API федеративного управления учетными данными (FedCM) поставляется в Chrome 108 (в настоящее время находится на бета-канале). Когда FedCM API выйдет в стабильной версии Chrome в конце ноября 2022 года, он будет работать в Chrome без необходимости использования флага или пробного токена происхождения.
FedCM — это API-интерфейс Privacy Sandbox , который предоставляет абстракцию для конкретных вариантов использования для федеративных потоков идентификации в Интернете. FedCM предоставляет диалоговые окна, опосредованные браузером, которые позволяют пользователям выбирать учетные записи от поставщиков удостоверений для входа на веб-сайты.
Ознакомьтесь с последними изменениями API на странице накопленных обновлений .
Мы планируем представить ряд новых функций на основе отзывов, полученных от поставщиков удостоверений (IdP), проверяющих сторон (RP) и поставщиков браузеров. Хотя мы надеемся, что поставщики удостоверений примут FedCM, имейте в виду, что FedCM все еще является API, находящимся в активной разработке, и что изменения, несовместимые с предыдущими версиями, ожидаются до четвертого квартала 2023 года.
Чтобы свести к минимуму проблемы, связанные с развертыванием обратно несовместимых изменений, в настоящее время у нас есть две рекомендации для поставщиков удостоверений:
- Подпишитесь на нашу рассылку , где мы будем предоставлять обновления по мере развития API.
- Мы настоятельно рекомендуем IdP распространять FedCM API через JavaScript SDK, пока API находится в стадии разработки, и не поощрять RP использовать самостоятельное размещение SDK. Это позволит поставщикам удостоверений вносить изменения по мере развития API без необходимости просить все проверяющие стороны выполнить его повторное развертывание.
Фон
За последнее десятилетие федерация идентификации сыграла центральную роль в повышении планки аутентификации в Интернете с точки зрения надежности, простоты использования (например, единый вход без пароля) и безопасности (например, повышенная устойчивость от фишинга и атак с подтасовкой учетных данных) по сравнению с именами пользователей и паролями для каждого сайта.
К сожалению, механизмы, на которые опиралась федерация идентификации (iframe, перенаправление и файлы cookie), активно используются для отслеживания пользователей в сети. Поскольку пользовательский агент не может различать федерацию удостоверений и отслеживание, меры по смягчению последствий различных типов злоупотреблений усложняют развертывание федерации удостоверений.
FedCM — это многоэтапный путь к улучшению идентификации в Интернете, и на первом этапе мы концентрируемся на снижении влияния поэтапного отказа от сторонних файлов cookie на федеративную идентификацию (о дальнейших планах см. ниже).
Chrome экспериментирует с FedCM начиная с Chrome 101 .
Команда Google Identity Services приняла участие в пробной версии Origin и продемонстрировала, что переход на более конфиденциальный и безопасный процесс входа в систему, не использующий сторонние файлы cookie, может происходить прозрачно благодаря обратно совместимым обновлениям существующей библиотеки. Они включили FedCM для 20 различных проверяющих сторон, и более 300 тысяч пользователей вошли в систему во время исходных испытаний. Узнайте больше о том, как они планируют избавиться от зависимости от сторонних файлов cookie .
Мы рады найти много точек соприкосновения с Mozilla, которая активно участвовала в обсуждениях дизайна и начала создавать прототипы FedCM в Firefox . Apple заявила о своей общей поддержке спецификации и начинает участвовать в обсуждениях на FedID CG .
Что дальше
Мы работаем над внесением ряда изменений в FedCM.
Мы знаем, что есть несколько вещей, которые еще предстоит сделать, включая проблемы, о которых мы слышали от поставщиков удостоверений, RP и поставщиков браузеров. Мы уверены, что знаем, как решить эти проблемы:
- Поддержка iframe из разных источников : поставщики удостоверений могут вызывать FedCM из iframe из разных источников.
- Персонализированная кнопка . Поставщики удостоверений могут отображать личность возвращающегося пользователя на кнопке входа в iframe с разными источниками.
- Конечная точка метрик : предоставляет поставщикам удостоверений метрики производительности.
Кроме того, существуют нерешенные проблемы, которые мы активно изучаем, включая конкретные предложения, которые мы оцениваем или создаем прототипы:
- CORS : Мы ведем переговоры с Apple и Mozilla , чтобы улучшить спецификации выборок FedCM.
- API для нескольких IdP : мы изучаем способы поддержки нескольких IdP для совместного существования в средстве выбора учетной записи FedCM.
- API статуса входа в систему IdP : Mozilla обнаружила проблему временной атаки , и мы изучаем способы, с помощью которых IdP может активно уведомлять браузер о статусе входа пользователя , чтобы устранить эту проблему.
- Вход в API IdP . Для поддержки различных сценариев , когда пользователь не выполнил вход в IdP, браузер предоставляет пользовательский интерфейс, позволяющий пользователю войти в систему, не выходя из RP.
Наконец, есть вещи, которые, по нашему мнению, еще необходимо сделать, основываясь на отзывах рецензентов Mozilla , Apple и TAG . Мы работаем над тем, чтобы найти лучшее решение для следующих открытых вопросов:
- Улучшение понимания пользователем и сопоставления намерений . Как отметила Mozilla , мы хотели бы продолжить изучение различных формулировок UX и областей применения, а также критериев запуска.
- Атрибуты идентичности и выборочное раскрытие . Как отметили наши рецензенты TAG , мы хотели бы предоставить механизм для выборочного обмена большим или меньшим количеством атрибутов идентичности (таких как электронные письма, возрастные группы, номера телефонов и т. д.).
- Повышение свойств конфиденциальности . Как предлагает здесь Mozilla, мы хотели бы продолжить изучение механизмов, обеспечивающих лучшие гарантии конфиденциальности, таких как слепота IdP и направленные идентификаторы.
- Отношения с WebAuthn : Как было предложено Apple , мы очень рады видеть прогресс в разработке ключей доступа и работать над обеспечением согласованного и связного взаимодействия между FedCM, Passwords, WebAuthn и WebOTP.
- Статус входа в систему : Как предложила Apple в API статуса входа в Privacy CG, мы разделяем интуитивное понимание того, что статус входа пользователя — это полезная информация, которая может помочь браузерам принимать обоснованные решения, и мы рады видеть, какие возможности открываются в результате этого.
- Предприятия и образование : Как стало ясно на FedID CG, существует еще множество вариантов использования , которые FedCM не очень хорошо обслуживает, над которыми мы хотели бы поработать, например, выход из переднего канала (возможность IdP отправлять сигнал RP о выходе из системы) и поддержка SAML.
- Отношения с mDL, VC и другими : продолжайте работать над тем, чтобы понять, как они сочетаются с FedCM, например, с API запроса мобильных документов .
Ресурсы
- Попробуйте демо-версию FedCM .
- Если вы являетесь поставщиком удостоверений, заинтересованным во внедрении FedCM, прочтите руководство для разработчиков . Если вы RP, спросите своего поставщика удостоверений, планируют ли они внедрить FedCM.
- Ознакомьтесь с обновлениями API FedCM .
- Если у вас есть пожелания по функциям, отзывы или проблемы, отправляйте их в общедоступный репозиторий FedCM на GitHub .