Updates der Federated Credential Management API

Die Federated Credential Management API wird in Chrome ausgeliefert 108, wird aber voraussichtlich fortgesetzt. entwickeln. Es sind keine funktionsgefährdenden Änderungen geplant.

Für wen sind diese Updates gedacht?

Diese Aktualisierungen sind für Sie in folgenden Fällen relevant:

  • Sie sind ein IdP, der die Federated Credential Management API verwendet.
  • Sie sind ein IdP oder RP und möchten die API an Ihre Anforderungen anpassen. case – z.B. die Sie an einem Projekt mit Diskussionen zum Repository der FedID CG und möchten wissen, welche Änderungen an der API vorgenommen wurden.
  • Sie sind ein Browseranbieter und möchten sich über die Implementierung Status der API.

Wenn Sie die API zum ersten Mal verwenden oder sie noch nicht ausprobiert haben, lesen Sie Einführung in die Federated Credential Management API

Änderungsprotokoll

Aktuelle Informationen zu den FedCM API-Änderungen finden Sie in unserer Blog oder der Newsletter.

Chrome 125 (April 2024)

Chrome 123 (Februar 2024)

  • Die Domain Hint API wird jetzt unterstützt. Der Domain-Hinweis API ermöglichen, dass RPs Geben Sie eine domainHint-Eigenschaft in einem FedCM API-Aufruf an, um nur übereinstimmende Konten für den Nutzer.

Chrome 122 (Januar 2024)

Chrome 121 (Dezember 2023)

  • Die gelockerte Bedingung zum Auslösen der automatischen erneuten FedCM-Authentifizierung: <ph type="x-smartling-placeholder">
      </ph>
    • Die Funktion zur automatischen erneuten Authentifizierung in FedCM wird nur ausgelöst, wenn der Nutzer zurückkehrt. Das bedeutet, dass die Nutzenden muss sich bei jeder Browserinstanz über FedCM beim RP anmelden. bevor die automatische erneute Authentifizierung ausgelöst werden kann. Diese Bedingung war ursprünglich Einführung, um das Risiko zu minimieren, dass Tracker vorgeben, eine Identität zu sein Anbieter (IdP) und verleitet den Browser dazu, einen Nutzer automatisch neu zu authentifizieren. ohne deren Wissen oder Zustimmung. Dieses Design garantiert jedoch nicht, den Datenschutzvorteil, wenn der Tracker Zugriff auf Drittanbieter-Cookies auf der RP-Kontext. FedCM stellt nur einen Teil der Funktionen bereit, die über Drittanbieter-Cookies. Wenn der Tracker also bereits Zugriff auf Drittanbieter-Cookies hat, Cookies im RP-Kontext bietet der Zugriff auf FedCM keinen zusätzlichen Datenschutz Risiko.
      Da Drittanbieter-Cookies legal eingesetzt werden, die UX verbessern würde, ändert sich dieses Verhalten von Chrome 121. Wir haben beschlossen, die Einschränkung der Erkrankung zu lockern, sodass Nutzende Zurückkehrend: wenn Drittanbieter-Cookies für den IdP auf dem RP verfügbar sind Kontext, stuft Chrome die Behauptung des IdP zum Status des Nutzerkontos als vertrauenswürdig ein in der approved_clients-Liste festgelegt und lösen die automatische erneute Authentifizierung aus falls zutreffend. Drittanbieter-Cookies können über Nutzereinstellungen, Unternehmensrichtlinien, Heuristiken (Safari, Firefox Chrome) und andere Webplattform-APIs (wie Speicherzugriff) API) Hinweis dass ein Nutzer, der den Zugriff auf Drittanbieter-Cookies verliert, nie ausdrücklich eine Berechtigung auf der FedCM-Benutzeroberfläche gewährt hat (z. B. auf die Schaltfläche Weiter als klicken, werden sie trotzdem als neuer Nutzer.
      Entwickler müssen nichts weiter tun. Beachten Sie, dass der Ablauf für die automatische erneute Authentifizierung werden mit dieser Änderung häufiger ausgelöst, wenn der IdP Zugriff auf Drittanbieter-Cookies hat und behauptet, dass der Nutzer in der Vergangenheit ein Konto auf der RP erstellt hat.

Chrome 120 (November 2023)

  • Die folgenden drei Funktionen werden in Chrome 120 unterstützt: <ph type="x-smartling-placeholder">
      </ph>
    • Login Status API: Der Anmeldestatus API ist ein Mechanismus, bei dem eine Website, insbesondere ein IdP, den Browser Anmeldestatus Mit diesem API kann der Browser unnötige Anfragen an an den IdP und wehren Sie potenzielle Timing-Angriffe ab. Die Login Status API ist ein für FedCM. Nach dieser Änderung wird das Flag chrome://flags/#fedcm-without-third-party-cookies ist nicht mehr erforderlich, um FedCM zu aktivieren, wenn Drittanbieter-Cookies blockiert werden.
    • Error API: Die Fehler- über die API Nutzer, indem er eine Browser-UI mit den vom IdP bereitgestellten Fehlerinformationen anzeigt.
    • Auto-Selected Flag API (API für die automatische Auswahl): Mit der automatisch ausgewählten Markierung API gibt an, ob durch Tippen auf das Symbol Schaltfläche Continue as (Weiter als) sowohl beim IdP als auch beim RP bei der automatischen erneuten Authentifizierung oder eine ausdrückliche Vermittlung stattfand. Die Freigabe erfolgt erst, nachdem der Nutzer wird die Berechtigung für die IdP- und die RP-Kommunikation gewährt.

