FedCM: API فدراسیون حفظ حریم خصوصی

این صفحه مزایای FedCM را توضیح می دهد، چه کسی باید پیاده سازی FedCM و نحوه تعامل کاربران با FedCM را در نظر بگیرد.

مدیریت اعتبار فدرال (FedCM) رویکردی مبتنی بر حریم خصوصی و کاربرپسند برای خدمات هویتی فدرال (مانند ورود به سیستم با ارائه‌دهنده هویت ) است که به کوکی‌های شخص ثالث یا هدایت‌های ناوبری متکی نیست.

با FedCM، کاربر با روش جدیدی برای احراز هویت در یک وب سایت با ارائه دهنده هویت شخص ثالث معرفی می شود.

فدراسیون هویت چیست؟

فدراسیون هویت، احراز هویت یا مجوز یک فرد (کاربر یا نهاد) را به یک ارائه‌دهنده هویت خارجی قابل اعتماد (IdP) واگذار می‌کند. سپس IdP به فرد اجازه می دهد تا به وب سایت حزب متکی (RP) وارد شود. با فدراسیون هویت، یک RP به یک IdP برای ارائه یک حساب کاربری بدون نیاز به نام کاربری و رمز عبور جدید متکی است.

با راه حل های هویت فدرال، کاربر مجبور نیست برای هر RP مجموعه دیگری از اعتبار ایجاد کند. این کار تجربه کاربر را بهبود می‌بخشد، شانس فیشینگ را کاهش می‌دهد و به کسب اطلاعات تأیید شده کاربر از ارائه‌دهندگان هویت مورد اعتماد کمک می‌کند.

راه حل های سنتی و کوکی های شخص ثالث

مکانیسم‌های فدراسیون هویت سنتی بر فریم‌ها، تغییر مسیرها یا کوکی‌های شخص ثالث تکیه می‌کنند که باعث نگرانی در مورد حریم خصوصی می‌شود. این راه حل ها می توانند برای ردیابی کاربران در سراسر وب مورد سوء استفاده قرار گیرند و مرورگرها نمی توانند بین خدمات هویت قانونی و نظارت ناخواسته تمایز قائل شوند.

با در نظر گرفتن نگرانی حریم خصوصی، مرورگرهای اصلی کوکی های شخص ثالث را محدود می کنند. این ممکن است بر برخی از عملکردها تأثیر بگذارد. از طریق تلاش جامعه و تحقیقات ما، متوجه شدیم که چند ادغام مرتبط با فدراسیون هویت وجود دارد که تحت تأثیر محدودیت‌های کوکی شخص ثالث قرار دارند.

فدراسیون هویت با FedCM

هدف FedCM فعال کردن این جریان‌های مهم احراز هویت حتی برای کاربرانی است که انتخاب می‌کنند با کوکی‌های شخص ثالث محدود شده مرور کنند .

FedCM پروتکل-اگنوستیک است: می تواند به عنوان یک راه حل مستقل یا به عنوان یک لایه اضافی که پروتکل های مختلف می توانند از آن استفاده کنند، پیاده سازی شود. به عنوان مثال، یک سرور OAuth کاربردی می‌تواند از تجربه ورود با یک ضربه و رابط کاربری بصری FedCM با پیاده‌سازی نقاط پایانی FedCM و سپس مبادله کد مجوز بازگشت‌شده در پاسخ FedCM برای یک توکن دسترسی OAuth، از تجربه ورود با واسطه مرورگر FedCM بهره مند شود.

چرا به FedCM نیاز داریم؟

در مقایسه با راه‌حل‌های سنتی، مزایای متعددی برای اکوسیستم وب ارائه می‌دهد که با در نظر گرفتن کاربر، توسعه‌دهندگان RP و IdPs طراحی شده است.

