Die Federated Credential Management API ist in Chrome 108 enthalten, wird aber weiterentwickelt. Es sind keine funktionsgefährdenden Änderungen geplant.
Für wen sind diese Updates gedacht?
Diese Aktualisierungen sind für Sie in folgenden Fällen relevant:
- Sie sind ein IdP, der die Federated Credential Management API verwendet.
- Sie sind ein IdP oder RP und möchten die API an Ihren Anwendungsfall anpassen. Sie haben z. B. die Diskussionen über das FedID CG-Repository beobachtet oder daran teilgenommen und möchten mehr über die an der API vorgenommenen Änderungen erfahren.
- Sie sind ein Browseranbieter und möchten den Implementierungsstatus der API im Blick behalten.
Wenn Sie die API zum ersten Mal verwenden oder noch nicht damit experimentiert haben, lesen Sie die Einführung in die Federated Credential Management API.
Änderungsprotokoll
Aktuelle Informationen zu den Änderungen an der FedCM API finden Sie in unserem Blog oder im Newsletter.
Chrome 125 (April 2024)
- Da in der Spezifikation der Name von "Kontenlistenendpunkten" in "Kontenendpunkt" geändert wurde, ist unsere Dokumentation entsprechend ausgerichtet.
- Der Ursprungstest für die Button Mode API ist in Version 125 des Chrome-Desktops verfügbar. Weitere Informationen finden Sie unter FedCM-Updates: Button Mode API-Ursprungstest, CORS und SameSite.
- CORS wird ab Chrome 125 für den ID-Assertion-Endpunkt erzwungen.
- Ab Chrome 125 sendet Chrome nur Cookies an den ID-Assertion-Endpunkt und den Konten-Endpunkt, die explizit als
SameSite=None
gekennzeichnet sind.
Chrome 123 (Februar 2024)
- Die Domain Hint API wird jetzt unterstützt. Mit der Domain Hint API können RPs ein
domainHint
-Attribut in einem FedCM API-Aufruf angeben, um nur übereinstimmende Konten für den Nutzer anzuzeigen.
Chrome 122 (Januar 2024)
- Die Cancel API wird jetzt unterstützt. Mit der Verbindungs-API können RPs ihre Nutzer vom Konto des IdP trennen, ohne sich auf Drittanbieter-Cookies zu verlassen.
- Die Überprüfung von
/.well-known/web-identity
wird jetzt übersprungen, wenn RP und IdP am selben Standort sind. - Unterressourcen können jetzt einen Anmeldestatus für dieselbe Website festlegen.
Chrome 121 (Dezember 2023)
- Die gelockerte Bedingung zum Auslösen der automatischen erneuten FedCM-Authentifizierung:
- Die Funktion zur automatischen erneuten Authentifizierung in FedCM wird nur ausgelöst, wenn der Nutzer zurückkehrt. Das bedeutet, dass sich der Nutzer für jede Browserinstanz einmal mit FedCM beim RP anmelden muss, bevor die automatische erneute Authentifizierung ausgelöst werden kann. Diese Bedingung wurde ursprünglich eingeführt, um das Risiko zu verringern, dass Tracker vorgeben, ein Identitätsanbieter (Identity Provider, IdP) zu sein, und den Browser dazu verleiten, einen Nutzer ohne Wissen oder Einwilligung automatisch neu zu authentifizieren. Dieses Design garantiert jedoch keinen Datenschutzvorteil, wenn der Tracker Zugriff auf Drittanbieter-Cookies im RP-Kontext hat. FedCM stellt nur einen Teil der Funktionen bereit, die über Drittanbieter-Cookies möglich sind. Wenn der Tracker also bereits Zugriff auf Drittanbieter-Cookies im RP-Kontext hat, stellt der Zugriff auf FedCM kein zusätzliches Datenschutzrisiko dar.
Da die Verwendung von Drittanbieter-Cookies rechtmäßig ist und eine Lockerung der Bedingungen zu einer Verbesserung der Nutzererfahrung führen würde, ändert sich dieses Verhalten gegenüber Chrome 121. Wir haben uns entschieden, die Einschränkung der Bedingung so zu lockern, dass ein Nutzer als wiederkehrend behandelt wird: Wenn für den IdP im RP-Kontext Drittanbieter-Cookies verfügbar sind, vertraut Chrome der Aussage des IdP zum Kontostatus des Nutzers, die in der Listeapproved_clients
angegeben ist, und löst gegebenenfalls die automatische erneute Authentifizierung aus. Drittanbieter-Cookies können über Nutzereinstellungen, Unternehmensrichtlinien, Heuristiken (Safari, Firefox, Chrome) und andere Webplattform-APIs wie die Storage Access API verfügbar sein. Wenn der IdP in Zukunft den Zugriff auf Drittanbieter-Cookies verliert und ein Nutzer zuvor die Berechtigung auf der FedCM-Benutzeroberfläche nie explizit gewährt hat (z. B. durch Klicken auf die Schaltfläche Continue as), wird er weiterhin als neuer Nutzer behandelt.