Chrome 117 (September 2023)

Chrome 116 (Aug. 2023)

  • In Chrome 116 werden jetzt die folgenden drei Funktionen unterstützt: <ph type="x-smartling-placeholder">
      </ph>
    • Login Hint API: Geben Sie das bevorzugte Nutzerkonto für die Anmeldung an.
    • User Info API: Ruft die Informationen des wiederkehrenden Nutzers ab, damit der Identitätsanbieter (IdP) eine personalisierte Anmeldeschaltfläche in einem iFrame rendern kann
    • RP Context API: Verwenden Sie einen anderen Titel als „Anmelden“. im FedCM-Dialogfeld ein.
  • Ursprungstest für die IdP Sign-In Status API ist verfügbar. Weitere Informationen finden Sie unter FedCM-Updates: IdP Sign-In Status API, Log-in-Hint und mehr.

Chrome 115 (Juni 2023)

  • Die automatische erneute Authentifizierung wird jetzt unterstützt. Nutzer können sich dann automatisch noch einmal authentifizieren, wenn sie nach der ersten Authentifizierung mit FedCM zurückkommen. Dies verbessert die Nutzererfahrung und ermöglicht eine optimierte erneute Authentifizierung beim RP nach der ersten Authentifizierung. Weitere Informationen zur automatischen erneuten FedCM-Authentifizierung

Chrome 110 (Februar 2023)

  • Für den ID-Assertion-Endpunkt müssen IdPs den Origin-Header (anstelle des Referer-Headers) prüfen, um festzustellen, ob der Wert mit dem Ursprung der Client-ID übereinstimmt.
  • Die ursprungsübergreifende Unterstützung von iFrames für FedCM ist jetzt verfügbar. Die muss der Einbettungscode Permissions-Policy identity-credentials-get, um die FedCM API in der eingebetteten ursprungsübergreifenden API zuzulassen iFrame. Sehen Sie sich ein Beispiel für des ursprungsübergreifenden iFrames an.
  • Neues Chrome-Flag „chrome://flags/#fedcm-without-third-party-cookies“ hinzugefügt. Mit diesem Flag können Sie die FedCM-Funktionalität in Chrome testen durch das Blockieren von Drittanbieter-Cookies. Weitere Informationen finden Sie in der FedCM-Dokumentation.

Chrome 108 (Oktober 2022)

  • „Manifest der obersten Ebene“ heißt jetzt „bekannte Datei“. im Dokument. Es sind keine Änderungen an der Implementierung erforderlich.
  • „IdP-Manifest“ heißt jetzt „Konfigurationsdatei“. im Dokument. Nein Implementierungsänderungen erforderlich.
  • Den id_token_endpoint in der Konfigurationsdatei wird umbenannt in id_assertion_endpoint
  • Die Anfragen an den IdP enthalten jetzt Folgendes: Sec-Fetch-Dest: webidentity anstelle eines Sec-FedCM-CSRF: ?1-Headers.

Chrome 105 (August 2022)

  • Dem Dokument wurden wichtige Sicherheitsinformationen hinzugefügt. Die Identität Der Anbieter (IdP) muss prüfen, ob der Referer-Header mit dem Ursprung übereinstimmt RP, die im Voraus registriert wurde, Endpunkt des ID-Tokens.
  • Das Manifest der obersten Ebene wurde von /.well-known/fedcm.json in /.well-known/web-identity und die in provider_urls angegebene URL sollten Dateinamen enthalten.
  • Methoden login(), logout() und revoke() für FederatedCredential Instanzen sind nicht mehr verfügbar.
  • Die Federated Credential Management API verwendet jetzt einen neuen Typ IdentityCredential statt FederatedCredential. Dies kann für Feature-Erkennung, ist ansonsten aber eine weitgehend unsichtbare Änderung.
  • Anmeldefunktion einer Kombination aus navigator.credentials.get() und FederatedCredential.prototype.login() bis navigator.credentials.get().
  • Der im Manifest angegebene Widerrufsendpunkt ist nicht mehr gültig.
  • Verwenden Sie das Feld identity anstelle des Felds federated für navigator.credentials.get() Aufrufe.
  • url ist jetzt configURL und muss die vollständige URL für die Manifest-JSON-Datei anstelle des Pfads für ein navigator.credentials.get()-Anruf.
  • nonce ist jetzt ein optionaler Parameter für navigator.credentials.get().
  • hint ist nicht mehr als Option verfügbar für navigator.credentials.get().
const credential = await navigator.credentials.get({
  identity: {
    providers: [{
      configURL: 'https://idp.example/anything.json',
      clientId: '********',
      nonce: '******'
    }]
  }
});
const { token } = credential;

Chrome 104 (Juni 2022)

Chrome 103 (Mai 2022)

  • Unterstützt Desktopumgebungen.
  • Unterstützt RP-Einstellungen auf dem Computer.
  • Die Clientmetadaten-Endpunkt ist jetzt optional. An diesem Endpunkt ist auch die URL der Datenschutzerklärung optional.
  • Ein Vorbehalt zur Verwendung der CSP connect-src im Dokument wurde hinzugefügt.

Ressourcen