Ta strona została przetłumaczona przez Cloud Translation API.

Trwa wysyłanie interfejsu Federated Credential Management API

Interfejs Federated Credential Management API (FedCM) jest dostępny w Chrome 108 (obecnie w wersji beta). Pod koniec listopada 2022 roku interfejs FedCM API będzie dostępny w wersji stabilnej Chrome bez konieczności używania flagi i tokena testowania origin.

FedCM to interfejs API Piaskownicy prywatności, który zapewnia abstrakcję specyficzną dla danego przypadku użycia na potrzeby przepływów sfederowanych przepływów tożsamości w internecie. FedCM udostępnia okna zapośredniczone przez przeglądarkę, które umożliwiają użytkownikom wybranie kont w celu zalogowania się na stronach internetowych spośród dostawców tożsamości.

Zapoznaj się z najnowszymi zmianami w interfejsie API na stronie ze zbiorczymi informacjami o aktualizacjach.

Na podstawie opinii, które otrzymaliśmy od dostawców tożsamości, podmiotów uzależnionych i dostawców przeglądarek, planujemy wprowadzić szereg nowych funkcji. Mamy nadzieję, że dostawcy tożsamości zaczną wdrażać FedCM. Pamiętaj jednak, że FedCM jest nadal w fazie rozwoju interfejsu API i w czwartym kwartale 2023 r. spodziewamy się wstecznie zgodnych zmian.

Aby zminimalizować problemy związane z wdrażaniem niezgodnych wstecznie zmian, stosujemy obecnie 2 zalecenia dla dostawców tożsamości:

Zasubskrybuj nasz newsletter, aby otrzymywać aktualne informacje o zmianach w interfejsie API.
Zdecydowanie zachęcamy dostawców tożsamości do rozpowszechniania interfejsu FedCM API za pomocą pakietów SDK JavaScript w trakcie jego rozwoju, a także do zniechęcania RP do samodzielnego hostowania pakietów SDK. Dzięki temu dostawcy tożsamości będą mogli wprowadzać zmiany w miarę ewoluowania interfejsu API bez konieczności zwracania się do wszystkich uzależnionych o ponowne wdrożenie.

Wprowadzenie

W ostatniej dekadzie federacja tożsamości odgrywała główną rolę w podnoszeniu poprzeczki uwierzytelniania w internecie pod względem wiarygodności, łatwości użytkowania (np. jednorazowe logowanie się bez hasła) i zabezpieczeń (np. zwiększonej odporności na phishing i upychanie danych logowania) w porównaniu z nazwami użytkowników i hasłami w poszczególnych witrynach.

Niestety mechanizmy, na których opierała się federacja tożsamości (elementy iframe, przekierowania i pliki cookie), są aktywnie wykorzystywane do śledzenia użytkowników w internecie. Klient użytkownika nie jest w stanie rozróżnić federacji tożsamości od śledzenia, dlatego środki łagodzące związane z różnymi rodzajami nadużyć utrudniają wdrażanie federacji tożsamości.

FedCM to wieloetapowa droga do usprawnienia korzystania z tożsamości w internecie. W pierwszym kroku koncentrujemy się na ograniczeniu wpływu wycofania plików cookie innych firm na tożsamość sfederowaną (zobacz poniżej, co dalej).

Użytkownik podpisuje się w grupie objętej ograniczeniami przy użyciu FedCM

Chrome eksperymentuje z FedCM od wersji Chrome 101.

Zespół usług tożsamości Google wziął udział w testowaniu origin i udowodnił, że przejście na bardziej prywatny i bezpieczny proces logowania, który nie opiera się na plikach cookie innych firm, może w przejrzysty sposób nastąpić przez zgodne wstecznie aktualizacje istniejących bibliotek. Umożliwiły one FedCM 20 różnym stronom uzależnionym i ponad 300 tys. użytkowników zalogowało się w usłudze FedCM w trakcie testów origin. Dowiedz się więcej o tym, w jaki sposób planują zrezygnować z uzależnienia od plików cookie innych firm.

Cieszymy się, że udało nam się znaleźć pewną płaszczyznę z Mozillią, która aktywnie uczestniczy w dyskusjach na temat projektowania i rozpoczęła tworzenie prototypów FedCM w przeglądarce Firefox. Firma Apple wskazała ogólną pomoc w zakresie specyfikacji i zaczyna uczestniczyć w rozmowach na forum FedID CG.

Co dalej

Pracujemy nad wprowadzeniem szeregu zmian w FedCM.

