L'API Federated Credential Management è fornita in Chrome 108, ma dovrebbe continuare a evolversi. Non sono previste modifiche che comportino interruzioni.
A chi sono rivolti questi aggiornamenti?
Questi aggiornamenti sono per te se:
- Sei un provider di identità che utilizza l'API Federated Credential Management.
- Sei un fornitore di identità o un RP e ti interessa estendere l'API in base alle tue esigenze, ad esempio hai osservato o partecipato alle discussioni nel repository CG di FedID e vuoi comprendere le modifiche apportate all'API.
- Sei un fornitore di browser e vuoi conoscere lo stato di implementazione dell'API.
Se non hai mai utilizzato questa API o non l'hai ancora sperimentata, leggi la introduzione all'API Federated Credential Management.
Log delle modifiche
Per rimanere al passo con le modifiche all'API FedCM, consulta il nostro blog o la newsletter.
Chrome 132 (novembre 2024)
- È stato aggiunto il supporto di diverse modalità UX e di una nuova modalità attiva.
- È stata aggiunta la funzionalità Usa un altro account.
- È stata aggiunta la funzionalità Continua su
- È stato aggiunto il supporto per i parametri personalizzati.
- L'RP può richiedere informazioni specifiche sull'utente con la funzionalità Campi.
- L'IdP può implementare più file di configurazione.
- L'IDP può utilizzare le Etichette account personalizzate per etichettare gli account utente.
Chrome 131 (ottobre 2024)
- L'API Accesso allo spazio di archiviazione ora utilizza FedCM come indicatore di attendibilità.
- Se un utente si autentica con FedCM, con l'attivazione dell'RP, l'embedding dell'IdP può chiamare il metodo
requestStorageAccess()
per ottenere automaticamente l'accesso allo spazio di archiviazione ai propri cookie di primo livello senza richiedere un'ulteriore richiesta all'utente.
- Se un utente si autentica con FedCM, con l'attivazione dell'RP, l'embedding dell'IdP può chiamare il metodo
Chrome 125 (aprile 2024)
- Poiché la specifica ha aggiornato il nome di "endpoint elenco account" in "endpoint account", la nostra documentazione è in linea di conseguenza.
- La prova dell'origine per l'API Button Mode è disponibile su Chrome per computer 125. Scopri di più in Aggiornamenti di FedCM: prova dell'origine dell'API in modalità pulsante, CORS e SameSite.
- Il protocollo CORS viene applicato all'endpoint di affermazione dell'ID a partire da Chrome 125.
- A partire da Chrome 125, Chrome invierà solo i cookie contrassegnati esplicitamente come
SameSite=None
all'endpoint di affermazione dell'ID e all'endpoint degli account.
Chrome 123 (febbraio 2024)
- È stato aggiunto il supporto per l'API Domain Hint. L'API Domain Hint consente ai RP di specificare una proprietà
domainHint
in una chiamata all'API FedCM per mostrare solo gli account corrispondenti per l'utente.
Chrome 122 (gennaio 2024)
- È stato aggiunto il supporto dell'API Disconnect. L'API Disconnect consente ai RP di scollegare i propri utenti dall'account dell'IDP senza fare affidamento su cookie di terze parti.
- Il controllo
/.well-known/web-identity
viene ora saltato quando l'RP e l'IDP si trovano nello stesso sito. - Ora le risorse secondarie possono impostare uno stato di accesso nello stesso sito.
Chrome 121 (dicembre 2023)
- La condizione allentata per attivare la re-autenticazione automatica di FedCM:
- La funzionalità di riattivazione automatica in FedCM viene attivata solo quando l'utente torna. Ciò significa che l'utente deve accedere all'RP utilizzando FedCM una volta in ogni istanza del browser prima che possa essere attivata la riconferma automatica. Questa condizione è stata inizialmente introdotta per ridurre il rischio che i tracker si spaccino per un fornitore di identità (IdP) e ingannino il browser facendogli autenticare automaticamente un utente senza che quest'ultimo lo sappia o lo accetti. Tuttavia, questo design non può garantire il vantaggio per la privacy se il tracker ha accesso ai cookie di terze parti nel contesto RP. FedCM fornisce solo un sottoinsieme delle funzionalità possibili tramite i cookie di terze parti, pertanto se il tracker ha già accesso ai cookie di terze parti nel contesto RP, l'accesso a FedCM non comporta ulteriori rischi per la privacy.
