用於保護隱私權身分聯盟的網路 API。
什麼是 FedCM?
FedCM (Federated Credential Management) 是保護隱私權的 專屬身分識別服務 (例如「使用...登入」), 使用者登入網站時,不必與 身分識別服務或網站
導入狀態
- Chrome 平台狀態
- FedCM 在 Chrome 108 版中已出貨。
- FedCM 提案開放公開討論。
- 其他瀏覽器目前尚不支援 FedCM。
- Mozilla 正為 Firefox 和 Apple 提供一般支援,並表示有興趣一起參與 FedCM 提案。
我們計劃日後推出多項新功能, 針對識別資訊提供者 (IdP)、依賴方 (RP) 向我們提供的意見,採取相應行動 和瀏覽器供應商我們希望識別資訊提供者採用 FedCM 的方式,但請留意 該 FedCM 仍是仍在開發中的 API。
為盡可能減少部署回溯不相容變更所帶來的難題,我們針對識別資訊提供者提供以下兩個建議:
- 訂閱我們的 電子報 會隨著 API 發展而傳送更新
- 我們建議 IdP 使用 JavaScript SDK 發布 FedCM API,同時 API 的發展日漸成熟,因此不建議透過自行託管 SDK 使用 RP。這將 確保 IdP 可以隨著 API 不斷發展而進行變更,而不必詢問 以便重新部署的依賴方進行重新部署。
為什麼需要 FedCM?
過去十年來,身分聯盟在提升 網路的驗證標準、可信度 以及是否易於使用 (例如不需要密碼的單一登入) 和安全性 (例如,改善 與網路釣魚和憑證填充攻擊相比) 使用者名稱和密碼
在身分識別聯盟的情況下,RP (依賴方) 必須使用 IdP (身分) 服務供應商),即可讓使用者直接擁有帳戶,不必提供新使用者名稱 和密碼。
遺憾的是,身分聯盟依靠的機制 (iframes、 重新導向和 Cookie) 主動追蹤網路使用者的行為。 因為使用者代理程式無法區分身分聯盟 追蹤、處理各種濫用類型的緩解措施後 身分聯盟更加困難
Federated Credential Management API (FedCM) 提供特定用途 向網路公開瀏覽器 透過中介服務對話方塊,讓使用者選擇要登入的 IdP 帳戶 網站。
FedCM 是一項多步驟旅程,有助於強化網路身分。在 我們將重點放在降低第三方 Cookie 限製造成的影響 搭配聯合識別資訊 (請參閱「藍圖」一節,瞭解幾個步驟) )。
異動內容預計會受到哪些影響?
透過社群 努力 我們的研究發現,一些身分聯盟相關 受第三方 Cookie 限制影響的整合:
FedCM 的首要目標是降低第三方 Cookie 限制 身分聯盟,以及我們預計會受到影響的領域。如果 還有其他未列出的用途,歡迎參與並提供意見。
誰適合使用 FedCM?
只有在以下所有條件都符合時,FedCM 才能對您有所幫助:
- 您是識別資訊提供者 (IdP),
- 你受到第三方 Cookie 限制的影響。
- 您的受限方是第三方網站。如果您的 RP 與網站有實質意義,放送量可能最高 來源:相關網站 組合。
您是 IdP
FedCM 需要識別資訊提供者的支援。依賴方無法使用 獨立 FedCM。如果您是 RP,可以要求 IdP 提供 操作說明。
你受到第三方 Cookie 限制的影響
建議您只有在目前的整合作業受到 第三方 Cookie 限制
如果您不確定 在沒有第三方 Cookie 無法使用的情況下,你可以前往 在 Chrome 中封鎖第三方 Cookie
如果未偵測到任何可能影響您的身分聯盟, 第三方 Cookie,您可以繼續使用目前的整合,而 FedCM。
如果不確定該檢查哪些項目,請參閱已知資訊 功能 第三方 Cookie 限制預計會受到影響
您的受限方是第三方
如果您是識別資訊提供者,且 RP 與 IdP 有第一方關係,則應提供相關網站集 也許會是更好的選擇相關網站集 (RWS) 可讓機構宣告網站間的關係,讓瀏覽器僅允許特定用途使用有限的第三方 Cookie。因此,即使第三方 Cookie 受到其他限制,第三方 Cookie 也能在具有實質意義的網站組合中運作。
使用者如何與 FedCM 互動?
