Uma API da Web para federação de identidade que preserva a privacidade.
O que é FedCM?
O FedCM (Federated Credential Management) é uma plataforma de gerenciamento abordagem para serviços de identidade federada (como "Fazer login com..."), em que os usuários podem fazer login em sites sem compartilhar suas informações pessoais com o serviço de identidade ou o site.
Status da implementação
- Status da plataforma do Chrome
- O FedCM foi lançado no Chrome 108.
- A proposta do FedCM (link em inglês) está aberta para discussão pública.
- O FedCM ainda não é compatível com outros navegadores.
- O Mozilla está implementando um protótipo para o Firefox, e a Apple expressou suporte geral e interesse em trabalhar em conjunto na proposta do FedCM.
Futuramente, planejamos lançar vários recursos novos com base no feedback que recebemos dos provedores de identidade (IdP), partes confiáveis (RP) e fornecedores de navegadores. Esperamos que os provedores de identidade adotem o FedCM, mas lembre-se que o FedCM ainda é uma API em desenvolvimento ativo.
Para minimizar os desafios da implantação de alterações incompatíveis com versões anteriores, temos duas recomendações para provedores de identidade:
- Inscreva-se no newsletter em que enviará atualizações à medida que a API evoluir.
- Incentivamos os IdPs a distribuir a API FedCM usando SDKs do JavaScript. A API está sendo desenvolvida e desencoraje as partes interessadas de auto-hospedar SDKs. Isso vai garantir que os IdPs possam fazer alterações à medida que a API evolui, sem ter que solicitar as partes confiáveis para reimplantar.
Por que precisamos do FedCM?
Na última década, a federação de identidade desempenhou um papel central na promoção padrão para autenticação na web, em termos de confiabilidade, facilidade de uso (por exemplo, login único sem senha) e segurança (por exemplo, melhorias resistência a phishing e ataques de preenchimento de credenciais) em comparação a ataques por site, nomes de usuário e senhas.
Na federação de identidade, uma parte confiável (RP, na sigla em inglês) usa um IdP provedor) fornecer uma conta ao usuário sem precisar de um novo nome de usuário e senha.
Infelizmente, os mecanismos necessários para a federação de identidade (iframes, redirecionamentos e cookies) estão sendo usados ativamente em abusos para rastrear usuários na Web. Como o user agent não consegue diferenciar entre federação de identidade e as mitigações para os vários tipos de abuso tornam a implantação a federação de identidade mais difícil.
API Federated Credential Management (FedCM) indica um caso de uso específico para fluxos de identidade federada na Web, expondo um navegador caixa de diálogo mediada que permite aos usuários escolher contas de IdPs para fazer login e sites.
A FedCM é uma jornada em várias etapas para melhorar a identidade na Web. No primeiro passo nosso foco é reduzir o impacto das restrições de cookies de terceiros sobre identidade federada (consulte a seção Roteiro para conhecer algumas etapas mais adiante).
O que esperamos que seja afetado?
Pela comunidade esforço e nossa pesquisa, aprendemos que há alguns grupos de federação de identidade integrações afetadas pelas restrições de cookies de terceiros:
- Front-Channel do OpenID Connect Sair
- Sessão do OpenID Connect Gerenciamento
- Token de segundo plano baseado em iframe renovação
- Login baseado em iframe widgets
A primeira meta da FedCM é reduzir o impacto das restrições de cookies de terceiros nos a federação de identidade e essas são as áreas que esperamos que sejam afetadas. Se existem outros casos de uso não listados, é possível interagir e compartilhar feedback.
Quem deve usar o FedCM?
Esperamos que a FedCM seja útil para você somente se todas estas condições forem aplicáveis:
- Ser um provedor de identidade (IdP).
- As restrições de cookies de terceiros foram afetadas.
- Suas RPs são sites de terceiros. Se suas RPs forem sites significativamente relacionados, você poderá ser mais bem atendido por Site relacionado Conjuntos.
