הסכמה. לקבלת מידע נוסף, מומלץ לקרוא את עקרונות הפרטיות תאימות לפרטיות שקשורה לפרטיות ב-Sandbox שאלות נפוצות.