پشتیبانی از راه حل های هویت بدون کوکی های شخص ثالث

FedCM می تواند به کاهش اتکا به کوکی های شخص ثالث کمک کند، کوکی هایی که اغلب برای ردیابی کاربران در سراسر وب استفاده می شوند. API حتی برای آن دسته از کاربرانی که انتخاب می‌کنند با کوکی‌های شخص ثالث محدود شده مرور کنند، تجربه ورود به سیستم شخصی‌سازی شده را ارائه می‌دهد.

FedCM همچنین با سایر APIهای Privacy Sandbox یکپارچه شده است. برای مثال، Storage Access API از احراز هویت FedCM به عنوان یک سیگنال اعتماد استفاده می‌کند. این ادغام برای وب‌سایت‌هایی مفید است که به FedCM برای احراز هویت و SAA برای فعال کردن iframe های متقاطع برای دسترسی به فضای ذخیره‌سازی ضروری متکی هستند.

تجربه کاربری بهبود یافته

FedCM یک گفتگوی رابط کاربری با واسطه مرورگر را برای یک فرآیند ورود به سیستم با یک ضربه ساده معرفی می کند. API همچنین به مشکل صفحات ورود به سیستم بهم ریخته می پردازد که گاهی اوقات مشکل NASCAR نامیده می شود.

مثالی از مشکل NASCAR: یک وب‌سایت با رابط کاربری به هم ریخته که به دلیل انتخاب هفت گزینه مختلف ورود به سیستم ایجاد می‌شود.
مثالی از مشکل NASCAR: یک وب سایت با یک رابط کاربری درهم و برهم که به دلیل انتخاب بسیار گسترده IdP ایجاد شده است.

به جای تعداد زیاد دکمه‌های ورود به سیستم اجتماعی، FedCM یک رابط کاربرپسند ساده‌تر ارائه می‌کند.

امنیت

رویکرد هویت فدرال به کاربران امکان می دهد از حساب های قابل اعتماد مدیریت شده توسط IdP ها استفاده کنند. با این رویکرد، کاربران مجبور نیستند به هر سایتی اعتبارنامه اضافه کنند. این باعث کاهش سطح حملات فیشینگ می شود. علاوه بر این، به جای اجرای اقدامات امنیتی قوی خود، RP ها می توانند به تخصص IdP هایی که در مدیریت هویت امن تخصص دارند، تکیه کنند.

هدف FedCM این است که جریان هویت فدرال را برای کاربران راحت‌تر کند و آنها را تشویق کند که آن را بر جریان‌های هویت کمتر امن ترجیح دهند.

تجربه شخصی برای کاربران بیشتر

FedCM اصطکاک UX را در طول جریان ثبت نام حساب کاهش می دهد. مطالعات موردی Google Identity Service نشان می‌دهد که کاربران ترجیح می‌دهند حساب‌هایی را با جریان One Tap FedCM ایجاد کنند تا گزینه‌های ورود چند مرحله‌ای.

با FedCM، IdP های بیشتری می توانند تجربه ورود با یک ضربه را به کاربران خود ارائه دهند. با IdP های بیشتر که جریان هویت با یک ضربه را ارائه می دهند، کاربران می توانند از بین طیف وسیع تری از IdP ها در RP ها را انتخاب کنند. FedCM با ارائه بیشتر حساب های مرتبط به کاربران، مکانیزم انتخاب بهبود یافته IdP را فراهم می کند.

با نرخ های ثبت نام بالاتر، RP ها می توانند تجربه شخصی سازی شده را به کاربران بیشتری ارائه دهند.

پشتیبانی از ارائه دهندگان هویت متنوع

رابط کاربری ساده شده FedCM با هدف ارائه لیست شخصی شده از IdP های مربوطه به کاربران است. با مکانیسم انتخاب IdP FedCM، انتخاب IdP توسط RP دیگر محدود به تعداد پایگاه کاربر IdP نیست. برای مثال، ممکن است بخشی از کاربران فقط با small-idp.example حساب داشته باشند و با bigger-idp.example اکانت نداشته باشند.

