ফেডারেটেড শংসাপত্র ব্যবস্থাপনা API ওভারভিউ

গোপনীয়তা-সংরক্ষণকারী পরিচয় ফেডারেশনের জন্য একটি ওয়েব API।

FedCM কি?

FedCM (ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট) হল ফেডারেটেড আইডেন্টিটি পরিষেবাগুলির জন্য একটি গোপনীয়তা-সংরক্ষণ পদ্ধতি (যেমন "সাইন ইন করুন...") যা তৃতীয় পক্ষের কুকিজ বা নেভিগেশনাল রিডাইরেক্টের উপর নির্ভর করে না।

বাস্তবায়নের অবস্থা

এগিয়ে যাওয়ার জন্য, আমরা পরিচয় প্রদানকারী (IdP), নির্ভরকারী পক্ষগুলি (RP) এবং ব্রাউজার বিক্রেতাদের কাছ থেকে প্রাপ্ত প্রতিক্রিয়ার ভিত্তিতে বেশ কয়েকটি নতুন বৈশিষ্ট্য চালু করার পরিকল্পনা করছি। যদিও আমরা আশা করি পরিচয় প্রদানকারীরা FedCM গ্রহণ করবে, সচেতন থাকুন যে FedCM এখনও সক্রিয় বিকাশের অধীনে একটি API।

পিছনের দিকে বেমানান পরিবর্তনগুলি স্থাপনের চ্যালেঞ্জগুলি কমাতে, আমাদের পরিচয় প্রদানকারীদের জন্য দুটি সুপারিশ রয়েছে:

  • আমাদের নিউজলেটারে সাবস্ক্রাইব করুন যেখানে আমরা API বিকশিত হওয়ার সাথে সাথে আপডেট পাঠাব।
  • এপিআই পরিপক্ক হওয়ার সময় জাভাস্ক্রিপ্ট SDK ব্যবহার করে FedCM API বিতরণ করতে এবং স্ব-হোস্টিং SDK থেকে RP-কে নিরুৎসাহিত করতে আমরা IdP-কে উৎসাহিত করি। এটি নিশ্চিত করবে যে আইডিপিগুলি API বিকশিত হওয়ার সাথে সাথে তাদের সমস্ত নির্ভরশীল পক্ষকে পুনরায় কাজে লাগানোর জন্য জিজ্ঞাসা না করেই পরিবর্তন করতে পারে।

কেন আমরা FedCM প্রয়োজন?

গত এক দশকে, আইডেন্টিটি ফেডারেশন ওয়েবে প্রমাণীকরণের জন্য বার বাড়াতে একটি কেন্দ্রীয় ভূমিকা পালন করেছে, বিশ্বস্ততা, সহজ-ব্যবহার (উদাহরণস্বরূপ, পাসওয়ার্ডহীন একক সাইন-ইন) এবং নিরাপত্তা (উদাহরণস্বরূপ, উন্নত প্রতিরোধের ক্ষেত্রে) ফিশিং এবং শংসাপত্র স্টাফিং আক্রমণ) প্রতি-সাইট ব্যবহারকারীর নাম এবং পাসওয়ার্ডের তুলনায়।

আইডেন্টিটি ফেডারেশনের সাথে, একটি RP (নির্ভরকারী পক্ষ) একটি আইডিপি (পরিচয় প্রদানকারী) এর উপর নির্ভর করে ব্যবহারকারীকে একটি নতুন ব্যবহারকারীর নাম এবং পাসওয়ার্ড ছাড়াই একটি অ্যাকাউন্ট প্রদান করতে।

দুর্ভাগ্যবশত, আইডেন্টিটি ফেডারেশন যে প্রক্রিয়াগুলির উপর নির্ভর করে (iframes, পুনঃনির্দেশ এবং কুকিজ) সক্রিয়ভাবে ওয়েব জুড়ে ব্যবহারকারীদের ট্র্যাক করার জন্য অপব্যবহার করা হচ্ছে। যেহেতু ব্যবহারকারী এজেন্ট পরিচয় ফেডারেশন এবং ট্র্যাকিংয়ের মধ্যে পার্থক্য করতে সক্ষম হয় না, তাই বিভিন্ন ধরনের অপব্যবহারের জন্য প্রশমন পরিচয় ফেডারেশনের স্থাপনাকে আরও কঠিন করে তোলে।

ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট এপিআই (FedCM) ওয়েবে ফেডারেটেড পরিচয় প্রবাহের জন্য একটি ব্যবহার-কেস-নির্দিষ্ট বিমূর্ততা প্রদান করে, একটি ব্রাউজার মধ্যস্থিত ডায়ালগ প্রকাশ করে যা ব্যবহারকারীদের ওয়েবসাইটগুলিতে লগইন করার জন্য আইডিপি থেকে অ্যাকাউন্টগুলি বেছে নিতে দেয়৷

FedCM হল ওয়েবে আরও ভাল পরিচয় তৈরি করার জন্য একটি বহু-পদক্ষেপের যাত্রা৷ এর প্রথম ধাপে আমরা ফেডারেটেড পরিচয়ের উপর তৃতীয় পক্ষের কুকি বিধিনিষেধের প্রভাব কমানোর দিকে মনোনিবেশ করছি (আরও কয়েক ধাপের জন্য রোডম্যাপ বিভাগটি দেখুন)।

একজন ব্যবহারকারী FedCM ব্যবহার করে একটি RP-তে স্বাক্ষর করছেন।

আমরা কি আশা করি প্রভাবিত হবে?

সম্প্রদায়ের প্রচেষ্টা এবং আমাদের গবেষণার মাধ্যমে, আমরা শিখেছি যে কয়েকটি পরিচয় ফেডারেশন সম্পর্কিত ইন্টিগ্রেশন রয়েছে যা তৃতীয় পক্ষের কুকি বিধিনিষেধ দ্বারা প্রভাবিত হয়:

FedCM-এর প্রথম লক্ষ্য হল পরিচয় ফেডারেশনের উপর তৃতীয় পক্ষের কুকি বিধিনিষেধের প্রভাব কমানো, এবং এইগুলি হল সেই ক্ষেত্রগুলি যা আমরা প্রভাবিত হবে বলে আশা করি৷ যদি অতিরিক্ত ব্যবহারের ক্ষেত্রে তালিকাভুক্ত না থাকে, তাহলে আপনি জড়িত থাকতে এবং প্রতিক্রিয়া ভাগ করতে পারেন।

অন্যান্য API-এর জন্য একটি বিশ্বস্ত সংকেত হিসাবে FedCM

ফেডারেটেড আইডেন্টিটি পরিচালনার পাশাপাশি, FedCM অন্যান্য গোপনীয়তা স্যান্ডবক্স API-এর জন্য একটি বিশ্বাস সংকেত হিসাবেও কাজ করে।

Chrome 131 থেকে শুরু করে, স্টোরেজ অ্যাক্সেস এপিআই (SAA) FedCM কে বিশ্বাস সংকেত হিসাবে ব্যবহার করে। এই ইন্টিগ্রেশন সেই ওয়েবসাইটগুলির জন্য দরকারী যেগুলি প্রমাণীকরণের জন্য FedCM এবং SAA উভয়ের উপর নির্ভর করে ক্রস-অরিজিন আইফ্রেমগুলিকে প্রয়োজনীয় স্টোরেজ অ্যাক্সেস করতে সক্ষম করতে।

যখন একজন ব্যবহারকারী FedCM-এর সাথে প্রমাণীকরণ করে, RP অপ্ট-ইন করে, তখন RP-এর ওয়েবসাইটে এম্বেড করা IdP-এর বিষয়বস্তু অতিরিক্ত ব্যবহারকারীর প্রম্পটের প্রয়োজন ছাড়াই স্বয়ংক্রিয়ভাবে নিজস্ব টপ-লেভেল কুকিগুলিতে স্টোরেজ অ্যাক্সেস পেতে requestStorageAccess() পদ্ধতিতে কল করতে পারে। অনুমতি স্বয়ংক্রিয়ভাবে মঞ্জুর করা হবে যতক্ষণ না ব্যবহারকারী FedCM-এর সাথে সাইন ইন করে থাকে এবং FedCM সাইন-ইন স্টেট সক্রিয় থাকে। আরও বিস্তারিত জানার জন্য স্টোরেজ অ্যাক্সেস API ডকুমেন্টেশন পড়ুন।

কে FedCM ব্যবহার করা উচিত?

