Verifica el impacto de la eliminación gradual de las cookies de terceros en tus flujos de trabajo de acceso

Las cookies de terceros tienen usos válidos, pero también permiten el seguimiento entre sitios. Chrome planea restringir las cookies de terceros al 1% de los usuarios a partir del primer trimestre de 2024 para facilitar las pruebas y, luego, dará de baja las cookies de terceros para el 100% de los usuarios a partir de principios de 2025, sujeto a abordar cualquier inquietud restante relacionada con la competencia de la Autoridad de Competencia y Mercados (CMA) del Reino Unido. Si tu sitio web tiene un flujo de acceso que se basa en cookies de terceros, existe la posibilidad de que este cambio lo afecte. Debes asegurarte de que tu sitio esté listo.

En esta página, encontrarás información sobre las situaciones de acceso que tienen más probabilidades de verse afectadas, así como referencias a posibles soluciones.

Si tu sitio web solo controla flujos dentro del mismo dominio y subdominios, como publisher.example y login.publisher.example, no usará cookies entre sitios, y no se espera que tu flujo de acceso se vea afectado por la eliminación gradual.

Sin embargo, si tu sitio usa un dominio independiente para el acceso, como el Acceso con Google o el Acceso con Facebook, o si necesita compartir la autenticación de usuarios entre varios dominios o subdominios, es posible que debas realizar cambios en el sitio para garantizar una transición sin problemas de las cookies entre sitios.

La mejor manera de probar si tu flujo de acceso se ve afectado por la eliminación gradual de cookies de terceros es realizar los flujos de registro, recuperación de contraseña, acceso y salida con la marca de prueba de eliminación gradual de cookies de terceros habilitada.

Esta es una lista de tareas que debes verificar una vez que restringiste las cookies de terceros:

  • Registro de usuario: La creación de una cuenta nueva funciona según lo esperado. Si usas proveedores de identidad de terceros, verifica que el registro de cuentas nuevas funcione para cada integración.
  • Recuperación de contraseña: La recuperación de contraseñas funciona como se espera, desde la IU web hasta los captcha y la recepción del correo de recuperación de contraseña.
  • Acceso: El flujo de trabajo de acceso funciona dentro del mismo dominio y cuando navegas a otros dominios. Recuerda probar todas las integraciones de acceso.
  • Salir: El proceso de salida funciona como se espera y el usuario permanece fuera después del flujo de salida.

También debes probar que otras funciones del sitio que requieren el acceso del usuario sigan funcionando sin cookies entre sitios, en especial si implican la carga de recursos entre sitios. Por ejemplo, si usas una CDN para cargar imágenes de perfil de los usuarios, asegúrate de que esto siga funcionando. Si tienes recorridos críticos del usuario, como la confirmación de la compra, con acceso restringido, asegúrate de que sigan funcionando.

En las siguientes secciones, encontrarás información más específica sobre cómo esos flujos podrían verse afectados.

Identidad federada

Los botones de acceso como Acceder con Google, Acceso con Facebook y Acceder con Twitter son una señal definitiva de que tu sitio web usa un proveedor de identidad federada. Como cada proveedor de identidad federada tendrá su propia implementación, la mejor solución es consultar la documentación de tu proveedor o comunicarte con él para obtener más orientación.

Si usas la biblioteca de la plataforma JavaScript de Acceso con Google obsoleta, podrás encontrar información sobre cómo migrar a la biblioteca de Google Identity Services más reciente para la autenticación y autorización.

La mayoría de los sitios que usan la biblioteca de Google Identity Services más reciente están listos para la baja de las cookies de terceros, ya que la biblioteca migrará de manera silenciosa a usar FedCM para lograr la compatibilidad. Te recomendamos que pruebes tu sitio con la marca de prueba de eliminación gradual de cookies de terceros habilitada y, si es necesario, uses la lista de tareas de migración de FedCM para prepararte.

Dominio de acceso independiente

Algunos sitios web usan un dominio diferente solo para autenticar a los usuarios que no califican para las cookies del mismo sitio, como un sitio web que usa example.com para el sitio principal y login.example para el flujo de acceso, lo que puede requerir el acceso a cookies de terceros para garantizar que el usuario esté autenticado en ambos dominios.

Las rutas de migración posibles para esta situación son las siguientes:

  • Actualiza para usar cookies propias ("del mismo sitio"): Cambiar la infraestructura del sitio web para que el flujo de acceso se aloje en el mismo dominio (o un subdominio) que el sitio principal, que solo usará cookies propias. Esto puede requerir más esfuerzo, según cómo esté configurada la infraestructura.
  • Usa Conjuntos de sitios web relacionados (RWS): Los Conjuntos de sitios web relacionados habilitan el acceso limitado de cookies entre sitios entre un pequeño grupo de dominios relacionados. RWS es una API de Privacy Sandbox compilada para admitir este caso de uso. Sin embargo, RWS solo admite el acceso de cookies entre sitios en una cantidad limitada de dominios.
  • Si autenticas usuarios en más de 5 dominios asociados, explora FedCM: La Administración de credenciales federadas (FedCM) permite que los proveedores de identidad dependan de Chrome para manejar los flujos relacionados con la identidad sin requerir cookies de terceros. En tu caso, tu “dominio de acceso” podría actuar como el proveedor de identidad de FedCM y usarse para autenticar usuarios en tus otros dominios.

Varios dominios

Cuando una empresa tiene varios productos alojados en diferentes dominios o subdominios, es posible que desee compartir la sesión del usuario entre esos productos, lo que puede requerir el acceso a cookies de terceros entre varios dominios.

En esta situación, alojar todos los productos en el mismo dominio suele ser poco práctico. Las soluciones posibles en este caso son las siguientes:

Soluciones de acceso

Inicio de sesión único (SSO) de terceros

Debido a la complejidad de implementar una solución de SSO, muchas empresas optan por usar un proveedor de soluciones de terceros para compartir el estado de acceso entre varios orígenes. Algunos ejemplos de proveedores incluyen Okta, Ping Identity, Google Cloud IAM o el ID de Microsoft Entra.

Cuando se usa un proveedor de terceros, el mejor enfoque es buscar orientación por parte del proveedor sobre cómo la eliminación gradual de las cookies de terceros afectará la solución y qué enfoque recomienda para su servicio.

Soluciones de SSO de código abierto

Muchas empresas que mantienen sus propias soluciones de SSO lo harán mediante estándares de la industria establecidos, como OpenID Connect, OAuth o SAML, o proyectos de código abierto establecidos, como Keycloak, WSO2, Auth.js o Hydra.

Te recomendamos que consultes la documentación de tu proveedor para comprender cómo la eliminación gradual de cookies podría afectar su solución y cuál es la mejor ruta de migración para esa solución específica.

Soluciones internas personalizadas

Si tu solución de acceso corresponde a uno de los casos de uso anteriores y se integra de forma interna, en Prepárate para la eliminación gradual de cookies de terceros, se explica en más detalle cómo auditar tu código y prepararte para la eliminación gradual de cookies de terceros.

Toma medidas ahora.

Si tu sitio web pertenece a uno de los casos de uso, hay varias soluciones disponibles para abordar cualquier posible impacto, desde mover el flujo de autenticación al dominio principal para que solo use cookies propias, usar Conjuntos de sitios web relacionados para permitir compartir cookies entre una pequeña cantidad de dominios o aprovechar la Administración de credenciales de federación.

Es ahora el momento de auditar tu servicio y prepararte para la eliminación gradual de las cookies de terceros.