Poiché esistono utilizzi legittimi dei cookie di terze parti e l'attenuazione della condizione migliorerebbe l'esperienza utente, questo comportamento cambierà a partire da Chrome 121. Abbiamo deciso di allentare la limitazione della condizione per considerare un utente come di ritorno: se i cookie di terze parti sono disponibili per l'IdP nel contesto RP, Chrome darà credito alla dichiarazione dell'IdP sullo stato dell'account dell'utente specificato tramite l'elencoapproved_clients
e attiverà la ricoinvenzione automatica se applicabile. I cookie di terze parti possono essere disponibili tramite: impostazioni utente, criteri aziendali, regole di euristica (Safari, Firefox, Chrome) e altre API di piattaforme web (ad esempio l'API Accesso allo spazio di archiviazione). Tieni conto che, in futuro, quando l'IdP non avrà più accesso ai cookie di terze parti, un utente che non ha mai concesso esplicitamente l'autorizzazione nell'interfaccia utente di FedCM (ad esempio facendo clic sul pulsante Continua come) verrà comunque considerato un nuovo utente.
Non sono richieste azioni da parte degli sviluppatori. Tieni presente che il flusso di riautenticazione automatica potrebbe essere attivato più spesso con questa modifica se l'IDP ha accesso ai cookie di terze parti e afferma che l'utente ha creato un account nell'RP in passato.
- La funzionalità di riattivazione automatica in FedCM viene attivata solo quando l'utente torna. Ciò significa che l'utente deve accedere all'RP utilizzando FedCM una volta in ogni istanza del browser prima che possa essere attivata la riconferma automatica. Questa condizione è stata inizialmente introdotta per ridurre il rischio che i tracker si spaccino per un fornitore di identità (IdP) e ingannino il browser facendogli autenticare automaticamente un utente senza che quest'ultimo lo sappia o lo accetti. Tuttavia, questo design non può garantire il vantaggio per la privacy se il tracker ha accesso ai cookie di terze parti nel contesto RP. FedCM fornisce solo un sottoinsieme delle funzionalità possibili tramite i cookie di terze parti, pertanto se il tracker ha già accesso ai cookie di terze parti nel contesto RP, l'accesso a FedCM non comporta ulteriori rischi per la privacy.
Chrome 120 (novembre 2023)
- In Chrome 120 è stato aggiunto il supporto per le seguenti tre funzionalità:
- API Login Status: l'API Login Status è un meccanismo in cui un sito web, in particolare un provider di identità, informa il browser dello stato di accesso dell'utente. Con questa API, il browser può ridurre le richieste non necessarie all'IDP e mitigare potenziali attacchi di temporizzazione. L'API Login Status è un requisito per FedCM.
Con questa modifica, il flag
chrome://flags/#fedcm-without-third-party-cookies
non è più necessario per attivare FedCM quando un cookie di terze parti è bloccato. - API Error: l'API Error invia una notifica all'utente mostrando un'interfaccia utente del browser con le informazioni sull'errore fornite dall'IdP.
- API Auto-Selected Flag: l'API Auto-Selected Flag condivide con l'IdP e l'RP se è stata acquisita un'autorizzazione utente esplicita toccando il pulsante Continua come, ogni volta che si è verificata una riconferma automatica o una mediazione esplicita. La condivisione avviene solo dopo che è stata concessa all'utente l'autorizzazione per la comunicazione tra l'IdP e l'RP.
- API Login Status: l'API Login Status è un meccanismo in cui un sito web, in particolare un provider di identità, informa il browser dello stato di accesso dell'utente. Con questa API, il browser può ridurre le richieste non necessarie all'IDP e mitigare potenziali attacchi di temporizzazione. L'API Login Status è un requisito per FedCM.
Con questa modifica, il flag
Chrome 117 (settembre 2023)
- La prova dell'origine per l'API Idp Sign-In Status è disponibile su Android a partire da Chrome 117. Scopri di più in Aggiornamenti di FedCM: API IdP Sign-In Status, Suggerimento per l'accesso e altro ancora.
Chrome 116 (agosto 2023)
- In Chrome 116 è stato aggiunto il supporto per le seguenti tre funzionalità:
- API Login Hint: specifica un account utente preferito per l'accesso.
- API User Info: recupera le informazioni dell'utente di ritorno in modo che il provider di identità (IdP) possa visualizzare un pulsante di accesso personalizzato all'interno di un iframe.