Você é um IdP
O FedCM exige o suporte de um provedor de identidade. Uma parte confiável não pode usar o FedCM de forma independente. Se você for um parte restrita, peça ao IdP para fornecer instruções.
As restrições de cookies de terceiros foram afetadas
Você só deve usar o FedCM se sua integração atual for afetada pelo restrições de cookies de terceiros.
Se você não tiver certeza se sua federação de identidade continuará funcionando quando cookies de terceiros não estiverem disponíveis, você pode testar o efeito em um site bloquear cookies de terceiros no Chrome.
Se não houver impacto detectável na federação de identidade sem cookies de terceiros, você pode continuar usando sua integração atual sem FedCM.
Se você não tem certeza do que verificar, leia mais sobre os eventos conhecidos recursos que as restrições de cookies de terceiros podem afetar.
Suas partes restritas são terceiros
Se você é um provedor de identidade com RPs que têm uma relação primária com o IdP, esperamos conjuntos de sites relacionados pode ser uma opção melhor. Os conjuntos de sites relacionados (RWS, na sigla em inglês) são uma forma de uma organização declarar as relações entre sites para que os navegadores permitam o acesso limitado a cookies de terceiros para fins específicos. Isso permite que cookies de terceiros funcionem entre conjuntos de sites significativamente relacionados, mesmo quando cookies de terceiros são restritos.
Como os usuários interagirão com o FedCM?
O foco principal da FedCM é mitigar o impacto dos cookies de terceiros restrições. Os usuários podem ativar ou desativar o FedCM no usuário do Chrome padrão.
O FedCM foi projetado para não depender de protocolo e oferece o seguinte funcionalidades relacionadas à autenticação.
Confira nossa demonstração para ver como funciona.
Fazer login em uma parte confiável
Quando o usuário acessa o site da parte confiável (RP), uma caixa de diálogo de login do FedCM vai aparecer se o usuário tiver feito login no IdP.
Se o usuário não tiver uma conta na parte restrita com o IdP, uma caixa de diálogo de inscrição será exibida. aparece com um texto de divulgação adicional, como os termos de serviço da parte restrita, e um Política de Privacidade do Google, caso sejam fornecidas.
O usuário pode concluir o login tocando em Continuar como.... Se for bem-sucedido, o navegador armazena o fato de que o usuário criou uma conta federada no RP com o IdP.
Espera-se que as RPs funcionem em navegadores incompatíveis com o FedCM. Os usuários devem ser usar um processo de login atual não do FedCM. Saiba mais sobre como login funciona no FedCM.
Configurações para ativar ou desativar o FedCM
Os usuários podem ativar ou desativar o FedCM nas configurações do Chrome no Android. Acessar Configurações > Configurações do site > Login de terceiros e altere o botão de alternância.
Eles podem fazer o mesmo para o Chrome no computador acessando
chrome://settings/content/federatedIdentityApi:
Roteiro
Estamos trabalhando para realizar uma série de alterações no FedCM. Consulte Atualizações para mais detalhes.
- Registro de alterações: atualizações da API Federated Credential Management.
Há algumas coisas que sabemos que ainda precisam ser feitas, incluindo problemas que de IdPs, RPs e fornecedores de navegadores. Acreditamos que sabemos como resolver estes problemas:
- Suporte a iframe de origem cruzada: os IdPs podem chamar o FedCM de dentro de um iframe de origem cruzada (atualização).
- Botão personalizado: os IdPs podem exibir a identidade de um usuário recorrente no Botão de login em um iframe de origem cruzada do IdP (atualizar).
- Endpoint de métricas: fornece métricas de desempenho para IdPs.
Além disso, há questões não resolvidas que estamos explorando ativamente, incluindo propostas específicas que estamos avaliando ou prototipando:
- CORS: estamos discutindo com a Apple e Mozilla para garantir a melhoria da especificação de buscas do FedCM.
