फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई (FedCM), Chrome 108 (फ़िलहाल, बीटा चैनल पर) में शिपिंग कर रहा है. जब नवंबर 2022 के आखिर में, FedCM API को Chrome Stable में शिप किया जाएगा, तब Chrome में FedCM API का इस्तेमाल किया जा सकेगा. इसके लिए, कोई फ़्लैग या ऑरिजिन ट्रायल टोकन की ज़रूरत नहीं होगी.
FedCM एक Privacy Sandbox API है, जो वेब पर फ़ेडरेटेड आइडेंटिटी फ़्लो के लिए इस्तेमाल के खास उदाहरण उपलब्ध कराता है. FedCM, ब्राउज़र के ज़रिए मीडिएशन वाले डायलॉग दिखाता है. इसकी मदद से, उपयोगकर्ता वेबसाइटों पर लॉगिन करने के लिए, आइडेंटिटी प्रोवाइडर के खाते चुन सकते हैं.
एक साथ इकट्ठा हुए अपडेट वाले पेज पर जाकर, एपीआई में हुए नए बदलावों की समीक्षा करें.
आइडेंटिटी प्रोवाइडर (आईडीपी), भरोसेमंद पक्षों (आरपी), और ब्राउज़र वेंडर से मिले सुझाव, शिकायत या राय के आधार पर, हम कई नई सुविधाएं लॉन्च करने वाले हैं. हमें उम्मीद है कि पहचान देने वाली सेवा, FedCM का इस्तेमाल करेगी. हालांकि, कृपया ध्यान रखें कि FedCM को अब भी एपीआई के तौर पर डेवलप किया जा रहा है. इस एपीआई पर 2023 की चौथी तिमाही तक, पुराने सिस्टम के साथ काम न करने वाले बदलाव हो सकते हैं.
पुराने सिस्टम के साथ काम न करने वाले बदलावों को डिप्लॉय करने में आने वाली चुनौतियों को कम करने के लिए, फ़िलहाल हमारे पास आइडेंटिटी प्रोवाइडर के लिए दो सुझाव हैं:
- हमारे न्यूज़लेटर की सदस्यता लें, जहां एपीआई के बेहतर होने पर हम आपको अपडेट देंगे.
- हमारा सुझाव है कि आईडीपी (IdP) को JavaScript SDK टूल की मदद से, FedCM API का इस्तेमाल करना चाहिए, ताकि एपीआई के पूरा होने के दौरान उसका इस्तेमाल किया जा सके. साथ ही, हम आरपी को सेल्फ़-होस्टिंग SDK टूल इस्तेमाल करने से रोकने के लिए भी सलाह देते हैं. इससे यह पक्का होगा कि एपीआई के बेहतर होने के साथ-साथ, आईडीपी (IdP) बदलाव कर सकें. इसके लिए, उन्हें फिर से डिप्लॉय करने की ज़रूरत नहीं होगी.
बैकग्राउंड
पिछले दशक में, आइडेंटिटी फ़ेडरेशन ने वेब पर पुष्टि करने की प्रोसेस को बेहतर बनाने में अहम भूमिका निभाई है. इससे साइट के हर उपयोगकर्ता नाम और पासवर्ड की तुलना में, भरोसेमंद होना, इस्तेमाल में आसानी (उदाहरण के लिए, पासवर्ड के बिना सिंगल साइन-इन) करना, और सुरक्षा (उदाहरण के लिए, फ़िशिंग और क्रेडेंशियल स्टफ़िंग अटैक के लिए बेहतर सुरक्षा) को वेब पर पुष्टि करना आसान हो गया है.
माफ़ करें, वेब पर उपयोगकर्ताओं को ट्रैक करने के लिए, आइडेंटिटी फ़ेडरेशन के जिन तरीकों (iframe, रीडायरेक्ट, और कुकी) का इस्तेमाल किया जा रहा है उनका गलत इस्तेमाल किया जा रहा है. उपयोगकर्ता एजेंट, आइडेंटिटी फ़ेडरेशन और ट्रैकिंग के बीच अंतर नहीं कर पाते. इसलिए, अलग-अलग तरह के गलत इस्तेमाल को कम करने की वजह से, आइडेंटिटी फ़ेडरेशन को लागू करना और भी मुश्किल हो जाता है.
