Una API web para la federación de identidades que preserva la privacidad.
¿Qué es la FedCM?
FedCM (Federated Credential Management) es una herramienta que preserva enfoque a los servicios de identidad federada (como “Acceder con...”), mediante el cual los usuarios pueden acceder a los sitios sin compartir su información personal con el de identidad del sitio o del servicio de identidad.
Estado de implementación
- Estado de la plataforma Chrome
- FedCM se envió en Chrome 108.
- La propuesta de FedCM está disponible para el debate público.
- FedCM todavía no es compatible con otros navegadores.
- Mozilla está implementando un prototipo para Firefox y Apple expresó su apoyo general y su interés en trabajar en conjunto en la propuesta de FedCM.
De ahora en adelante, planeamos incorporar varias funciones nuevas basadas en sobre los comentarios que recibimos de los proveedores de identidad (IdP) y las partes de confianza (RP) y proveedores de navegadores. Si bien esperamos que los proveedores de identidad adopten FedCM, ten en cuenta que FedCM sigue siendo una API en desarrollo activo.
Para minimizar los desafíos de implementar cambios incompatibles con versiones anteriores, tenemos dos recomendaciones para los proveedores de identidad:
- Suscríbete a nuestro boletín informativo en el que enviará actualizaciones a medida que la API evolucione.
- Recomendamos a los IdP que distribuyan la API de FedCM con los SDK de JavaScript mientras La API está madurando, y para desalentar a las RP de aloje SDKs propios Si confirmas esta acción, garantizar que los IdP puedan realizar cambios a medida que la API evoluciona, sin tener que solicitar sus usuarios de confianza la reimplementen.
¿Por qué necesitamos la FedCM?
Durante la última década, la federación de identidades ha desempeñado un rol fundamental para aumentar el estándar de autenticación en la web, en términos de confiabilidad, facilidad de uso (por ejemplo, acceso único sin contraseña) y seguridad (por ejemplo, más resistente a ataques de suplantación de identidad (phishing) y uso excesivo de credenciales) en comparación con los ataques por sitio nombres de usuario y contraseñas.
Con la federación de identidades, un RP (grupo de confianza) depende de un IdP (identidad) proveedor) para proporcionar una cuenta al usuario sin requerir un nuevo nombre de usuario. y la contraseña.
Desafortunadamente, los mecanismos en los que se basó la federación de identidades (iframes, redireccionamientos y cookies) se están utilizando activamente para seguir a los usuarios en la Web. Como el usuario-agente no puede diferenciar entre la federación de identidades y seguimiento, las mitigaciones para los diversos tipos de abuso hacen que la implementación de la federación de identidades.
La API de Federated Credential Management (FedCM) ofrece una capa de protección para flujos de identidad federada en la Web, ya que expone diálogo mediado que permite a los usuarios elegir cuentas de IdP para acceder sitios web.
FedCM es un recorrido de varios pasos para mejorar la identidad en la Web. En su Como primer paso, nos enfocamos en reducir el impacto de las restricciones de cookies de terceros sobre la identidad federada (consulta la sección Hoja de ruta para conocer algunos pasos) aún más).
¿Qué esperamos que se vea afectado?
A través de la comunidad esfuerzo y en nuestra investigación, descubrimos que hay algunos aspectos relacionados con la federación integraciones que se ven afectadas por restricciones de cookies de terceros:
- OpenID Connect Front-Channel Salir
- Sesión de OpenID Connect Administración
- Token de fondo basado en iframe renovación
- Acceso basado en iframe widgets
El primer objetivo de FedCM es reducir el impacto de las restricciones de cookies de terceros en de identidades, y estas son las áreas que esperamos se vean afectadas. Si Si hay casos de uso adicionales que no aparecen en la lista, puedes interactuar y compartir comentarios.
¿Quiénes deberían usar la FedCM?
Esperamos que FedCM te resulte útil solo si se cumplen todas estas condiciones:
- Eres un proveedor de identidad (IdP).
- En este momento, tienes restricciones con respecto a las cookies de terceros.
- Tus RP son sitios de terceros. Si tus partes interesadas están relacionadas de forma significativa, es posible que te sirvan más por sitio web relacionado Sets.