Wiemy, że jest kilka rzeczy do zrobienia, w tym problemy, o których dowiedzieliśmy się od dostawców tożsamości, RP i dostawców przeglądarek. Naszym zdaniem wiemy, jak rozwiązać te problemy:

Obsługa elementów iframe z innych domen: dostawcy tożsamości mogą wywoływać FedCM z międzyźródłowego elementu iframe.
Przycisk spersonalizowany: dostawcy tożsamości mogą wyświetlać tożsamość powracającego użytkownika po kliknięciu przycisku logowania w elemencie iframe z innych domen.
Punkt końcowy wskaźników: udostępnia dane o wydajności dostawcom tożsamości.

Ponadto aktywnie analizujemy nierozwiązane problemy, w tym konkretne propozycje, które obecnie oceniamy lub tworzymy prototypy:

CORS: rozmawiamy z Apple i Mozilli, aby ulepszyć specyfikację pobierania przez FedCM.
Interfejs API wielu dostawców tożsamości: badamy sposoby obsługi wielu dostawców tożsamości na potrzeby współistnienia w narzędziu wyboru konta FedCM.
Interfejs API stanu logowania dostawcy tożsamości: zidentyfikowano problem dotyczący czasu ataku i szukamy sposobów, aby dostawca tożsamości aktywnie powiadamiał przeglądarkę o stanie logowania użytkownika, co pozwoli mu złagodzić ten problem.
Zaloguj się w interfejsie API dostawcy tożsamości: w celu obsługi różnych sytuacji, gdy użytkownik nie jest zalogowany u dostawcy tożsamości, przeglądarka udostępnia mu interfejs, który umożliwia zalogowanie się bez opuszczania grupy objętej ograniczeniami.

Na koniec, zgodnie z opiniami użytkowników Mozilla, Apple i weryfikatorów TAG, uważamy, że musimy zrobić jeszcze kilka rzeczy. Pracujemy nad znalezieniem najlepszego rozwiązania dla tych pytań otwartych:

Poprawa zrozumienia użytkowników i zamiarów dopasowywania: jak zauważyliśmy, chcemy nadal testować różne formuły UX i obszary powierzchni, a także kryteria wyzwalania.
Atrybuty tożsamości i selektywne ujawnienie: jak zauważyli weryfikatorzy TAGU, chcemy udostępnić mechanizm selektywnego udostępniania większej lub mniejszej liczby atrybutów tożsamości (takich jak adresy e-mail, przedziały wiekowe, numery telefonów itp.).
Podnoszenie ustawień prywatności: zgodnie z sugestią Mozilla znajduje się tutaj mechanizmy, które oferują lepsze gwarancje prywatności, takie jak wykrywanie przez dostawcę tożsamości i kierowane identyfikatory.
Relacja z WebAuthn: zgodnie z sugestią Apple obserwujemy postępy w zakresie kluczy dostępu i pracujemy nad zapewnieniem spójnego środowiska usług FedCM, haseł, WebAuthn i WebOTP.
Stan logowania: zgodnie z propozycją firmy Apple w swoim interfejsie API stanu logowania przygotowanym przez firmę Apple wiemy, że stan logowania użytkownika to przydatna informacja, która pomaga przeglądarkom podejmować świadome decyzje. Jesteśmy ciekawi, jakie możliwości daje ta zmiana.
Firmy i edukacja: jak wyraźnie zaznaczono w FedID CG, nadal występuje wiele przypadków użycia, nad którymi FedCM nie zajmuje się dobrze. Są to na przykład wylogowanie z kanału użytkownika (możliwość wysłania przez dostawcę tożsamości sygnału do wylogowania się przez dostawcę tożsamości) i obsługa SAML.
Relacja z mDL, VC i innymi: poszerzaj swoją wiedzę, aby zrozumieć, jak te rozwiązania mają się do FedCM, np. z interfejsem Mobile Document Request API.

Zasoby

Wypróbuj prezentację FedCM.
Jeśli jesteś dostawcą tożsamości i chcesz wdrożyć FedCM, przeczytaj przewodnik dla programistów. Jeśli reprezentujesz grupę objętą ograniczeniami, zapytaj swojego dostawcę tożsamości, czy planuje wdrożyć FedCM.
Zapoznaj się z aktualizacjami interfejsu API FedCM.
Jeśli masz prośby o dodanie funkcji, opinie lub problemy, zgłoś je w publicznym repozytorium FedCM na GitHubie.