با ویژگی Multi-IdP ، rp.example می‌تواند از small-idp.example و bigger-idp.example پشتیبانی کند، بدون اینکه رابط کاربری را به هم بریزد. این به نفع همه طرفین است:

  • کاربران می توانند IdP دلخواه خود را بدون توجه به بزرگ یا کوچک بودن انتخاب کنند.
  • RP ها از طریق پشتیبانی متنوع IdP به کاربران بیشتری می رسند
  • IdPهایی با پایگاه کاربری کوچکتر در RPهای بیشتری در دسترس هستند.

چه کسی باید از FedCM استفاده کند؟

ما انتظار داریم که FedCM فقط در صورت اعمال این شرایط برای شما مفید باشد:

  • هدف شما پشتیبانی از جریان های هویت فدرال حتی برای کاربرانی است که بدون کوکی های شخص ثالث مرور را انتخاب می کنند.
  • شما یک ارائه دهنده هویت (IdP) با RP های شخص ثالث هستید. اگر RP های شما سایت های مرتبط معنی داری هستند، ممکن است مجموعه های وب سایت های مرتبط بهتر به شما کمک کنند.
  • شما راه حل هویت و دامنه های متعددی دارید که بر آن تکیه می کنند.

شما یک IdP هستید

FedCM به پشتیبانی از یک ارائه دهنده هویت نیاز دارد. یک طرف متکی نمی تواند به طور مستقل از FedCM استفاده کند. اگر شما یک RP هستید، می توانید از IdP خود بخواهید دستورالعمل هایی را ارائه دهد.

چند RP

اگر RP های شما شخص ثالث هستند یا بیش از چهار RP از راه حل هویت خود استفاده می کنند، FedCM API توصیه شده برای هویت فدرال است.

اگر شما یک ارائه‌دهنده هویت با حداکثر پنج RP هستید، و RP‌ها یک رابطه شخص اول با IdP دارند، از مجموعه‌های وب‌سایت مرتبط (RWS) استفاده کنید. RWS امکان دسترسی محدود به کوکی شخص ثالث را در میان مجموعه‌هایی از سایت‌های مرتبط معنی‌دار فراهم می‌کند، حتی زمانی که کوکی‌های شخص ثالث محدود شده باشند.

هدف شما پشتیبانی از جریان فدراسیون هویت بدون کوکی است

FedCM حتی برای کاربرانی که مرور بدون کوکی های شخص ثالث را انتخاب می کنند، از جریان های هویت فدرال ضروری پشتیبانی می کند. با FedCM، کاربران همچنان می‌توانند با حساب‌های فدرال خود در RP ثبت‌نام، وارد شوند و از سیستم خارج شوند.

علاوه بر این، FedCM به عنوان یک سیگنال اعتماد برای Storage Access API عمل می‌کند و اصطکاک را برای درخواست‌های دسترسی به ذخیره‌سازی آغاز شده با IdP حذف می‌کند.

بررسی کنید که آیا فدراسیون هویت شما برای کاربرانی که انتخاب می‌کنند بدون کوکی‌های شخص ثالث با مسدود کردن کوکی‌های شخص ثالث در Chrome مرور کنند، به کار خود ادامه خواهد داد. مطمئن شوید که این ویژگی‌های شناخته شده را که انتظار می‌رود محدودیت‌های کوکی شخص ثالث بر آن تأثیر بگذارد، آزمایش کنید.

تعامل کاربر با FedCM

FedCM به گونه ای طراحی شده است که پروتکل احراز هویت غیرقابل تشخیص باشد و جریان جدیدی را برای احراز هویت به یک RP با یک IdP شخص ثالث به کاربر ارائه می دهد. FedCM را با نسخه نمایشی ما امتحان کنید.

به یک حزب متکی وارد شوید

FedCM دو حالت رابط کاربری دارد: Passive و Active .

