Federated Credential Management API – Übersicht

Eine Web-API für die datenschutzfreundliche Identitätsföderation.

Was ist FedCM?

FedCM (Federated Credential Management) ist ein datenschutzfreundlicher Ansatz für föderierte Identitätsdienste (z. B. „Über Google anmelden“), der nicht auf Drittanbieter-Cookies oder Navigationsweiterleitungen angewiesen ist.

Implementierungsstatus

Basierend auf dem Feedback von Identitätsanbietern, vertrauenden Seiten und Browseranbietern planen wir, eine Reihe neuer Funktionen einzuführen. Wir hoffen, dass Identitätsanbieter FedCM verwenden werden. Beachten Sie jedoch, dass FedCM noch eine API in aktiver Entwicklung ist.

Um die Herausforderungen bei der Bereitstellung nicht abwärtskompatibler Änderungen zu minimieren, haben wir zwei Empfehlungen für Identitätsanbieter:

  • Abonnieren Sie unseren Newsletter, um über die Weiterentwicklung der API auf dem Laufenden zu bleiben.
  • Wir empfehlen Identitätsanbietern, die FedCM API mit JavaScript-SDKs zu verteilen, während die API weiterentwickelt wird, und RPs davon abzuhalten, SDKs selbst zu hosten. So können IdPs Änderungen vornehmen, wenn sich die API weiterentwickelt, ohne alle ihre vertrauenden Seiten zur Neubereitstellung auffordern zu müssen.

Warum benötigen wir FedCM?

In den letzten zehn Jahren hat die Identitätsfederation eine zentrale Rolle bei der Verbesserung der Authentifizierung im Web gespielt, was Vertrauenswürdigkeit, Benutzerfreundlichkeit (z. B. die passwortlose Einmalanmeldung) und Sicherheit (z. B. verbesserte Widerstandsfähigkeit gegen Phishing- und Anmeldedaten-Füllungsangriffe) im Vergleich zu Website-spezifischen Nutzernamen und Passwörtern angeht.

Bei der Identitätsföderation stützt sich eine vertrauende Partei (RP) auf einen Identitätsanbieter (IdP), um dem Nutzer ein Konto zur Verfügung zu stellen, ohne dass ein neuer Nutzername und ein neues Passwort erforderlich sind.

Leider werden die Mechanismen, auf die sich die Identitätsfederation stützt (Iframes, Weiterleitungen und Cookies), aktiv missbraucht, um Nutzer im Web zu verfolgen. Da der User-Agent nicht zwischen Identitätsföderation und Tracking unterscheiden kann, erschweren die Maßnahmen zur Abschwächung der verschiedenen Arten von Missbrauch die Bereitstellung der Identitätsföderation.

Die Federated Credential Management API (FedCM) bietet eine nutzungsfallspezifische Abstraktion für föderierte Identitätsabläufe im Web. Dazu wird ein browserbasierter Dialogfeld angezeigt, in dem Nutzer Konten von Identitätsanbietern auswählen können, um sich auf Websites anzumelden.

FedCM ist ein mehrstufiger Prozess, mit dem die Identität im Web verbessert werden soll. Im ersten Schritt konzentrieren wir uns darauf, die Auswirkungen von Einschränkungen für Drittanbieter-Cookies auf die föderierte Identität zu verringern. Weitere Schritte finden Sie im Abschnitt zur Roadmap.

Was wird voraussichtlich betroffen sein?

Durch Communitybeiträge und unsere Recherche haben wir festgestellt, dass einige Integrationen im Zusammenhang mit der Identitätsfederation von den Einschränkungen für Drittanbieter-Cookies betroffen sind:

Das primäre Ziel von FedCM besteht darin, die Auswirkungen von Einschränkungen für Drittanbieter-Cookies auf die Identitätsabgleichsfunktion zu reduzieren. Hier sind die Bereiche, die voraussichtlich betroffen sein werden. Wenn es weitere Anwendungsfälle gibt, die nicht aufgeführt sind, können Sie mit uns in Kontakt treten und Feedback geben.

FedCM als Vertrauenssignal für andere APIs

Neben der Verarbeitung der föderierten Identität dient FedCM auch als Vertrauenssignal für andere Privacy Sandbox APIs.