আমরা আশা করি FedCM শুধুমাত্র এই সমস্ত শর্ত প্রযোজ্য হলেই আপনার জন্য উপযোগী হবে:

  1. আপনি একজন পরিচয় প্রদানকারী (আইডিপি)।
  2. আপনি তৃতীয় পক্ষের কুকি বিধিনিষেধ দ্বারা প্রভাবিত।
  3. আপনার RPs হল তৃতীয় পক্ষের সাইট। যদি আপনার RPগুলি অর্থপূর্ণভাবে সম্পর্কিত সাইট হয়, তাহলে আপনাকে সম্পর্কিত ওয়েবসাইট সেটগুলি দ্বারা আরও ভালভাবে পরিবেশন করা যেতে পারে।

আপনি একজন আইডিপি

FedCM-এর জন্য একজন পরিচয় প্রদানকারীর সহায়তা প্রয়োজন। একটি নির্ভরশীল পক্ষ স্বাধীনভাবে FedCM ব্যবহার করতে পারে না। আপনি যদি একজন RP হন, তাহলে আপনি আপনার IdP-কে নির্দেশ দিতে বলতে পারেন।

আপনি তৃতীয় পক্ষের কুকি বিধিনিষেধ দ্বারা প্রভাবিত

আপনার বর্তমান ইন্টিগ্রেশন তৃতীয় পক্ষের কুকি বিধিনিষেধ দ্বারা প্রভাবিত হলে শুধুমাত্র FedCM ব্যবহার করা উচিত।

তৃতীয় পক্ষের কুকি পাওয়া না গেলে আপনার পরিচয় ফেডারেশন কাজ করা চালিয়ে যাবে কিনা তা আপনি নিশ্চিত না হলে, আপনি Chrome-এ তৃতীয় পক্ষের কুকিজ ব্লক করে একটি ওয়েবসাইটে প্রভাব পরীক্ষা করতে পারেন।

যদি তৃতীয় পক্ষের কুকিজ ছাড়া আপনার পরিচয় ফেডারেশনে কোনো আবিষ্কারযোগ্য প্রভাব না থাকে, তাহলে আপনি FedCM ছাড়া আপনার বর্তমান ইন্টিগ্রেশন ব্যবহার চালিয়ে যেতে পারেন।

আপনি যদি নিশ্চিত না হন যে কী পরীক্ষা করতে হবে, সেই পরিচিত বৈশিষ্ট্যগুলি সম্পর্কে আরও পড়ুন যা তৃতীয় পক্ষের কুকি বিধিনিষেধগুলিকে প্রভাবিত করবে বলে আশা করা হচ্ছে৷

আপনার RPs তৃতীয় পক্ষ

আপনি যদি একজন পরিচয় প্রদানকারী হন যার RP-এর সাথে IdP-এর প্রথম-পক্ষের সম্পর্ক রয়েছে, আমরা আশা করি সম্পর্কিত ওয়েবসাইট সেটগুলি একটি ভাল বিকল্প হতে পারে। সম্পর্কিত ওয়েবসাইট সেট (RWS) হল একটি সংস্থার জন্য সাইটগুলির মধ্যে সম্পর্ক ঘোষণা করার একটি উপায়, যাতে ব্রাউজারগুলি নির্দিষ্ট উদ্দেশ্যে সীমিত তৃতীয়-পক্ষ কুকি অ্যাক্সেসের অনুমতি দেয়। এটি তৃতীয় পক্ষের কুকিগুলিকে অর্থপূর্ণভাবে সম্পর্কিত সাইটগুলির সেটগুলির মধ্যে কাজ করার অনুমতি দেয়, এমনকি যখন তৃতীয় পক্ষের কুকিগুলি অন্যথায় সীমাবদ্ধ থাকে।

ব্যবহারকারীরা কিভাবে FedCM এর সাথে যোগাযোগ করবে?

