Mises à jour de l'API Federated Credential Management

L'API Federated Credential Management est fournie dans Chrome 108, mais cela devrait continuer en pleine évolution. Aucune modification destructive n'est prévue.

À qui s'adressent ces mises à jour ?

Ces nouveautés peuvent vous être utiles si:

  • Vous êtes un IdP utilisant l'API Federated Credential Management.
  • Vous êtes un IdP ou un tiers assujetti à des restrictions et vous souhaitez étendre l'API à vos besoins cas (par exemple, que vous avez observé ou qui ont participé les discussions concernant le dépôt FedID CG. et que vous voulez comprendre les modifications apportées à l'API.
  • Vous êtes fournisseur de navigateur et vous souhaitez vous tenir au courant de l'implémentation le statut de l'API.

Si vous utilisez cette API pour la première fois ou si vous n'avez pas encore utilisé cette API, consultez les Présentation de l'API Federated Credential Management

Journal des modifications

Pour vous tenir informé des modifications apportées à l'API FedCM, consultez notre blog ou le newsletter.

Chrome 125 (avril 2024)

Chrome 123 (février 2024)

  • Ajout de la compatibilité avec l'API Domain Hint. Domain Hint (Indice de domaine) API permet aux tiers assujettis à des restrictions de spécifiez une propriété domainHint dans un appel d'API FedCM pour n'afficher que les correspondances les comptes de l'utilisateur.

Chrome 122 (janvier 2024)

Chrome 121 (décembre 2023)

  • Condition assouplie pour déclencher la réauthentification automatique FedCM: <ph type="x-smartling-placeholder">
      </ph>
    • La fonctionnalité de réauthentification automatique disponible dans FedCM n'est déclenché que lorsque l'utilisateur revient. Cela signifie que l'utilisateur doit se connecter au tiers assujetti à des restrictions à l'aide de FedCM une fois sur chaque instance du navigateur, avant de pouvoir déclencher la réauthentification automatique. Cette condition était initialement introduit pour atténuer le risque que des traceurs se font passer pour une identité (IdP) et d'inciter le navigateur à réauthentifier automatiquement un utilisateur à leur insu ou sans leur accord. Cependant, cette conception ne peut garantir l'avantage en termes de confidentialité si le traceur a accès à des cookies tiers sur le Contexte du tiers assujetti à des restrictions. FedCM ne fournit qu'un sous-ensemble des fonctionnalités possibles via des cookies tiers. Par conséquent, si l'outil de suivi a déjà accès à des cookies tiers, cookies sur le contexte du tiers assujetti à des restrictions, l'accès à FedCM n'offre aucune confidentialité supplémentaire le risque.
      Puisqu'il existe des utilisations légitimes des cookies tiers et que nous assouplissons améliorerait l'expérience utilisateur, ce comportement est modifié par rapport à Chrome 121. Nous avons décidé d'assouplir la restriction de la condition pour traiter l'utilisateur comme "return" : si des cookies tiers sont disponibles pour l'IdP sur la RP contexte, Chrome se fiera à la revendication du fournisseur d'identité concernant l'état du compte de l'utilisateur spécifié via la liste approved_clients et déclenchera la réauthentification automatique. le cas échéant. Les cookies tiers sont disponibles via les paramètres utilisateur, règles d'entreprise, heuristiques (Safari, Firefox Chrome). et d'autres API de la plate-forme Web (telles que Storage Access ). Remarque que lorsque l'IdP perd l'accès aux cookies tiers, si un utilisateur n'a jamais explicitement accordé d'autorisation sur l'interface utilisateur de FedCM (par exemple, cliquez sur le bouton Continuer en tant que) auparavant, elles seront tout de même traitées un nouvel utilisateur.
      Aucune action n'est requise de la part du développeur. Notez qu'un flux de réauthentification automatique peut être déclenchée davantage avec cette modification si le fournisseur d'identité a accès aux cookies tiers et affirme que l'utilisateur a déjà créé un compte sur le tiers assujetti à des restrictions.

Chrome 120 (novembre 2023)

  • Ajout de la prise en charge des trois fonctionnalités suivantes dans Chrome 120: <ph type="x-smartling-placeholder">
      </ph>
    • API Login Status: L'état de la connexion de Google est un mécanisme via lequel un site Web, en particulier un IdP, informe le navigateur état de connexion. Grâce à cette API, le navigateur peut réduire le nombre de requêtes le fournisseur d'identité et réduire les potentielles attaques temporelles. L'API Login Status est un pour FedCM. Avec cette modification, l'option chrome://flags/#fedcm-without-third-party-cookies n'est plus nécessaire pour activer FedCM lorsque les cookies tiers sont bloqués.
    • API Error: Error l'API informe en affichant l'interface utilisateur du navigateur avec les informations d'erreur fournies par le fournisseur d'identité.
    • API Auto-Selected Flag: Auto-Selected Flag API indique si une autorisation explicite de l'utilisateur a été obtenue en appuyant sur Bouton Continue as (Continuer en tant que) avec l'IdP et le RP, à chaque réauthentification automatique ou si une médiation explicite a eu lieu. Le partage n'a lieu qu'après que l'utilisateur l'autorisation est accordée pour la communication IdP et RP.