FedCM कई चरणों वाला एक ऐसा सफ़र है जो वेब पर पहचान को बेहतर बनाने के लिए बनाया गया है. इसके पहले चरण में, हमने फ़ेडरेटेड आइडेंटिटी पर तीसरे पक्ष की कुकी के चरण को कम करने की कोशिश की है (आगे क्या करना है के लिए नीचे देखें).
Chrome FedCM के साथ Chrome 101 से प्रयोग कर रहा है.
Google Identity Services की टीम ने ऑरिजिन ट्रायल में हिस्सा लिया. टीम ने दिखाया कि साइन-इन करने की ऐसी ज़्यादा निजी और सुरक्षित प्रोसेस पर स्विच करना जो तीसरे पक्ष की कुकी पर निर्भर नहीं है. यह अपनी मौजूदा लाइब्रेरी में, पुराने सिस्टम के साथ काम करने वाले अपडेट की मदद से, पारदर्शिता के साथ हो सकती है. उन्होंने FedCM को 20 अलग-अलग भरोसेमंद पक्षों के लिए चालू किया. साथ ही, 3 लाख से ज़्यादा उपयोगकर्ताओं ने ऑरिजिन ट्रायल के दौरान उनमें साइन इन किया. इस बारे में ज़्यादा जानें कि वे कैसे तीसरे पक्ष की कुकी पर निर्भरता को हटाने की योजना बना रहे हैं.
हम Mozilla के साथ काम करने वाले लोगों के बारे में पता लगाने के लिए उत्साहित हैं. Mozilla डिज़ाइन पर होने वाली चर्चा में सक्रिय रूप से शामिल रहे हैं. साथ ही, Firefox में FedCM को प्रोटोटाइप करना शुरू किया है. Apple ने इस बात की जानकारी दी है कि वह स्पेसिफ़िकेशन के मुताबिक काम करता है. साथ ही, Apple ने FedID CG पर होने वाली बातचीत में हिस्सा लेना भी शुरू कर दिया है.
आगे क्या करना है
हम FedCM में कई बदलाव करने पर काम कर रहे हैं.
हम जानते हैं कि कुछ ऐसी समस्याएं हैं जिन पर अभी काम करना बाकी है. इनमें आईडीपी, आरपी, और ब्राउज़र वेंडर से जुड़ी समस्याएं शामिल हैं. हमें लगता है कि हम जानते हैं कि इन समस्याओं को कैसे हल किया जाए:
- क्रॉस-ऑरिजिन iframe की सुविधा: आईडीपी (IdP) क्रॉस-ऑरिजिन iframe से FedCM को कॉल कर सकते हैं.
- पसंद के मुताबिक बटन: आईडीपी (आईडीपी), क्रॉस-ऑरिजिन iframe में मौजूद साइन-इन बटन पर, लौटने वाले उपयोगकर्ता की पहचान दिखा सकते हैं.
- मेट्रिक एंडपॉइंट: आईडीपी (IdP) को परफ़ॉर्मेंस मेट्रिक की जानकारी देता है.
इसके अलावा, हम कुछ ऐसी समस्याओं पर भी काम कर रहे हैं जिन्हें हल नहीं किया गया है. इनमें कुछ ऐसे प्रस्ताव भी शामिल हैं जिनका हम आकलन या प्रोटोटाइप कर रहे हैं:
- सीओआरएस: हम Apple और Mozilla के साथ चर्चा कर रहे हैं, ताकि FedCM के फ़ेच होने की खास जानकारी को बेहतर बनाया जा सके.
- मल्टिपल-आईडीपी एपीआई: हम FedCM खाता चुनने की सुविधा में, कई आईडीपी को एक साथ इस्तेमाल करने के लिए काम करने के तरीके ढूंढ रहे हैं.
- IdP की साइन-इन स्थिति एपीआई: Mozilla को समय के अटैक की समस्या का पता चला है. हम इस समस्या को कम करने के लिए, आईडीपी को उपयोगकर्ता के साइन इन स्टेटस की सूचना ब्राउज़र को देने के तरीके एक्सप्लोर कर रहे हैं.