FedCM এর প্রাথমিক ফোকাস তৃতীয় পক্ষের কুকি বিধিনিষেধের প্রভাব প্রশমিত করা। ব্যবহারকারীরা Chrome এর ব্যবহারকারী সেটিংসে FedCM সক্ষম বা অক্ষম করতে পারেন৷

FedCM প্রোটোকল-অজ্ঞেয়বাদী হতে ডিজাইন করা হয়েছে এবং নিম্নলিখিত প্রমাণীকরণ-সম্পর্কিত কার্যকারিতা অফার করে।

এটি কিভাবে কাজ করে তা দেখতে আমাদের ডেমো দেখুন

একটি নির্ভরশীল পার্টিতে সাইন ইন করুন

একজন ব্যবহারকারী FedCM ব্যবহার করে একটি RP-এ সাইন ইন করেন।

ব্যবহারকারী যখন নির্ভরকারী পক্ষের (RP) ওয়েবসাইটে অবতরণ করেন, ব্যবহারকারী IdP-এ সাইন ইন করলে একটি FedCM সাইন-ইন ডায়ালগ প্রদর্শিত হবে।

যদি ব্যবহারকারীর আইডিপির সাথে RP-এ একটি অ্যাকাউন্ট না থাকে, তাহলে একটি সাইন-আপ ডায়ালগ অতিরিক্ত প্রকাশের পাঠ্য সহ উপস্থিত হয় যেমন RP-এর পরিষেবার শর্তাবলী এবং একটি গোপনীয়তা নীতি যদি সেগুলি প্রদান করা হয়।

ব্যবহারকারী এই হিসাবে চালিয়ে যান... এ আলতো চাপ দিয়ে সাইন ইন সম্পূর্ণ করতে পারেন। সফল হলে, ব্রাউজারটি তথ্য সংরক্ষণ করে যে ব্যবহারকারী আইডিপি-র সাথে RP-এ একটি ফেডারেটেড অ্যাকাউন্ট তৈরি করেছেন।

RPs এমন ব্রাউজারগুলিতে কাজ করবে বলে আশা করা হচ্ছে যেগুলি FedCM সমর্থন করে না। ব্যবহারকারীদের একটি বিদ্যমান, নন-FedCM সাইন-ইন প্রক্রিয়া ব্যবহার করতে সক্ষম হওয়া উচিত। FedCM-এ সাইন-ইন কীভাবে কাজ করে সে সম্পর্কে আরও জানুন।

FedCM সক্ষম বা নিষ্ক্রিয় করার সেটিংস৷

ব্যবহারকারীরা Android এ Chrome-এ সেটিংসে FedCM সক্ষম বা অক্ষম করতে পারেন। সেটিংস > সাইট সেটিংস > তৃতীয় পক্ষের সাইন-ইন এ যান, তারপর টগল পরিবর্তন করুন।

থার্ড-পার্টি সাইন-ইন-এ টগল করে মোবাইলে Chrome সেটিংসে FedCM সক্ষম করুন

তারা chrome://settings/content/federatedIdentityApi এ গিয়ে ডেস্কটপে Chrome-এর জন্য একই কাজ করতে পারে।

তৃতীয় পক্ষের সাইন-ইন টগল করে ডেস্কটপে Chrome সেটিংসে FedCM সক্ষম করুন৷

প্রম্পট কুলডাউন সময়কাল

ব্যবহারকারী ম্যানুয়ালি UI বন্ধ করলে, একটি এন্ট্রি সাময়িকভাবে সেটিংস UI- তে যোগ করা হবে এবং UI নির্দিষ্ট সময়ের জন্য একই ওয়েবসাইটে প্রদর্শিত হবে না। পিরিয়ডের পরে UI পুনরায় সক্রিয় করা হবে, কিন্তু পরপর বন্ধ হওয়ার সময় সময়কাল দ্রুতগতিতে প্রসারিত হবে। উদাহরণস্বরূপ, ক্রোমে:

টানা বার বন্ধ সময়কাল যে FedCM প্রম্পট চাপা হয়
1 দুই ঘণ্টা
2 একদিন
3 এক সপ্তাহ
4+ চার সপ্তাহ

অন্যান্য ব্রাউজার তাদের নিজস্ব, ভিন্ন, কুলডাউন সময়কাল সংজ্ঞায়িত করতে পারে।

ব্যবহারকারীরা সেটিংস পৃষ্ঠায় গিয়ে অথবা PageInfo UI (URL বারের পাশে একটি লক আইকন) ক্লিক করে এবং অনুমতি পুনরায় সেট করে ম্যানুয়ালি RP-এ FedCM-কে পুনরায় সক্ষম করতে পারেন।

রোডম্যাপ

আমরা FedCM-এ বেশ কিছু পরিবর্তন আনার জন্য কাজ করছি। আরো বিস্তারিত জানার জন্য আপডেট দেখুন.