Ab Chrome 131 verwendet die Storage Access API (SAA) FedCM als Vertrauenssignal. Diese Integration ist nützlich für Websites, die sowohl FedCM für die Authentifizierung als auch die SAA verwenden, um iframes verschiedener Herkunft den Zugriff auf den erforderlichen Speicher zu ermöglichen.

Wenn sich ein Nutzer mit FedCM authentifiziert und die RP-Opt-in-Funktion aktiviert ist, kann der Inhalt des IdP, der auf der Website des RP eingebettet ist, die requestStorageAccess()-Methode aufrufen, um automatisch Speicherzugriff auf seine eigenen Top-Level-Cookies zu erhalten, ohne dass eine zusätzliche Aufforderung für den Nutzer erforderlich ist. Die Berechtigung wird nur dann automatisch gewährt, wenn der Nutzer mit FedCM angemeldet ist und der Anmeldestatus von FedCM aktiv ist. Weitere Informationen finden Sie in der Dokumentation zur Storage Access API.

Für wen ist FedCM geeignet?

FedCM ist nur dann für Sie geeignet, wenn alle folgenden Bedingungen erfüllt sind:

  1. Sie sind ein Identitätsanbieter (Identity Provider, IdP).
  2. Sie sind von den Einschränkungen für Drittanbieter-Cookies betroffen.
  3. Ihre Verweisquellen sind Websites von Drittanbietern. Wenn Ihre RPs sinnvoll miteinander verknüpfte Websites sind, sind ähnliche Website-Sets möglicherweise besser geeignet.

Sie sind ein Identitätsanbieter

Für FedCM ist die Unterstützung eines Identitätsanbieters erforderlich. Eine vertrauende Partei kann FedCM nicht unabhängig verwenden. Wenn Sie ein RP sind, können Sie Ihren Identitätsanbieter um eine Anleitung bitten.

Sie sind von den Einschränkungen für Drittanbieter-Cookies betroffen

Sie sollten FedCM nur verwenden, wenn Ihre aktuelle Integration von den Einschränkungen für Drittanbieter-Cookies betroffen ist.

Wenn Sie sich nicht sicher sind, ob Ihre Identitätsfederation weiterhin funktioniert, wenn Drittanbieter-Cookies nicht verfügbar sind, können Sie die Auswirkungen auf einer Website testen, indem Sie Drittanbieter-Cookies in Chrome blockieren.

Wenn ohne Drittanbieter-Cookies keine erkennbaren Auswirkungen auf Ihre Identitätsföderation zu verzeichnen sind, können Sie Ihre aktuelle Integration auch ohne FedCM weiterverwenden.

Wenn Sie sich nicht sicher sind, worauf Sie achten müssen, lesen Sie mehr über die bekannten Funktionen, auf die sich die Einschränkungen für Drittanbieter-Cookies voraussichtlich auswirken werden.

Ihre RPs sind Drittanbieter

Wenn Sie ein Identitätsanbieter sind, dessen RPs eine direkte Beziehung zum IdP haben, sind ähnliche Website-Sets möglicherweise die bessere Option. Mithilfe von Gruppen ähnlicher Websites (Related Website Sets, RWS) können Organisationen Beziehungen zwischen Websites deklarieren, damit Browser den Zugriff von Drittanbieter-Cookies für bestimmte Zwecke einschränken. So können Drittanbieter-Cookies auf mehreren sinnvoll miteinander verbundenen Websites funktionieren, auch wenn Drittanbieter-Cookies anderweitig eingeschränkt sind.

Wie interagieren Nutzer mit FedCM?

FedCM soll vor allem die Auswirkungen der Einschränkungen für Drittanbieter-Cookies abmildern. Nutzer können FedCM in den Chrome-Nutzereinstellungen aktivieren oder deaktivieren.

FedCM ist protokollunabhängig und bietet die folgenden authentifizierungsbezogenen Funktionen.

In dieser Demo zeigen wir Ihnen, wie das funktioniert.

Bei einer vertrauenden Seite anmelden

FedCM hat zwei UI-Modi:

Passiver Modus Im passiven Modus ist keine Nutzerinteraktion erforderlich, damit die FedCM-Aufforderung angezeigt wird. Wenn der Nutzer die Website der vertrauenden Partei (RP) aufruft, wird möglicherweise ein FedCM-Anmeldedialogfeld angezeigt, wenn navigator.credentials.get() aufgerufen wird und der Nutzer beim IdP angemeldet ist.