- API RP Context: utilizza un titolo diverso da "Accedi" nella finestra di dialogo FedCM.
- La prova dell'origine per l'API Stato accesso IdP è disponibile. Scopri di più in Aggiornamenti di FedCM: API IdP Sign-In Status, Suggerimento per l'accesso e altro ancora.
Chrome 115 (giugno 2023)
- È stato aggiunto il supporto per la re-autenticazione automatica, che consente agli utenti di eseguire nuovamente l'autenticazione automaticamente quando tornano dopo l'autenticazione iniziale utilizzando FedCM. Ciò migliora le esperienze utente e consente una ricoindicizzazione più snella all'RP dopo l'autenticazione iniziale. Scopri di più sulla riautenticazione automatica di FedCM.
Chrome 110 (febbraio 2023)
- Per l'endpoint dell'affermazione dell'identità, le IdP devono controllare l'intestazione
Origin
(anziché l'intestazioneReferer
) per verificare se il valore corrisponde all'origine dell'ID cliente. - È ora disponibile il supporto degli iframe cross-origin per FedCM. L'autore dell'embed deve specificare il valore Permissions-Policy
identity-credentials-get
per consentire l'API FedCM nell'iframe cross-origin incorporato. Puoi dare un'occhiata a un esempio di iframe cross-origin. - È stato aggiunto un nuovo flag di Chrome
chrome://flags/#fedcm-without-third-party-cookies
. Con questo flag, puoi testare la funzionalità FedCM in Chrome bloccando i cookie di terze parti. Scopri di più nella documentazione di FedCM.
Chrome 108 (ottobre 2022)
- "manifest di primo livello" ora si chiama "file noto" nel documento. Non sono necessarie modifiche all'implementazione.
- "Manifest dell'IDP" ora si chiama "file di configurazione" nel documento. Non sono necessarie modifiche all'implementazione.
id_token_endpoint
nel "file di configurazione" viene rinominato inid_assertion_endpoint
.- Le richieste all'SP ora includono un'intestazione
Sec-Fetch-Dest: webidentity
instead of anSec-FedCM-CSRF: ?1
header.
Chrome 105 (agosto 2022)
- Sono state aggiunte al documento informazioni importanti sulla sicurezza. Il provider di identità (IdP) deve verificare che l'intestazione
Referer
corrisponda all'origine registrata dall'RP in precedenza nell'endpoint del token di identità. - Il file manifest di primo livello viene rinominato da
/.well-known/fedcm.json
a/.well-known/web-identity
e l'URL specificato inprovider_urls
deve includere il nome del file. - I metodi
login()
,logout()
erevoke()
nelle istanzeFederatedCredential
non sono più disponibili. - L'API Federated Credential Management ora utilizza un nuovo tipo
IdentityCredential
anzichéFederatedCredential
. Questo può essere utilizzato per il rilevamento delle funzionalità, ma è una modifica in gran parte invisibile. - Sposta la funzionalità di accesso da una combinazione di
navigator.credentials.get()
eFederatedCredential.prototype.login()
anavigator.credentials.get()
. - L'endpoint di revoca nel file manifest non è più in vigore.
- Utilizza un campo
identity
anziché un campofederated
per le chiamatenavigator.credentials.get()
. url
ora èconfigURL
e deve essere l'URL completo del file manifest JSON anziché il percorso per una chiamatanavigator.credentials.get()
.nonce
ora è un parametro facoltativo pernavigator.credentials.get()
.hint
non è più disponibile come opzione pernavigator.credentials.get()
.
const credential = await navigator.credentials.get({
identity: {
providers: [{
configURL: 'https://idp.example/anything.json',
clientId: '********',
nonce: '******'
}]
}
});
const { token } = credential;
Chrome 104 (giugno 2022)
- Il parametro
consent_acquired
inviato all'endpoint del token ID ora èdisclosure_text_shown
. Il valore non cambia. - Le icone del branding nel manifest dell'identità provider non supportano più le immagini SVG, ma non devono più essere consentite dalle norme sulla sicurezza dei contenuti del RP.
Chrome 103 (maggio 2022)
- Supporta gli ambienti desktop.
- Supporta le impostazioni per RP su computer.
- L'endpoint dei metadati client è ora facoltativo. In questo endpoint, anche l'URL delle norme sulla privacy è facoltativo.
- È stato aggiunto un avviso sull'utilizzo di CSP
connect-src
nel documento.