  • লগ পরিবর্তন করুন : ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট এপিআই আপডেট

আইডিপি, আরপি এবং ব্রাউজার বিক্রেতাদের কাছ থেকে আমরা শুনেছি এমন কিছু বিষয় সহ আমরা জানি যেগুলি এখনও করা দরকার। আমরা বিশ্বাস করি আমরা জানি কিভাবে এই সমস্যাগুলো সমাধান করতে হয়:

  • ক্রস-অরিজিন আইফ্রেম সমর্থন : আইডিপিগুলি একটি ক্রস-অরিজিন আইফ্রেম ( আপডেট ) থেকে FedCM কল করতে পারে।
  • ব্যক্তিগতকৃত বোতাম : আইডিপি মালিকানাধীন ক্রস-অরিজিন আইফ্রেম ( আপডেট ) এর মধ্যে থেকে সাইন-ইন বোতামে আইডিপিগুলি ফেরত আসা ব্যবহারকারীর পরিচয় প্রদর্শন করতে পারে।
  • মেট্রিক্স এন্ডপয়েন্ট : আইডিপি-কে কর্মক্ষমতা মেট্রিক্স প্রদান করে।

অতিরিক্তভাবে, এমন কিছু অমীমাংসিত সমস্যা রয়েছে যা আমরা সক্রিয়ভাবে অন্বেষণ করছি যার মধ্যে নির্দিষ্ট প্রস্তাবগুলি আমরা মূল্যায়ন করছি বা প্রোটোটাইপ করছি:

অবশেষে, Mozilla , Apple এবং TAG পর্যালোচকদের প্রতিক্রিয়ার উপর ভিত্তি করে এমন কিছু জিনিস আছে যা আমরা এখনও করতে হবে বলে মনে করি। আমরা এই খোলা প্রশ্নগুলির জন্য সেরা সমাধানগুলি মূল্যায়ন করার জন্য কাজ করছি:

  • ব্যবহারকারীর বোধগম্যতা এবং মিলের অভিপ্রায় উন্নত করা : Mozilla যেমন উল্লেখ করেছে , আমরা বিভিন্ন UX ফর্মুলেশন এবং পৃষ্ঠের ক্ষেত্রগুলির পাশাপাশি ট্রিগারিং মানদণ্ডগুলি অন্বেষণ চালিয়ে যেতে চাই।
  • আইডেন্টিটি অ্যাট্রিবিউটস এবং সিলেক্টিভ ডিসক্লোজার : যেমন আমাদের TAG রিভিউয়াররা উল্লেখ করেছেন , আমরা বেছে বেছে কম বা বেশি আইডেন্টিটি অ্যাট্রিবিউট শেয়ার করার জন্য একটি মেকানিজম দিতে চাই (যেমন ইমেল, বয়স বন্ধনী, ফোন নম্বর ইত্যাদি)।
  • গোপনীয়তা বৈশিষ্ট্য উত্থাপন : Mozilla তার মান অবস্থানে প্রস্তাবিত হিসাবে, আমরা আরও ভাল গোপনীয়তা গ্যারান্টি, যেমন IdP অন্ধত্ব, নির্দেশিত শনাক্তকারী প্রদান করার জন্য প্রক্রিয়াগুলি অন্বেষণ চালিয়ে যেতে চাই৷
  • WebAuthn-এর সাথে সম্পর্ক : Apple- এর পরামর্শ অনুযায়ী, আমরা পাসকিগুলির অগ্রগতি দেখতে এবং FedCM, পাসওয়ার্ড, WebAuthn এবং WebOTP-এর মধ্যে একটি সুসংগত এবং সমন্বিত অভিজ্ঞতা প্রদানের জন্য কাজ করতে অত্যন্ত উত্তেজিত৷
  • লগইন স্ট্যাটাস : অ্যাপল গোপনীয়তা CG-এর লগইন স্ট্যাটাস এপিআই-এর সাথে প্রস্তাবিত হিসাবে, আমরা অন্তর্দৃষ্টি শেয়ার করি যে ব্যবহারকারীর লগইন স্ট্যাটাস একটি দরকারী তথ্য যা ব্রাউজারগুলিকে জ্ঞাত সিদ্ধান্ত নিতে সাহায্য করতে পারে, এবং এর থেকে কী কী সুযোগ তৈরি হয় তা দেখতে আমরা উত্তেজিত। ( আপডেট )
  • এন্টারপ্রাইজ এবং শিক্ষা : যেমন FedID CG-তে স্পষ্ট, এখনও অনেক ব্যবহারের ক্ষেত্রে রয়েছে যেগুলি FedCM দ্বারা ভালভাবে পরিবেশিত হয় না যেগুলিতে আমরা কাজ করতে চাই, যেমন ফ্রন্ট-চ্যানেল লগআউট (একটি আইডিপি পাঠানোর ক্ষমতা লগআউট করার জন্য RPs কে একটি সংকেত) এবং SAML এর জন্য সমর্থন।
  • mDLs/VCs/ইত্যাদির সাথে সম্পর্ক : FedCM-এর মধ্যে এগুলি কীভাবে ফিট করে তা বোঝার জন্য কাজ চালিয়ে যান, উদাহরণস্বরূপ মোবাইল ডকুমেন্ট রিকোয়েস্ট API-এর সাথে।

FedCM API ব্যবহার করুন

FedCM ব্যবহার করার জন্য Chrome এর IdP এবং RP উভয় ক্ষেত্রেই আপনার একটি সুরক্ষিত প্রসঙ্গ (HTTPS বা লোকালহোস্ট) প্রয়োজন৷

FedCM-এর সাথে সংহত করার জন্য আপনাকে একটি সুপরিচিত ফাইল, কনফিগারেশন ফাইল এবং অ্যাকাউন্টের তালিকা, দাবী জারি এবং (ঐচ্ছিকভাবে) ক্লায়েন্ট মেটাডেটার জন্য শেষ পয়েন্ট তৈরি করতে হবে। সেখান থেকে, FedCM জাভাস্ক্রিপ্ট APIগুলি প্রকাশ করে যা RPs IdP এর সাথে সাইন ইন করতে ব্যবহার করতে পারে৷

কিভাবে FedCM API ব্যবহার করবেন তা জানতে FedCM বিকাশকারী নির্দেশিকা দেখুন।

জড়িত এবং মতামত শেয়ার করুন

ই-গোপনীয়তা আইনের সাথে সম্মতি

FedCM ব্যবহার করে, হয় একটি আইডিপি বা একটি RP হিসাবে, ব্যবহারকারীর টার্মিনাল সরঞ্জামের তথ্য সংরক্ষণ বা এটিতে ইতিমধ্যে সংরক্ষিত তথ্যের অ্যাক্সেস জড়িত, এবং তাই এটি ইউরোপীয় অর্থনৈতিক অঞ্চল (EEA) এবং যুক্তরাজ্যের ই-প্রাইভেসি আইনের অধীন একটি কার্যকলাপ। সাধারণত ব্যবহারকারীর সম্মতি প্রয়োজন। ব্যবহারকারীর দ্বারা স্পষ্টভাবে অনুরোধ করা একটি অনলাইন পরিষেবা প্রদানের জন্য আপনার FedCM-এর ব্যবহার কঠোরভাবে প্রয়োজনীয় কিনা তা নির্ধারণ করা আপনার দায়িত্ব, এবং সেইজন্য সম্মতির প্রয়োজনীয়তা থেকে অব্যাহতি। আরও তথ্যের জন্য, আমরা আপনাকে আমাদের গোপনীয়তা স্যান্ডবক্স গোপনীয়তা-সম্পর্কিত কমপ্লায়েন্স FAQs পড়তে উৎসাহিত করি।