FedCM 的主要目標是降低第三方 Cookie 的影響 以及使用者可以在 Chrome 的使用者中啟用或停用 FedCM 設定。
FedCM 的設計不受通訊協定影響,且提供下列內容: 驗證相關功能
歡迎觀看示範影片,瞭解運作方式。
登入信賴方
使用者造訪信賴方 (RP) 網站時,FedCM 登入對話方塊 會在使用者登入 IdP 時顯示。
如果使用者沒有搭配 IdP 的 RP 帳戶,系統會顯示註冊對話方塊 連同額外揭露文字一併顯示,例如 RP 服務條款,以及 隱私權政策 (如有提供),
使用者可以輕觸「以下列身分繼續...」完成登入程序。如果成功, 瀏覽器儲存了使用者已在 RP 上建立聯合帳戶 登入 IdP 服務。
RP 在不支援 FedCM 的瀏覽器上應該能正常運作。使用者 可以使用非 FedCM 的現有登入程序。進一步瞭解如何 使用者登入功能。
啟用或停用 FedCM 的設定
使用者可以在 Android 裝置上的 Chrome 設定中啟用或停用 FedCM。前往 「設定」>網站設定 >第三方登入,然後將 切換鈕
也能對電腦版 Chrome 執行相同操作,步驟如下:
chrome://settings/content/federatedIdentityApi。
發展藍圖
我們正努力針對 FedCM 推出幾項異動。詳情請見 最新消息。
- 變更記錄:Federated Credential Management API 更新。
我們還知道,一些資料仍需要改進,包括 從 IdP、RP 和瀏覽器廠商的回答我們知道, 解決這些問題:
- 跨來源 iframe 支援:IdP 可以從以下位置呼叫 FedCM: 跨來源 iframe (更新)。
- 個人化按鈕:IdP 可以在應用程式上顯示回訪者的身分, 登入 IdP 擁有的跨來源 iframe 中的登入按鈕 (更新)。
- 指標端點:將效能指標提供給 IdP。
此外,我們目前正積極研究尚未解決的問題,包括 目前要評估或設計原型的提案:
- CORS:我們與 Apple 和 Mozilla,以確保提升 FedCM 擷取作業的規格
- Multi-IdP API:我們正在研究如何支援多個 IdP 要合作 FedCM 帳戶選擇工具
- IdP Sign-in Status API:Mozilla 發現了網路威脅攻擊 問題,而我們正在研究如何 可讓 IdP 主動通知瀏覽器使用者登入活動 狀態變更為 這有助於減輕問題的影響程度(更新)
- 登入 IdP API:支援各種 在使用者未具備存取權的情況下 使用者登入 IdP,瀏覽器會提供 UI 讓使用者登入 而不離開 RP
最後,我們根據使用者意見回饋,認為還有必要採行的措施 來自 Mozilla、 Apple 和 TAG 審查人員。 我們正在努力為這些開放式問題評估最佳解決方案:
- 提升使用者的理解力及比對意圖:Mozilla 註明, 我們希望繼續探索不同的使用者體驗搭配方式,以及途徑區域 還包含觸發條件
- 身分屬性和選擇性揭露:身為 TAG 審查員 註明, 我們很樂意提供一項機制,讓使用者視需要調整身分分享比例 屬性 (例如電子郵件地址、年齡層、電話號碼等)。
- 提高隱私權屬性:如 Mozilla 所建議 標準立場 我們將持續探索相關機制,提供更完善的隱私權防護機制 保證如 IdP 盲目或引導式 ID。
- 與 WebAuthn 的關係:按照 Apple 我們很期待看到 密碼金鑰,進而提供連貫且 FedCM、密碼、WebAuthn 和 WebOTP 之間的連貫體驗
- 登入狀態:根據 Apple 建議的隱私權 CG 的登入狀態 API,分享的直覺 使用者的登入狀態是一項有用的資訊,可幫助瀏覽器 做出明智決定 我們很期待看到 AI 帶來的商機 從這些資料開始著手(更新)
- 企業和教育版:如 FedID CG 所述, 經常使用 案件 以及我們難以探索的 FedCM 功能 前端登出 (可讓 IdP 將訊號傳送給 RP) 。
- 與 mDL/VC 等項目的關係:請繼續瞭解 都符合 FedCM 要求,例如以行動版文件要求 API。
使用 FedCM API
在 Chrome 的 IdP 和 RP 上,您需要有安全內容 (HTTPS 或 localhost),才能使用 FedCM。
如要與 FedCM 整合,您需要為帳戶清單、斷言核發和 (選用) 用戶端中繼資料建立已知的檔案、設定檔和端點。接著,FedCM 公開了 JavaScript API,供 RP 使用 IdP 登入。
如要瞭解如何使用 FedCM API,請參閱 FedCM API 開發人員指南。
互動及分享意見回饋
- GitHub:閱讀 explainer、raise 問題並追蹤討論內容。
- 開發人員支援:提出疑問並參與隱私權討論 沙箱開發人員支援 。
遵守電子隱私權法律
無論是做為 IdP 還是 RP,FedCM 都需要儲存 使用者的終端機設備或存取當中的資訊, 因此,受限於歐洲經濟區的電子隱私權法律活動 (歐洲經濟區) 和英國一般都必須取得使用者同意。您必須負責 判斷您使用 FedCM 的方式,是否嚴格提供 使用者明確要求存取線上服務,因此不必違反 同意聲明規定。如要瞭解詳情,請參閱我們的《隱私權》 沙箱隱私權相關法規遵循 常見問題。