- API com vários IdPs: estamos estudando maneiras de oferecer suporte a vários IdPs os IdPs para coexistir de forma cooperativa seletor de conta do FedCM.
- API IdP Sign-in Status: o Mozilla identificou um ataque de tempo. problema, e estamos explorando maneiras para um IdP notificar proativamente o navegador sobre o login do usuário para mitigar o problema. (atualização)
- Fazer login na API IdP: para oferecer suporte a vários cenários, quando um usuário não está conectado ao IdP, o navegador fornece uma interface para o usuário fazer login sem sair da parte restrita.
Por fim, com base no feedback, achamos que algumas coisas ainda precisam ser feitas de Mozilla, Apple e TAG revisores. Estamos trabalhando para avaliar as melhores soluções para estas perguntas abertas:
- Melhorar a compreensão do usuário e a intenção correspondente: conforme o Mozilla de lembrar, gostaríamos de continuar explorando diferentes formulações de UX e áreas de superfície, além dos critérios de acionamento.
- Atributos de identidade e divulgação seletiva: como nossos revisores de TAG de lembrar, gostaríamos de oferecer um mecanismo para compartilhar seletivamente (como e-mails, faixa etária, números de telefone etc.).
- Como aumentar as propriedades de privacidade: conforme sugerido pelo Mozilla na posição de padrão, gostaríamos de continuar explorando mecanismos para oferecer mais privacidade de segurança, como a cegueira do IdP e os identificadores direcionados.
- Relação com a WebAuthn: conforme sugerido por Apple, estamos muito animados para ver o progresso chaves de acesso e trabalhe para fornecer uma conexão experiência coesa entre FedCM, Passwords, WebAuthn e WebOTP.
- Status de login: conforme sugerido pela Apple com o status de login de CG de privacidade API, temos a intuição de que o status de login do usuário é uma informação útil que pode ajudar os navegadores tomar decisões informadas, e estamos animados para ver as oportunidades que podem surgir a partir daí. (atualização)
- Empresas e educação: como está claro na FedID CG, ainda há um muito uso casos que não são bem atendidos pela FedCM com os quais gostaríamos de trabalhar, como logout do canal de frente (capacidade de um IdP enviar um sinal aos RPs para logout) e o suporte para SAML.
- Relação com mDLs/VCs/etc.: continue trabalhando para entender como essas se encaixam na FedCM, por exemplo, com a solicitação de documentos móveis API.
Usar a API FedCM
Você precisa de um contexto seguro (HTTPS ou localhost) no IdP e na RP no Chrome para usar o FedCM.
Para integrar com o FedCM, você precisa criar um arquivo de configuração conhecido, um arquivo de configuração e endpoints para a lista de contas, a emissão de declarações e, opcionalmente, os metadados do cliente. Depois disso, o FedCM expõe APIs JavaScript que os RPs podem usar para fazer login com o IdP.
Para saber como usar a API FedCM, consulte o guia para desenvolvedores do FedCM.
Interaja e compartilhe feedback
- GitHub: leia explicador, levantar os problemas e acompanhar a discussão.
- Suporte ao desenvolvedor: faça perguntas e participe de discussões na página Privacidade Suporte ao desenvolvedor de sandbox repositório.
Conformidade com as leis de privacidade eletrônica
O uso do FedCM, seja como um IdP ou RP, envolve o armazenamento de informações em um equipamento terminal do usuário ou acesso a informações já armazenadas nele, e é portanto, uma atividade sujeita às leis de privacidade eletrônica no Espaço Econômico Europeu (EEE) e do Reino Unido geralmente exigem o consentimento do usuário. É sua responsabilidade determine se o uso do FedCM é estritamente necessário para fornecer uma serviço on-line solicitado explicitamente pelo usuário e, portanto, isento do requisito de consentimento. Para mais informações, leia nossa Política de Privacidade Conformidade relacionada à privacidade do sandbox Perguntas frequentes.