Eres un IdP
La FedCM requiere la asistencia de un proveedor de identidad. Un usuario de confianza no puede usar FedCM por separado. Si eres un RP, puedes pedirle a tu IdP que te proporcione instrucciones.
Se ve afectado por las restricciones de las cookies de terceros
Solo debes usar FedCM si tu integración actual se ve afectada por el restricciones de cookies de terceros.
Si no sabes si tu federación de identidades seguirá funcionando cuando cookies de terceros no están disponibles, puedes probar el efecto en un sitio web bloquear cookies de terceros en Chrome.
Si no hay un impacto detectable en tu federación de identidades cookies de terceros, puedes seguir usando tu integración actual sin FedCM.
Si no sabes qué buscar, puedes leer más sobre los recursos funciones que se espera que afecten las restricciones de cookies de terceros.
Tus RP son de terceros
Si eres un proveedor de identidad cuyos RP tienen una relación propia con un IdP, esperamos Conjuntos de sitios web relacionados. puede ser una mejor opción. Los Conjuntos de sitios web relacionados (RWS) son un medio que tiene una organización para declarar relaciones entre sitios, de modo que los navegadores permitan un acceso limitado a las cookies de terceros con fines específicos. Esto permite que las cookies de terceros funcionen entre conjuntos de sitios relacionados de manera significativa, incluso cuando las cookies de terceros estén restringidas de otra forma.
¿Cómo interactuarán los usuarios con FedCM?
El enfoque principal de FedCM es mitigar el impacto de las cookies de terceros. de manera predeterminada. Los usuarios pueden habilitar o inhabilitar FedCM en la cuenta de Chrome Configuración.
FedCM está diseñada para ser independiente del protocolo y ofrece lo siguiente: relacionadas con la autenticación.
Mira nuestra demostración para ver cómo funciona.
Accede a un usuario de confianza
Cuando el usuario llega al sitio web de usuario de confianza (RP), aparece un diálogo de acceso de FedCM. Si el usuario accedió al IdP.
Si el usuario no tiene una cuenta en el RP con el IdP, aparecerá un diálogo de registro junto con un texto de divulgación adicional, como las Condiciones del Servicio de la parte restringida y una política de privacidad si se proporcionan.
El usuario puede completar el acceso presionando Continuar como.... Si tiene éxito, el navegador almacena el hecho de que el usuario creó una cuenta federada en la RP con el IdP.
Se espera que las RP funcionen en navegadores que no admiten FedCM. Los usuarios deben tener usar un proceso de acceso existente que no es de FedCM. Obtén más información sobre cómo funciona en la FedCM.
Configuración para habilitar o inhabilitar FedCM
Los usuarios pueden habilitar o inhabilitar FedCM en la configuración de Chrome para Android. Ir a Configuración > Configuración de sitios > Acceso de terceros y, luego, cambia la botón de activación.
Para hacer lo mismo con Chrome en computadoras de escritorio, pueden ir a
chrome://settings/content/federatedIdentityApi
Hoja de ruta
Estamos trabajando para implementar varios cambios en FedCM. Consulta Actualizaciones para conocer más detalles.
- Registro de cambios: Actualizaciones de la API de Federated Credential Management.
Hay algunas cosas que sabemos que todavía quedan por hacer, incluidos los problemas que de los IdP, RP y proveedores de navegadores. Creemos que sabemos cómo resolver estos problemas:
- Compatibilidad con iframe de origen cruzado: Los IdP pueden llamar a FedCM desde un iframe de origen cruzado (actualización).
- Botón Personalizado: Los IdP pueden mostrar la identidad de un usuario recurrente en el botón de acceso desde un iframe de origen cruzado propiedad de IdP (actualización).
- Extremo de métricas: Proporciona métricas de rendimiento a los IdP.
Además, hay problemas sin resolver que exploramos activamente, como propuestas específicas que evaluamos o prototipamos:
- CORS: Estamos comentando con Apple y Mozilla para garantizar que específica de recuperaciones de FedCM.