Der Entwickler muss nichts weiter tun. Der Ablauf für die automatische erneute Authentifizierung könnte mit dieser Änderung häufiger ausgelöst werden, wenn der IdP Zugriff auf Drittanbieter-Cookies hat und angibt, dass der Nutzer in der Vergangenheit ein Konto auf dem RP erstellt hat.
- Die Funktion zur automatischen erneuten Authentifizierung in FedCM wird nur ausgelöst, wenn der Nutzer zurückkehrt. Das bedeutet, dass sich der Nutzer für jede Browserinstanz einmal mit FedCM beim RP anmelden muss, bevor die automatische erneute Authentifizierung ausgelöst werden kann. Diese Bedingung wurde ursprünglich eingeführt, um das Risiko zu verringern, dass Tracker vorgeben, ein Identitätsanbieter (Identity Provider, IdP) zu sein, und den Browser dazu verleiten, einen Nutzer ohne Wissen oder Einwilligung automatisch neu zu authentifizieren. Dieses Design garantiert jedoch keinen Datenschutzvorteil, wenn der Tracker Zugriff auf Drittanbieter-Cookies im RP-Kontext hat. FedCM stellt nur einen Teil der Funktionen bereit, die über Drittanbieter-Cookies möglich sind. Wenn der Tracker also bereits Zugriff auf Drittanbieter-Cookies im RP-Kontext hat, stellt der Zugriff auf FedCM kein zusätzliches Datenschutzrisiko dar.
Chrome 120 (November 2023)
- Die Unterstützung für die folgenden drei Funktionen in Chrome 120 wurde hinzugefügt:
- Login Status API: Die Login Status API ist ein Mechanismus, mit dem eine Website, insbesondere ein IdP, den Browser des Nutzers über den Anmeldestatus informiert. Mit dieser API kann der Browser unnötige Anfragen an den IdP reduzieren und potenzielle Timing-Angriffe abschwächen. Die Login Status API ist eine Voraussetzung für FedCM.
Mit dieser Änderung ist das Flag
chrome://flags/#fedcm-without-third-party-cookies
nicht mehr erforderlich, um FedCM zu aktivieren, wenn Drittanbieter-Cookies blockiert werden. - Error API: Die Error API benachrichtigt den Nutzer über eine Browser-UI mit den vom IdP bereitgestellten Fehlerinformationen.
- Auto-Selected Flag API: Die Auto-Selected Flag API gibt an, ob eine explizite Nutzerberechtigung durch Tippen auf die Schaltfläche Continue as (Weiter als) mit dem IdP und dem RP erhalten wurde, wenn eine automatische erneute Authentifizierung oder eine explizite Vermittlung erfolgt ist. Die Freigabe erfolgt erst, nachdem die Nutzerberechtigung für die IdP- und RP-Kommunikation gewährt wurde.
- Login Status API: Die Login Status API ist ein Mechanismus, mit dem eine Website, insbesondere ein IdP, den Browser des Nutzers über den Anmeldestatus informiert. Mit dieser API kann der Browser unnötige Anfragen an den IdP reduzieren und potenzielle Timing-Angriffe abschwächen. Die Login Status API ist eine Voraussetzung für FedCM.
Mit dieser Änderung ist das Flag
Chrome 117 (September 2023)
- Der Ursprungstest für die IdP Sign-In Status API ist ab Chrome 117 für Android verfügbar. Weitere Informationen finden Sie unter FedCM-Updates: IdP Sign-In Status API, Log-in-Hint und mehr.
Chrome 116 (Aug. 2023)
- In Chrome 116 werden jetzt die folgenden drei Funktionen unterstützt:
- Login Hint API: Geben Sie das bevorzugte Nutzerkonto für die Anmeldung an.
- User Info API: Ruft die Informationen des wiederkehrenden Nutzers ab, damit der Identitätsanbieter (IdP) eine personalisierte Anmeldeschaltfläche in einem iFrame rendern kann
- RP Context API: Verwenden Sie im FedCM-Dialogfeld einen anderen Titel als „Anmelden“.
- Ursprungstest für die IdP Sign-In Status API ist verfügbar. Weitere Informationen finden Sie unter FedCM-Updates: IdP Sign-In Status API, Log-in-Hint und mehr.
