Les modules complémentaires Google Classroom sont désormais disponibles pour tous les développeurs. Pour en savoir plus, consultez la documentation sur les modules complémentaires.

Préparez-vous à l'abandon des cookies tiers

Ce guide vous aide à comprendre l'impact et les modifications nécessaires à apporter à votre module complémentaire en raison de l'arrêt de la prise en charge des cookies tiers par Chrome.

Présentation

Le 4 janvier 2024, Chrome a lancé la protection contre le suivi, qui limite par défaut l'accès des sites Web aux cookies tiers (3P) pour 1 % des utilisateurs. Chrome prévoit d'arrêter complètement les cookies tiers début 2025.

Au moins deux parcours utilisateur sont concernés dans les modules complémentaires Classroom :

Le flux d'authentification unique (SSO) Google
Lancement des utilisateurs dans de nouveaux onglets

SSO Google

Lors du flux d'authentification unique Google, les utilisateurs sont redirigés vers une boîte de dialogue pour se connecter à leur compte Google et accepter le partage de données.

Visualisation des trois contextes de cookies différents lors de l'authentification unique à partir d'un iFrame

Figure 1. Visualisation des trois contextes de cookies différents lors de l'authentification unique à partir d'un iFrame : (1) l'application Classroom de premier niveau, (2) l'iFrame intégré tiers (DavidPuzzle sur localhost dans ce cas) et (3) la boîte de dialogue OAuth de premier niveau.

Dans une implémentation de module complémentaire typique, un cookie de session est défini à la fin de ce processus de connexion. L'iFrame du module complémentaire, qui se trouve dans un contexte intégré, est rechargé, désormais avec le cookie de session, ce qui permet à l'utilisateur d'accéder à sa session authentifiée. Toutefois, lorsque les cookies tiers sont désactivés, les sites dans un contexte intégré, comme les iFrames de modules complémentaires, ne peuvent pas accéder aux cookies de leurs contextes de premier niveau respectifs. Pour les modules complémentaires Classroom, l'utilisateur ne peut pas accéder à sa session authentifiée et est bloqué dans une boucle de connexion.

Pour les implémentations qui définissent le cookie de session dans le contexte de l'iFrame intégré, ce problème peut être atténué par l'API CHIPS, qui permet aux sites intégrés de définir et d'accéder à des cookies partitionnés (cookies dont la clé est à la fois le domaine de l'intégrateur et le domaine intégré). Toutefois, les implémentations qui définissent le cookie de session dans le contexte de premier niveau de la boîte de dialogue de connexion ne peuvent pas accéder au cookie non partitionné dans l'iFrame, ce qui empêche la connexion.

Nouveaux onglets

Pour des raisons similaires, si un utilisateur dispose d'une session authentifiée basée sur des cookies dans un iFrame de module complémentaire, et que l'iFrame lance l'utilisateur dans un nouvel onglet de premier niveau pour une activité, l'onglet de premier niveau ne peut pas accéder au cookie de session partitionné à partir de l'iFrame. Cela empêche l'état de la session de l'iFrame de persister dans la nouvelle activité d'onglet et peut forcer l'utilisateur à se reconnecter dans le nouvel onglet, par exemple. L'API CHIPS n'est pas en mesure de résoudre ce problème, de par sa conception. Les cookies d'iFrame partitionnés sont inaccessibles dans un contexte de premier niveau.

Actions des développeurs

Vous devez envisager quelques actions pour vous assurer que votre module complémentaire continue de fonctionner comme prévu lorsque Chrome abandonnera les cookies tiers.

Vérifiez l'utilisation des cookies tiers dans les critical user journeys de votre module complémentaire. Plus précisément, effectuez des tests avec les cookies tiers désactivés pour évaluer l'impact sur votre implémentation spécifique.
Découvrez l'API Storage Access. Pour toutes les implémentations de modules complémentaires, nous vous recommandons d'explorer l'API Storage Access (SAA). L'API SAA permet aux iFrames d'accéder à leurs cookies en dehors du contexte de l'iFrame. L'API SAA est disponible dans Chrome aujourd'hui et est compatible avec l'application Classroom.

Remarque : Si votre flux d'authentification unique ne définit pas de cookies dans le contexte de la boîte de dialogue et que votre module complémentaire ne lance pas les utilisateurs dans des onglets de premier niveau, vous n'aurez peut-être pas besoin de l'API SAA. Découvrez l'API CHIPS plus simple pour voir si elle répond à vos besoins.
Activez FedCM. De plus, si vous utilisez GIS, la bibliothèque Se connecter avec Google, les conseils officiels de l'équipe Identity consistent à activer FedCM. Cela ne remplace pas les fonctionnalités des cookies tiers, mais cela sera à terme obligatoire dans GIS dans le cadre de l'abandon des cookies tiers. FedCM est disponible dans Chrome aujourd'hui et est compatible avec Classroom, mais le comportement et les fonctionnalités sont encore en cours de développement et ouverts aux commentaires.
Migrez vers GIS. Si vous utilisez la bibliothèque GSIv2 obsolète, également appelée bibliothèque Google Sign-In, nous vous recommandons vivement de migrer vers GIS, car la prise en charge de GSIv2 à l'avenir n'est pas claire.
Demandez un délai pour l'essai d'abandon. Chrome propose un essai d'abandon pour permettre aux cas d'utilisation non publicitaires de retarder les effets de l'abandon des cookies tiers. Si votre demande est acceptée, vous recevrez un jeton que vous pourrez utiliser dans votre module complémentaire pour que les cookies tiers restent activés pour votre origine jusqu'en 2024, tout en migrant vers une solution à long terme comme l'API SAA. Une fois votre demande envoyée, vous serez invité à fournir un ID de bug ou un lien pour un rapport de dysfonctionnement. Notre équipe a déjà déposé ce bug pour les modules complémentaires Classroom. Vous pouvez donc fournir ce bug.