- API de Multiple-IdP: Estamos explorando formas de admitir varias los IdP coexistan de manera cooperativa en el selector de cuentas de FedCM.
- API de estado de acceso del IdP: Mozilla identificó un ataque de tiempo problema y estamos explorando formas de un IdP para notificar de forma proactiva al navegador sobre el acceso del usuario estado en mitigar el problema. (actualización)
- Acceder a la API de IdP: Para admitir varios de uso compartido, cuando un usuario no cuando accede al IdP, el navegador proporciona una IU para que el usuario acceda sin abandonar la parte restringida.
Por último, nos parece que aún falta hacer algo, basándonos en los comentarios, de Mozilla Apple y TAG revisores. Estamos trabajando para evaluar las mejores soluciones para las siguientes preguntas abiertas:
- Mejorar la comprensión del usuario y la intención correspondiente: Como Mozilla ten en cuenta, nos gustaría seguir explorando las diferentes formulaciones de UX y las áreas de superficie, y los criterios de activación.
- Atributos de identidad y divulgación selectiva: Como nuestros revisores del TAG ten en cuenta, nos gustaría ofrecer un mecanismo para compartir selectivamente más o menos identidad atributos (como correos electrónicos, tramos de edad, números de teléfono, etc.).
- Aumentar las propiedades de privacidad: Como sugirió Mozilla en su posición de estándares nos gustaría seguir explorando mecanismos para ofrecer una mayor privacidad garantías, como la ceguera de IdP, los identificadores dirigidos.
- Relación con WebAuthn: Según lo sugerido por Apple, estamos muy emocionados de ver el progreso llaves de acceso y trabajar para proporcionar experiencia coherente entre FedCM, Passwords, WebAuthn y WebOTP.
- Estado de acceso: Como lo sugirió Apple con el Estado de acceso de Privacy CG , compartimos la intuición de que el estado de acceso del usuario es un bit de información útil que puede ayudar a los navegadores a tomar decisiones informadas, y nos entusiasma ver qué oportunidades surgen a partir de eso. (actualización)
- Empresas y educación: Como se observa en la CG del FedID, todavía hay una mucho uso casos que no están bien atendidas por la FedCM en las que nos gustaría trabajar, como cierre de sesión en el canal frontal (la capacidad de un IdP de enviar un indicador a los RP a salida) y asistencia para SAML.
- Relación con las Licencias de Conducir Digital, las empresas de capital de riesgo, etc.: Siga trabajando para comprender cómo encajar en la FedCM, por ejemplo, con la Solicitud de documento para dispositivos móviles de la API.
Cómo usar la API de FedCM
Necesitas un contexto seguro (HTTPS o localhost) en el IdP y el RP en Chrome para usar FedCM.
Para realizar la integración con FedCM, debes crear un archivo conocido, un archivo de configuración y extremos para la lista de cuentas, la emisión de aserciones y, de forma opcional, los metadatos de cliente. A partir de allí, FedCM expone las APIs de JavaScript que los RP pueden usar para acceder con el IdP.
Para obtener información sobre cómo usar la API de FedCM, consulta la guía para desarrolladores de FedCM.
Interactúa y comparte tus comentarios
- GitHub: Consulta el explicación, aumente y sigue el debate.
- Asistencia para desarrolladores: Haz preguntas y únete a debates sobre la Política de Privacidad Asistencia para desarrolladores de la zona de pruebas repo.
Cumplimiento de las leyes de privacidad electrónica
Usar FedCM, ya sea como IdP o RP, implica el almacenamiento de información en una equipo terminal del usuario o el acceso a la información que ya está almacenada en él, y que Por lo tanto, es una actividad sujeta a las leyes de privacidad electrónica del Espacio Económico Europeo. (EEE) y el Reino Unido, por lo general, requieren el consentimiento del usuario. Es tu responsabilidad determinar si tu uso de la FedCM es estrictamente necesario para proporcionar una servicio en línea solicitado explícitamente por el usuario y, por lo tanto, está exento de la el requisito de consentimiento. Para obtener más información, te recomendamos leer nuestra Política de Privacidad Cumplimiento relacionado con la privacidad en Sandbox Preguntas frecuentes.