A API Federated Credential Management (FedCM) está disponível no Chrome 108 (atualmente no Canal Beta). Quando for enviada ao Chrome Stable no final de novembro de 2022, a API FedCM vai funcionar no Chrome sem precisar de uma flag ou um token de teste de origem.
A FedCM é uma API do Sandbox de privacidade que fornece uma abstração específica ao caso de uso para fluxos de identidade federada na Web. A FedCM expõe caixas de diálogo mediadas pelo navegador que permitem aos usuários escolher contas de provedores de identidade para fazer login em sites.
Revise as mudanças mais recentes da API na página de atualização acumulada.
Planejamos introduzir vários recursos novos com base no feedback que recebemos de provedores de identidade (IdP), partes confiáveis (RP) e fornecedores de navegadores. Esperamos que os provedores de identidade adotem a FedCM, mas saiba que ela ainda é uma API em desenvolvimento ativo e que mudanças incompatíveis com versões anteriores devem ser feitas até o quarto trimestre de 2023.
Para minimizar os desafios da implantação de alterações incompatíveis com versões anteriores, temos duas recomendações para provedores de identidade:
- Inscreva-se na nossa newsletter, onde forneceremos atualizações à medida que a API evolui.
- É altamente recomendável que os IdPs distribuam a API FedCM usando SDKs do JavaScript enquanto a API estiver em desenvolvimento e desencorajar as RPs a usar SDKs de hospedagem automática. Isso garante que os IdPs possam fazer alterações à medida que a API evolui, sem precisar pedir que todas as partes confiáveis façam a reimplantação.
Contexto
Na última década, a federação de identidade desempenhou um papel central na melhoria da autenticação na Web em termos de confiabilidade, facilidade de uso (por exemplo, login único sem senha) e segurança (por exemplo, maior resistência a ataques de phishing e preenchimento de credenciais) em comparação com nomes de usuário e senhas por site.
Infelizmente, os mecanismos em que a federação de identidade dependia (iframes, redirecionamentos e cookies) estão sofrendo abusos para rastrear usuários na Web. Como o user agent não consegue diferenciar a federação de identidade e o rastreamento, as mitigações para os vários tipos de abuso dificultam a implantação da federação de identidade.
A FedCM é uma jornada de várias etapas para melhorar a identidade na Web. Na primeira etapa, o foco é reduzir o impacto da desativação de cookies de terceiros sobre a identidade federada. Confira o que vem a seguir abaixo.
O Chrome vem testando a FedCM desde o Chrome 101.
A equipe de Serviços de Identificação do Google participou do teste de origem e demonstrou que a mudança para um processo de login mais privado e seguro que não dependa de cookies de terceiros pode ocorrer de forma transparente com atualizações compatíveis com versões anteriores da biblioteca existente. Eles permitiram a FedCM em 20 partes confiáveis diferentes e mais de 300 mil usuários fizeram login durante os testes de origem. Saiba mais sobre como eles estão planejando remover a dependência de cookies de terceiros.
Estamos animados para encontrar muitas ideias comuns com o Mozilla, que está envolvido em discussões de design e começou a prototipar o FedCM no Firefox. A Apple indicou o suporte geral dela para a especificação (link em inglês) e está começando a participar das discussões no FedID CG.
A seguir
Estamos trabalhando para fazer várias mudanças na FedCM.
Há algumas coisas que sabemos que ainda precisam ser feitas, incluindo problemas que encontramos de IdPs, RPs e fornecedores de navegadores. Acreditamos que sabemos como resolver esses problemas:
- Suporte a iframe de origem cruzada: os IdPs podem chamar o FedCM dentro de um iframe de origem cruzada.
- Botão personalizado: os IdPs podem exibir a identidade de um usuário recorrente no botão de login em um iframe de origem cruzada.
- Endpoint de métricas: fornece métricas de desempenho para IdPs.
Além disso, há questões não resolvidas que estamos explorando ativamente, incluindo propostas específicas que estamos avaliando ou prototipando:
- CORS: estamos discutindo com a Apple e o Mozilla para garantir a melhoria da especificação de buscas da FedCM.
- API de vários IdPs: estamos explorando maneiras de oferecer suporte a vários IdPs para coexistir de forma cooperativa no seletor de conta da FedCM.
- API IdP Sign-in Status: o Mozilla identificou um problema de ataque temporário, e estamos explorando maneiras de um IdP notificar o navegador sobre o status de login do usuário para mitigar o problema.
- Fazer login na API IdP: para oferecer suporte a vários cenários, quando um usuário não está conectado ao IdP, o navegador fornece uma IU para que o usuário faça login sem sair da RP.
Por fim, ainda há coisas que acreditamos que ainda precisam ser feitas, com base no feedback dos Mozilla, Apple e revisores de TAG. Estamos trabalhando para avaliar a melhor solução para estas perguntas em aberto:
- Como melhorar a compreensão do usuário e a intenção de correspondência: como o Mozilla observou, queremos continuar explorando diferentes formulações de UX e áreas de superfície, bem como critérios de acionamento.
- Atributos de identidade e divulgação seletiva: como observaram, queremos oferecer um mecanismo para compartilhar seletivamente mais ou menos atributos de identidade, como e-mails, faixas etárias, números de telefone etc.
- Aumentando as propriedades de privacidade: conforme sugerido pelo Mozilla neste link, queremos continuar explorando mecanismos para oferecer melhores garantias de privacidade, como a invisibilidade do IdP e os identificadores direcionados.
- Relação com a WebAuthn: conforme sugerido pela Apple, estamos muito animados para conferir o progresso das chaves de acesso e trabalhar para fornecer uma experiência coerente e coesa entre FedCM, senhas, WebAuthn e WebOTP.
- Status do login: como a Apple sugeriu com a API Login Status do Privacy CG, compartilhamos a intuição de que o status de login do usuário é uma informação útil que pode ajudar os navegadores a tomar decisões fundamentadas e estamos animados para ver quais oportunidades surgem a partir disso.
- Empresas e educação: como está claro no FedID CG, ainda há muitos casos de uso que não são bem atendidos pela FedCM em que gostaríamos de trabalhar, como logout do canal frontal (a capacidade de um IdP enviar um sinal para RPs para sair) e suporte para SAML.
- Relação com mDLs, VCs e outros: continue trabalhando para entender como elas se encaixam na FedCM, por exemplo, com a API Mobile Document Request.
Recursos
- Teste a demonstração do FedCM.
- Se você for um IdP interessado em implementar o FedCM, leia o guia para desenvolvedores. Se você é um RP, pergunte ao IdP se ele planeja implementar o FedCM.
- Consulte as atualizações da API FedCM.
- Se você tiver solicitações de recursos, feedback ou problemas, registre-os no repositório público da FedCM no GitHub.