- IdP API में साइन इन करें: जब उपयोगकर्ता ने आईडीपी पर साइन इन नहीं किया होता, तब अलग-अलग स्थितियों के लिए, ब्राउज़र एक यूज़र इंटरफ़ेस (यूआई) देता है, ताकि उपयोगकर्ता आरपी को छोड़े बिना साइन इन कर सके.
आखिर में, हमें लगता है कि Mozilla, Apple, और TAG समीक्षकों से मिले सुझावों के आधार पर हमें कुछ और करने की ज़रूरत है. हम इन खुले सवालों के सबसे अच्छे समाधान का आकलन करने के लिए काम कर रहे हैं:
- उपयोगकर्ता को समझने और मैच करने का मकसद बेहतर बनाना: जैसा कि Mozilla के मुताबिक, हम अलग-अलग UX फ़ॉर्मूला और प्लैटफ़ॉर्म के इस्तेमाल को एक्सप्लोर करना जारी रखना चाहते हैं. साथ ही, हम ट्रिगर करने की शर्तों को भी पूरा करना चाहते हैं.
- पहचान विशेषताएं और चुनिंदा जानकारी: जैसा कि TAG के समीक्षकों ने बताया, हम आपको एक ऐसा तरीका उपलब्ध कराना चाहते हैं जिसकी मदद से, पहचान बताने वाले एट्रिब्यूट (जैसे कि ईमेल, उम्र की सीमा, फ़ोन नंबर वगैरह) को चुनिंदा लोगों के साथ शेयर किया जा सके.
- निजता की प्रॉपर्टी बढ़ाना: जैसा कि Mozilla ने यहां बताया है कि हम ऐसे तरीके एक्सप्लोर करना चाहते हैं जिनसे निजता की बेहतर गारंटी दी जा सकें. जैसे, आईडीपी (IdP) दृष्टिहीनता और डायरेक्ट आइडेंटिफ़ायर.
- WebAuthn के साथ संबंध: Apple के सुझाव के मुताबिक, हम पासकी को लेकर हुई प्रोग्रेस को देखकर बहुत खुश हैं. साथ ही, हम FedCM, पासवर्ड, WebAuthn, और WebOTP के बीच बेहतर और एक जैसा अनुभव देने की दिशा में काम कर रहे हैं.
- लॉगिन की स्थिति: जैसा कि Apple ने Privacy CG के लॉगिन स्थिति एपीआई में बताया है, हम बताते हैं कि उपयोगकर्ता के लॉगिन स्टेटस से जुड़ी जानकारी काम की है, जिससे ब्राउज़र को सही फ़ैसला लेने में मदद मिलती है. साथ ही, हमें यह देखने में खुशी होती है कि इस तरह के कौन-कौनसे अवसर मिलते हैं.
- एंटरप्राइज़ और शिक्षा: FedID CG में साफ़ तौर पर बताया गया है कि ऐसे इस्तेमाल के कई उदाहरण हैं जिन पर FedCM ने काम नहीं किया है. उदाहरण के लिए, फ़्रंट चैनल से लॉग आउट करना (आरपी को लॉग आउट करने के लिए आईडीपी को सिग्नल भेजने की सुविधा) और एसएएमएल के लिए सहायता.
- एमडीएल, वीसी वगैरह के साथ संबंध: यह समझने के लिए काम जारी रखें कि FedCM में ये सुविधाएं किस तरह काम करती हैं. उदाहरण के लिए, मोबाइल दस्तावेज़ के अनुरोध वाले एपीआई के साथ.
रिसॉर्स
- FedCM डेमो आज़माएं.
- अगर आपका आईडीपी (IdP) FedCM को लागू करना चाहता है, तो डेवलपर गाइड पढ़ें. अगर आप आरपी हैं, तो अपने आईडीपी (IdP) से पूछें कि क्या वह FedCM को लागू करना चाहता है.
- FedCM API के अपडेट देखें.
- अगर आपको सुविधा के अनुरोध, सुझाव, शिकायत या राय देनी हैं या आपको समस्याएं आ रही हैं, तो उन्हें GitHub पर FedCM सार्वजनिक डेटा स्टोर करने की जगह में दर्ज करें.