Ein Nutzer meldet sich mit FedCM im passiven Modus bei einem RP an.

Aktiver Modus Im aktiven Modus ist eine Nutzerinteraktion (z. B. ein Klick auf eine Schaltfläche) erforderlich, um einen FedCM-Prompt auszulösen.

Ein Nutzer meldet sich mit FedCM im Aktivmodus bei einem RP an.

Wenn der Nutzer kein Konto beim RP mit dem Identitätsanbieter hat, wird ein Anmeldedialogfeld mit zusätzlichen Offenlegungstexten angezeigt, z. B. die Nutzungsbedingungen und die Datenschutzerklärung des RP, sofern diese verfügbar sind.

Der Nutzer kann die Anmeldung abschließen, indem er auf Als… fortfahren tippt. Bei Erfolg speichert der Browser, dass der Nutzer ein föderiertes Konto beim RP mit dem IdP erstellt hat.

RPs sollten in Browsern funktionieren, die FedCM nicht unterstützen. Nutzer sollten in solchen Browsern einen vorhandenen Anmeldevorgang verwenden können, der nicht auf FedCM basiert. Weitere Informationen zur Anmeldung in der FedCM

Einstellungen zum Aktivieren oder Deaktivieren von FedCM

Nutzer können FedCM im passiven Modus aktivieren oder deaktivieren. Dies hat keine Auswirkungen auf den aktiven Modus, da die Anmeldeanfrage durch eine Nutzergeste initiiert wird und der Browser Nutzer bei der Anmeldung unterstützen sollte.

Computer

Nutzer können FedCM für Chrome auf dem Computer unter chrome://settings/content/federatedIdentityApi aktivieren oder deaktivieren.

Aktivieren Sie FedCM in den Chrome-Einstellungen auf dem Computer, indem Sie die Option „Anmeldung in Drittanbieter-Apps und ‑Diensten“ aktivieren.

Android

Wenn Nutzer FedCM in Chrome auf Android aktivieren oder deaktivieren möchten, können sie die Chrome-Einstellungen > Website-Einstellungen > Anmeldung in Drittanbieter-Apps und ‑Diensten aufrufen und die Ein/Aus-Schaltfläche ändern.

Aktivieren Sie FedCM in den Chrome-Einstellungen auf Mobilgeräten, indem Sie die Option „Anmeldung in Drittanbieter-Apps und ‑Diensten“ aktivieren.

Wartezeit nach Eingabeaufforderung

Wenn der Nutzer die Benutzeroberfläche manuell schließt, wird der Benutzeroberfläche für die Einstellungen vorübergehend ein Eintrag hinzugefügt und die Benutzeroberfläche wird für einen bestimmten Zeitraum nicht mehr auf derselben Website angezeigt. Die Benutzeroberfläche wird nach Ablauf der Zeit wieder aktiviert. Bei aufeinanderfolgenden Schließungen wird die Dauer jedoch exponentiell verlängert. Beispielsweise in Chrome:

Anzahl der aufeinanderfolgenden Schließungen Zeitraum, in dem der FedCM-Prompt unterdrückt wird
1 Zwei Stunden
2 Ein Tag
3 Eine Woche
4+ Vier Wochen

Andere Browser können eigene, abweichende Wartezeiten definieren.

Nutzer können FedCM auf der RP manuell wieder aktivieren, indem sie entweder die Seite mit den Einstellungen aufrufen oder auf die PageInfo-Benutzeroberfläche (ein Schlosssymbol neben der URL-Leiste) klicken und die Berechtigung zurücksetzen.

Roadmap

Wir arbeiten an einer Reihe von Änderungen an FedCM. Weitere Informationen finden Sie unter Aktualisierungen.

  • Änderungsprotokoll: Aktualisierungen der Federated Credential Management API.

Es gibt noch einige Dinge, die wir tun müssen, einschließlich Probleme, die uns von Identitätsanbietern, RPs und Browseranbietern gemeldet wurden. Wir glauben, dass wir diese Probleme beheben können:

  • Unterstützung von iframes mit unterschiedlichen Ursprüngen: IdPs können FedCM über einen iframe mit unterschiedlichen Ursprüngen aufrufen (Update).
  • Personalisierte Schaltfläche: IdPs können die Identität eines wiederkehrenden Nutzers auf der Anmeldeschaltfläche in einem IdP-eigenen iframe mit mehreren Ursprüngen anzeigen (Aktualisierung).
  • Messwertendpunkt: Stellt IdPs Leistungsmesswerte zur Verfügung.

