Cette page a été traduite par l'API Cloud Translation.

Mises à jour FedCM: phase d'évaluation pour la réauthentification automatique

Lancement de quelques nouveautés dans FedCM, y compris une nouvelle phase d'évaluation pour la réauthentification automatique.

L'API Federated Credential Management (FedCM) est API Web pour la fédération d'identité protégeant la confidentialité. Avec la fédération d'identité, La RP (partie de confiance) s'appuie sur un IdP (fournisseur d'identité) pour fournir à l'utilisateur sans avoir à saisir un nouveau nom d'utilisateur et un nouveau mot de passe.

FedCM est une API sur mesure qui permet au navigateur de comprendre le contexte durant lequel le tiers assujetti à des restrictions et le fournisseur d'identité échangent des informations, informez l'utilisateur des des informations et des niveaux de privilèges afin d'éviter toute utilisation abusive involontaire.

Mises à jour

Quelques mises à jour ont été apportées à la mise en œuvre de FedCM dans Chrome:

Pour l'assertion d'ID point de terminaison, les fournisseurs d'identité doivent vérifiez l'en-tête Origin (au lieu de l'en-tête Referer) pour voir si valeur correspond à l'origine de l'ID client.
Un nouvel indicateur Chrome chrome://flags/#fedcm-without-third-party-cookies ajouté. Avec cet indicateur, vous pouvez testez le fonctionnement de FedCM dans Chrome en bloquant les applications les cookies.

Pour toutes les mises à jour précédentes de l'API, consultez Federated Credential Management (gestion fédérée des identifiants) Mises à jour de l'API.

La dernière version de FedCM inclut une nouvelle fonctionnalité de réauthentification automatique, qui permet de réauthentifier les utilisateurs automatiquement lorsqu'ils reviennent après leur authentification initiale via FedCM. La réauthentification automatique est disponible en tant que phase d'évaluation à partir de Chrome 112.

Réauthentification automatique

Actuellement, après qu'un utilisateur a créé un compte fédéré sur un tiers assujetti à des restrictions avec un IdP via FedCM, la prochaine fois qu'ils accéderont site web qu'ils doivent suivre les mêmes étapes dans l'interface utilisateur. Autrement dit, ils doivent confirmer explicitement et de nouveau s'authentifier pour suivez la procédure de connexion. Comme l'un des principaux l'objectif de FedCM est d'éviter le suivi dissimulé. Cette expérience utilisateur a créé le compte fédéré, mais celui-ci devient inutile et fastidieux une fois que l'utilisateur a l'avoir parcouru une fois. Une fois que l'utilisateur a autorisé la communication entre le RP et l'IdP, il n'y a aucun avantage en termes de confidentialité ou de sécurité pour exiger une autre confirmation explicite de l'utilisateur pour quelque chose qu'il a déjà confirmé. C'est pourquoi Chrome propose une interface L'expérience utilisateur que les tiers assujettis à des restrictions peuvent choisir pour leurs utilisateurs connus.

Réauthentification automatique FedCM ("réauthentification automatique") permet de réauthentifier automatiquement les utilisateurs (lorsque les tiers participent), lorsqu'ils reviennent après leur authentification initiale à l'aide de FedCM. « Le début "Authentification unique" que l'utilisateur crée un compte ou se connecte site Web en appuyant sur le bouton Continuer en tant que dans la boîte de dialogue de connexion de FedCM pour la première fois sur la même instance de navigateur.

Une boîte de dialogue sur laquelle l'utilisateur appuie pour créer un compte ou s'authentifier.

La RP peut demander une réauthentification automatique en appelant navigator.credentials.get() avec autoReauthn: true.

const cred = await navigator.credentials.get({
  identity: {
    providers: [{
      configURL: "https://idp.example/fedcm.json",
      clientId: "1234",
    }],
    // NOTE: We are exploring different API options to expose this
    // functionality here:
    // https://github.com/fedidcg/FedCM/issues/429#issuecomment-1426358523
    // You should expect that, as a result of the origin trial, we'll
    // learn more from developers and browser vendors what works best here.
    autoReauthn: true, // default to false
  },
});

Avec cet appel, la réauthentification automatique s'effectue dans les cas suivants:

FedCM est disponible. Par exemple, l'utilisateur n'a pas non plus désactivé FedCM. à l'échelle mondiale ou pour le tiers assujetti à des restrictions.
L'utilisateur n'a utilisé qu'un seul compte FedCM pour se connecter au site Web dans ce navigateur.
L'utilisateur est connecté au fournisseur d'identité avec ce compte.
La réauthentification automatique ne s'est pas produite au cours des 10 dernières minutes.

Lorsque les conditions ci-dessus sont remplies, une tentative de réauthentification automatique du L'utilisateur démarre dès que l'navigator.credentials.get() FedCM est appelé.

</ph>

Un utilisateur se réauthentifie automatiquement auprès d'un tiers assujetti à des restrictions à l'aide de FedCM.

Essayer

Vous pouvez essayer la réauthentification automatique FedCM en local en activant un indicateur chrome://flags#fedcm-auto-re-authn activé Chrome 112 ou version ultérieure.

À des fins de test, vous pouvez réinitialiser la période silencieuse de 10 minutes en supprimant les données du navigateur.

Accédez à chrome://history.
Dans le champ "Historique des recherches", saisissez l'origine du tiers assujetti à des restrictions.
Cliquez sur l'icône à trois points ⋮ et sélectionnez Supprimer de l'historique.
Redémarrez Chrome.

Participer à la phase d'évaluation

Vous pouvez également activer cette fonctionnalité sur votre site Web en rejoignant le groupe de test phase d'évaluation disponible à partir de Chrome 112 à Chrome 114.

Les phases d'évaluation vous permettent d'essayer de nouvelles fonctionnalités et de donner votre avis sur leur facilité d'utilisation, leur praticité et leur efficacité à la communauté des standards Web. Pour en savoir plus, consultez le guide sur les phases d'évaluation pour les développeurs Web. Pour vous inscrire à cette phase d'évaluation ou à une autre, accédez à la page d'inscription.

Pour enregistrer l'origine tierce d'essai et d'activer la fonctionnalité sur les tiers:

Accédez à la page d'inscription aux essais Origin Trial.
Cliquez sur le bouton Register (S'inscrire) et remplissez le formulaire pour demander un jeton.
Saisissez Web Origin (Origine Web) pour l'origine de diffusion.
Cochez la case Correspondance tierce pour injecter le jeton avec JavaScript sur d'autres origines.
Cliquez sur Envoyer.
Intégrez le jeton émis à un tiers.

Pour intégrer le jeton à un tiers, ajoutez le code suivant à votre code JavaScript bibliothèque ou SDK diffusé à partir de l'origine du site Web enregistré.

const tokenElement = document.createElement('meta');
tokenElement.httpEquiv = 'origin-trial';
tokenElement.content = 'TOKEN_GOES_HERE';
document.head.appendChild(tokenElement);

Remplacez TOKEN_GOES_HERE par votre propre jeton.

Interagir et partager des commentaires

Si vous avez des commentaires ou rencontrez des problèmes lors des tests, vous pouvez les partager sur crbug.com. sous le composant Blink>Identity>FedCM.

Photo par Alex Perz sur Désactiver