Chrome 115 (Juni 2023)
- Die automatische erneute Authentifizierung wird jetzt unterstützt. Nutzer können sich dann automatisch noch einmal authentifizieren, wenn sie nach der ersten Authentifizierung mit FedCM zurückkommen. Das verbessert die Nutzererfahrung und ermöglicht eine optimierte erneute Authentifizierung beim RP nach der anfänglichen Einwilligung. Weitere Informationen zur automatischen erneuten FedCM-Authentifizierung
Chrome 110 (Februar 2023)
- Für den ID-Assertion-Endpunkt müssen IdPs den
Origin
-Header (anstelle desReferer
-Headers) prüfen, um festzustellen, ob der Wert mit dem Ursprung der Client-ID übereinstimmt. - Die ursprungsübergreifende Unterstützung von iFrames für FedCM ist jetzt verfügbar. Die Einbettung sollte die Berechtigungsrichtlinie
identity-credentials-get
angeben, um die FedCM API im eingebetteten ursprungsübergreifenden iFrame zuzulassen. Hier findest du ein Beispiel für einen ursprungsübergreifenden iFrame. - Neues Chrome-Flag „
chrome://flags/#fedcm-without-third-party-cookies
“ hinzugefügt. Mit diesem Flag können Sie die FedCM-Funktionalität in Chrome testen, indem Sie Cookies von Drittanbietern blockieren. Weitere Informationen finden Sie in der FedCM-Dokumentation.
Chrome 108 (Oktober 2022)
- Das „Manifest der obersten Ebene“ wird im Dokument jetzt als „well-known file“ bezeichnet. Es sind keine Änderungen an der Implementierung erforderlich.
- „IdP-Manifest“ wird im Dokument jetzt als „Konfigurationsdatei“ bezeichnet. Es sind keine Änderungen an der Implementierung erforderlich.
id_token_endpoint
in der Konfigurationsdatei wird inid_assertion_endpoint
umbenannt.- Die Anfragen an den IdP enthalten jetzt einen
Sec-Fetch-Dest: webidentity
-Header anstelle einesSec-FedCM-CSRF: ?1
-Headers.
Chrome 105 (August 2022)
- Dem Dokument wurden wichtige Sicherheitsinformationen hinzugefügt. Der Identitätsanbieter (Identity Provider, IdP) muss prüfen, ob der
Referer
-Header mit dem Ursprung übereinstimmt, den das RP im Voraus auf dem ID-Token-Endpunkt registriert hat. - Das Manifest der obersten Ebene wird von
/.well-known/fedcm.json
in/.well-known/web-identity
umbenannt. Die inprovider_urls
angegebene URL sollte den Dateinamen enthalten. - Die Methoden
login()
,logout()
undrevoke()
fürFederatedCredential
-Instanzen sind nicht mehr verfügbar. - Die Federated Credential Management API verwendet jetzt den neuen Typ
IdentityCredential
anstelle vonFederatedCredential
. Dies kann für die Featureerkennung verwendet werden, ist ansonsten jedoch eine weitgehend unsichtbare Änderung. - Verschieben Sie die Anmeldefunktion von einer Kombination aus
navigator.credentials.get()
undFederatedCredential.prototype.login()
zunavigator.credentials.get()
. - Der im Manifest angegebene Widerrufsendpunkt ist nicht mehr gültig.
- Verwenden Sie für
navigator.credentials.get()
-Aufrufe das Feldidentity
anstelle des Feldsfederated
. url
ist jetztconfigURL
und muss die vollständige URL für die JSON-Manifestdatei anstelle des Pfads für einennavigator.credentials.get()
-Aufruf sein.nonce
ist jetzt ein optionaler Parameter fürnavigator.credentials.get()
.hint
ist nicht mehr als Option fürnavigator.credentials.get()
verfügbar.
const credential = await navigator.credentials.get({
identity: {
providers: [{
configURL: 'https://idp.example/anything.json',
clientId: '********',
nonce: '******'
}]
}
});
const { token } = credential;
Chrome 104 (Juni 2022)
- Der an den ID-Token-Endpunkt gesendete
consent_acquired
-Parameter ist jetztdisclosure_text_shown
. Der Wert bleibt unverändert. - Brandingsymbole im IdP-Manifest unterstützen SVG-Bilder nicht mehr, müssen jedoch nicht mehr gemäß der Content Security Policy des RP zulässig sein.
Chrome 103 (Mai 2022)
- Unterstützt Desktopumgebungen.
- Unterstützt RP-Einstellungen auf dem Computer.
- Der Clientmetadatenendpunkt ist jetzt optional. An diesem Endpunkt ist auch die URL der Datenschutzerklärung optional.
- Ein Vorbehalt zur Verwendung der CSP
connect-src
im Dokument wurde hinzugefügt.