Außerdem gibt es noch ungelöste Probleme, die wir aktiv untersuchen, darunter bestimmte Vorschläge, die wir derzeit bewerten oder als Prototyp entwickeln:

Basierend auf dem Feedback von Mozilla, Apple und TAG-Prüfern sind unserer Meinung nach noch einige Dinge zu tun. Wir arbeiten daran, die besten Lösungen für diese offenen Fragen zu finden:

  • Verbesserung der Nutzerfreundlichkeit und der Übereinstimmung der Suchanfrage: Wie Mozilla angemerkt hat, möchten wir weiterhin verschiedene UX-Formulierungen und Oberflächen sowie Triggerkriterien untersuchen.
  • Identitätsattribute und selektive Offenlegung: Wie unsere TAG-Rezensenten bereits bemerkt haben, möchten wir einen Mechanismus bereitstellen, mit dem mehr oder weniger Identitätsattribute (z. B. E-Mail-Adressen, Altersgruppen, Telefonnummern usw.) selektiv freigegeben werden können.
  • Verbesserung der Datenschutzeigenschaften: Wie Mozilla in seiner Standardsposition vorgeschlagen hat, möchten wir weiterhin nach Mechanismen suchen, die bessere Datenschutzgarantien bieten, z. B. IdP-Blindheit und gerichtete IDs.
  • Beziehung zu WebAuthn: Wie von Apple vorgeschlagen, sind wir sehr gespannt auf die Fortschritte bei Passkeys und darauf, eine einheitliche und zusammenhängende Umgebung zwischen FedCM, Passwörtern, WebAuthn und WebOTP zu schaffen.
  • Anmeldestatus: Wie Apple in der Login Status API der Privacy CG vorgeschlagen hat, sind wir der Meinung, dass der Anmeldestatus des Nutzers eine nützliche Information ist, die Browsern helfen kann, fundierte Entscheidungen zu treffen. Wir sind gespannt, welche Möglichkeiten sich daraus ergeben. (Aktualisierung)
  • Unternehmen und Bildungseinrichtungen: Wie aus der FedID-CG hervorgeht, gibt es noch viele Anwendungsfälle, die von FedCM nicht gut abgedeckt werden und an denen wir arbeiten möchten, z. B. das Abmelden über den Front-Channel (die Möglichkeit für einen IdP, ein Signal an RPs zum Abmelden zu senden) und die Unterstützung von SAML.
  • Beziehung zu mDLs/VCs usw.: Ermitteln Sie weiter, wie diese in FedCM passen, z. B. mit der Mobile Document Request API.

FedCM API verwenden

Für die Verwendung von FedCM ist sowohl beim IdP als auch beim RP in Chrome ein sicherer Kontext (HTTPS oder localhost) erforderlich.

Für die Integration mit FedCM müssen Sie eine bekannte Datei, eine Konfigurationsdatei und Endpunkte für die Kontoliste, die Ausstellung von Bescheinigungen und (optional) Clientmetadaten erstellen. Über FedCM werden JavaScript APIs bereitgestellt, mit denen sich RPs beim IdP anmelden können.

Weitere Informationen zur Verwendung der FedCM API findest du im FedCM-Entwicklerleitfaden.

Feedback geben und erhalten

Einhaltung der ePrivacy-Gesetze

Die Verwendung von FedCM, entweder als Identitätsanbieter oder als Reseller, beinhaltet das Speichern von Informationen auf dem Endgerät eines Nutzers oder den Zugriff auf bereits dort gespeicherte Informationen. Daher unterliegt sie den Gesetzen zum Schutz der Privatsphäre im Internet im Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich, die in der Regel die Einwilligung des Nutzers erfordern. Sie müssen selbst entscheiden, ob die Verwendung von FedCM unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich angeforderten Onlinedienst bereitzustellen, und daher von der Einwilligungspflicht ausgenommen ist. Weitere Informationen finden Sie in den häufig gestellten Fragen zur datenschutzkonformen Nutzung der Privacy Sandbox.