حالت غیرفعال . حالت غیرفعال برای نمایش اعلان FedCM نیازی به تعامل کاربر ندارد. هنگامی که کاربر در وب‌سایت طرف متکی (RP) قرار می‌گیرد، در صورتی که شرایط زیر وجود داشته باشد، ممکن است یک گفتگوی ورود به سیستم FedCM هنگام فراخوانی navigator.credentials.get() ظاهر شود:

کاربر با استفاده از FedCM در حالت غیرفعال وارد RP می شود.

حالت فعال در حالت فعال، یک فعال سازی موقت کاربر (مانند ورود با کلیک روی دکمه… ) برای راه اندازی یک درخواست FedCM مورد نیاز است.

کاربر با استفاده از FedCM در حالت فعال وارد RP می شود.

کاربر می تواند با ضربه زدن روی Continue as <user> وارد سیستم شود. در صورت موفقیت آمیز بودن، مرورگر این واقعیت را ذخیره می کند که کاربر یک حساب فدرال در RP با IdP ایجاد کرده است.

اگر کاربر حسابی در RP با IdP نداشته باشد، یک گفتگوی ثبت نام با متن افشای اضافی مانند شرایط خدمات و خط مشی رازداری RP ظاهر می شود.

رعایت قوانین حفظ حریم خصوصی الکترونیکی

استفاده از FedCM، چه به عنوان یک IdP یا یک RP، شامل ذخیره سازی اطلاعات در تجهیزات پایانه کاربر یا دسترسی به اطلاعاتی است که قبلاً در آن ذخیره شده است، و بنابراین فعالیتی مشمول قوانین حفظ حریم خصوصی الکترونیکی در منطقه اقتصادی اروپا (EEA) و بریتانیا است. به طور کلی به رضایت کاربر نیاز دارد. این مسئولیت شماست که تعیین کنید آیا استفاده شما از FedCM برای ارائه سرویس آنلاینی که به صراحت توسط کاربر درخواست شده است، ضروری است یا خیر، و بنابراین از شرط رضایت معاف است. برای اطلاعات بیشتر، ما شما را تشویق می‌کنیم تا پرسش‌های متداول مربوط به رعایت حریم‌خصوصی مربوط به جعبه ایمنی حریم خصوصی را بخوانید.

چشم انداز

ما فعالانه در حال توسعه ویژگی های جدید برای رفع محدودیت های فعلی و ارائه تجربه کاربری بهتر هستیم.

  • ما در حال بررسی فرمول‌های UX آرام‌تر هستیم تا از فرآیند احراز هویت روان، شهودی و کمتر مزاحم برای کاربران اطمینان حاصل کنیم.
  • ما وقف بهبود حریم خصوصی کاربران هستیم. ما قصد داریم به مدل NextGen FedCM مبتنی بر نمایندگی انتقال دهیم که مشکل ردیابی IdP را کاهش می دهد. با NextGen، کاربران می توانند بدون اینکه IdP کاربر را دنبال کند، در RP ها وارد شوند.
  • FedCM قصد دارد بر اساس انتخاب RP، انتخاب گسترده تری از IdP ها را به کاربران ارائه دهد. برای رسیدن به این هدف، ما در حال کار بر روی Multi-IdP و API های ثبت IdP هستیم.
  • ما فعالانه در حال ادغام FedCM با سایر روش‌های احراز هویت مانند Passkeys با ابزارهای اضافی مانند تکمیل خودکار برای معرفی یک تجربه احراز هویت یکپارچه هستیم.

برای جزئیات بیشتر به نقشه راه ما مراجعه کنید.

مراحل بعدی

محیط خود را برای آزمایش و توسعه راه حل هویت خود با FedCM API آماده کنید.
نحوه پیاده سازی راه حل هویت خود را با FedCM در سمت Identity Provider مرور کنید.