Chrome 117 (sept. 2023)

Chrome 116 (août 2023)

  • Ajout de la prise en charge des trois fonctionnalités suivantes dans Chrome 116: <ph type="x-smartling-placeholder">
      </ph>
    • API Login Hint: spécifiez le compte utilisateur avec lequel vous souhaitez vous connecter.
    • API User Info: récupérez les informations sur l'utilisateur connu afin que le fournisseur d'identité (IdP) puisse afficher un bouton de connexion personnalisé dans un iFrame.
    • API RP Context: utilisez un titre différent de "Connexion". dans la boîte de dialogue de FedCM.
  • La phase d'évaluation pour l'API IdP Sign-In Status est disponible. Pour en savoir plus, consultez Mises à jour de FedCM: API IdP Sign-In Status, Conseil de connexion, etc..

Chrome 115 (juin 2023)

  • Ajout de la prise en charge de la réauthentification automatique, qui permet aux utilisateurs de se réauthentifier automatiquement lorsqu'ils reviennent après leur authentification initiale à l'aide de FedCM. Cela améliore l'expérience utilisateur et permet une réauthentification plus simple auprès de la RP après l'authentification initiale. En savoir plus sur la réauthentification automatique FedCM

Chrome 110 (février 2023)

  • Pour le point de terminaison d'assertion d'ID, les fournisseurs d'identité doivent vérifier l'en-tête Origin (au lieu de l'en-tête Referer) pour voir si la valeur correspond à l'origine de l'ID client.
  • Les iFrames multi-origines sont désormais compatibles avec FedCM. La l'élément "embedder" doit spécifier Permissions-Policy identity-credentials-get pour autoriser l'API FedCM dans l'analyse multi-origine intégrée iFrame. Consultez un exemple de l'iFrame multi-origine.
  • Ajout d'un indicateur Chrome chrome://flags/#fedcm-without-third-party-cookies. Avec cet indicateur, vous pouvez tester le fonctionnement de FedCM dans Chrome en bloquant les cookies tiers. Pour en savoir plus, consultez la documentation FedCM.

Chrome 108 (octobre 2022)

  • "fichier manifeste de premier niveau" est désormais appelé "fichier bien connu" dans le document. Aucune modification de la mise en œuvre n'est requise.
  • "Fichier manifeste IdP" s'appelle maintenant « fichier de configuration » dans le document. Non des changements d'implémentation sont nécessaires.
  • id_token_endpoint dans le "fichier de configuration" est renommé en id_assertion_endpoint
  • Les requêtes adressées à l'IdP incluent désormais Sec-Fetch-Dest: webidentity au lieu d'un en-tête Sec-FedCM-CSRF: ?1.

Chrome 105 (août 2022)

  • Ajout d'informations de sécurité importantes au document. L'identité Le fournisseur (IdP) doit vérifier si l'en-tête Referer correspond à l'origine le tiers assujetti à des restrictions enregistré à l'avance le le point de terminaison du jeton d'ID.
  • Le fichier manifeste de premier niveau est renommé /.well-known/fedcm.json, mais il s'appelle désormais /.well-known/web-identity et l'URL spécifiée dans provider_urls doivent inclure le nom du fichier.
  • Méthodes login(), logout() et revoke() sur FederatedCredential instances ne sont plus disponibles.
  • L'API Federated Credential Management utilise désormais un nouveau type IdentityCredential au lieu de FederatedCredential. Cela peut être utilisé pour la détection de caractéristiques, mais il s'agit d'un changement en grande partie invisible.
  • Transférez la fonctionnalité de connexion d'une combinaison navigator.credentials.get() et FederatedCredential.prototype.login() à navigator.credentials.get().
  • Le point de terminaison de révocation indiqué dans le fichier manifeste n'est plus en vigueur.
  • Utilisez un champ identity au lieu d'un champ federated pour Appels navigator.credentials.get().
  • url est maintenant configURL et doit correspondre à l'URL complète du fichier manifeste JSON et non au chemin d'accès pour un appel navigator.credentials.get().
  • nonce est désormais un paramètre facultatif pour navigator.credentials.get().
  • L'option hint n'est plus disponible pour navigator.credentials.get()
const credential = await navigator.credentials.get({
  identity: {
    providers: [{
      configURL: 'https://idp.example/anything.json',
      clientId: '********',
      nonce: '******'
    }]
  }
});
const { token } = credential;

Chrome 104 (juin 2022)

Chrome 103 (mai 2022)

  • Compatibilité avec les environnements de bureau.
  • Accepte les paramètres par tiers assujetti à des restrictions sur ordinateur.
  • La point de terminaison des métadonnées client est désormais facultative. Sur ce point de terminaison, l'URL des règles de confidentialité est également facultative.
  • Ajout d'une mise en garde concernant l'utilisation de CSP connect-src dans le document.

Ressources