Federated Credential Management API gönderiliyor

Federated Credential Management API (FedCM), Chrome 108'de (şu anda Beta kanalında) gönderilmektedir. Kasım 2022'nin sonunda Chrome'un kararlı kanalında sunulduğunda FedCM API, Chrome'da bayrak veya kaynak deneme jetonu gerektirmeden çalışacaktır.

FedCM, web'deki birleşik kimlik akışları için kullanım alanına özel bir soyutlama sağlayan Özel Korumalı Alan API'sidir. FedCM, kullanıcıların web sitelerine giriş yapmak için kimlik sağlayıcılardan hesap seçmesine olanak tanıyan tarayıcı aracılı iletişim kutuları sunar.

Birikmiş güncelleme sayfasında en son API değişikliklerini inceleyin.

Kimlik sağlayıcılardan (IdP), bağlı taraflardan (RP) ve tarayıcı tedarikçilerinden aldığımız geri bildirimler doğrultusunda bir dizi yeni özelliği kullanıma sunmayı planlıyoruz. Kimlik sağlayıcıların FedCM'yi kullanmaya başlayacağını umsak da FedCM'nin hâlâ aktif geliştirme aşamasında olan bir API olduğunu ve 2023'ün 4. çeyreğine kadar geriye dönük uyumsuz değişiklikler bekleneceğini hatırlatmak isteriz.

Geriye dönük olarak uyumsuz değişikliklerin uygulanmasıyla ilgili zorlukları en aza indirmek için şu anda kimlik sağlayıcılara yönelik iki önerimiz bulunmaktadır:

  • API geliştikçe güncellemeler sunacağımız bültene abone olun.
  • IdP'lerin, API gelişirken FedCM API'yi JavaScript SDK'ları aracılığıyla dağıtmasını ve kendi kendini barındıran SDK'lardan RP'leri önlemelerini önemle tavsiye ederiz. Bu sayede, IdP'ler, tüm bağlı taraflarından yeniden dağıtım istemek zorunda kalmadan API geliştikçe değişiklik yapabilir.

Arka plan

Son on yılda kimlik federasyonu, web'de kimlik doğrulama çıtasını yükseltmede önemli bir rol oynamıştır. Site bazında kullanıcı adı ve şifrelerle karşılaştırıldığında güvenilirlik, kullanım kolaylığı (örneğin, şifresiz tek oturum açma) ve güvenlik (örneğin, kimlik avı ve kimlik bilgisi doldurma saldırılarına karşı iyileştirilmiş direnç) gösterilebilir.

Ne yazık ki, kimlik federasyonunun kullandığı mekanizmalar (iframe'ler, yönlendirmeler ve çerezler) web'de kullanıcıları izlemek için etkin şekilde kötüye kullanılıyor. Kullanıcı aracısı, kimlik federasyonu ile izlemeyi birbirinden ayırt edemediği için çeşitli kötüye kullanım türlerine yönelik çözümler, kimlik federasyonu dağıtımını daha zor hale getirir.

FedCM, web'de kimliği daha iyi hale getirmeyi amaçlayan çok adımlı bir yolculuktur ve ilk olarak üçüncü taraf çerezlerinin kullanımdan kaldırılmasının birleşik kimlik üzerindeki etkisini azaltmaya odaklanıyoruz (Sırada ne var? hakkında bilgi edinmek için aşağıya bakın).

Bir kullanıcı FedCM'yi kullanarak bir kısıtlanmış tarafla oturum açıyor

Chrome, Chrome 101'den bu yana FedCM ile denemeler yapmaktadır.

Google Kimlik Hizmetleri ekibi, kaynak denemesine katılarak üçüncü taraf çerezlerine dayalı olmayan daha gizli ve güvenli bir oturum açma işlemine geçişin, mevcut kitaplıklarında geriye dönük uyumlu güncellemeler yapılması sayesinde şeffaf bir şekilde gerçekleşebileceğini göstermiştir. Kaynak denemeleri sırasında FedCM'nin 20 farklı bağlı tarafta oturum açmasını ve 300 binden fazla kullanıcının oturum açmasını sağladı. Üçüncü taraf çerezlerine olan bağımlılıklarını nasıl kaldırmayı planladıkları hakkında daha fazla bilgi edinin.

Aktif olarak tasarım tartışmalarına katılan ve Firefox'ta FedCM prototipini oluşturmaya başlayan Mozilla ile birçok ortak paydada buluşmaktan heyecan duyuyoruz. Apple, bu spesifikasyonu genel olarak desteklediğini belirtmiş ve FedID CG'deki tartışmalara katılmaya başlamıştır.

Sırada ne var?

FedCM'de birkaç değişiklik yapmak için çalışıyoruz.

IdP'ler, RP'ler ve tarayıcı tedarikçilerinden dinlediğimiz sorunlar da dahil olmak üzere hâlâ yapılması gereken birkaç şey var. Bu sorunları nasıl çözeceğimizi bildiğimize inanıyoruz:

  • Kaynaklar arası iframe desteği: IdP'ler, FedCM'yi kaynaklar arası iframe'den çağırabilir.
  • Kişiselleştirilmiş düğme: IdP'ler, kökler arası iframe'deki oturum açma düğmesinde geri gelen kullanıcının kimliğini gösterebilir.
  • Metrics uç noktası: IdP'lere performans metriklerini sağlar.

Buna ek olarak, değerlendirdiğimiz veya prototipini oluşturmakta olduğumuz belirli teklifler dahil olmak üzere aktif olarak araştırdığımız çözülmemiş sorunlar da bulunmaktadır:

Son olarak, Mozilla, Apple ve TAG incelemecilerinden gelen geri bildirimlere göre hâlâ yapılması gerektiğini düşündüğümüz şeyler var. Şu açık sorular için en iyi çözümü değerlendirmeye çalışıyoruz:

  • Kullanıcının daha iyi anlamasını ve eşleştirme amacını geliştirme: Mozilla'nın da belirttiği gibi, farklı kullanıcı deneyimi formülasyonlarını, yüzey alanlarını ve tetikleme ölçütlerini keşfetmeye devam etmek istiyoruz.
  • Kimlik Özellikleri ve Seçmeli Açıklama: Etiket İncelemecilerimizin de belirttiği gibi, kimlik özelliklerinin (ör. e-postalar, yaş grubu, telefon numaraları vb.) seçici bir şekilde paylaşılacağı bir mekanizma sağlamak istiyoruz.
  • Gizlilik Özelliklerini Yükseltme: Mozilla'nın burada önerdiği gibi, daha iyi gizlilik garantileri sunmanızı sağlayacak IdP körlüğü ve yönlendirilen tanımlayıcılar gibi mekanizmaları araştırmaya devam etmek istiyoruz.
  • WebAuthn ile ilişki: Apple tarafından önerildiği gibi, geçiş anahtarları ile ilgili ilerlemeyi görmek ve FedCM, Passwords, WebAuthn ve WebOTP arasında tutarlı ve tutarlı bir deneyim sağlamak için çalışmaktan çok heyecan duyuyoruz.
  • Giriş Durumu: Apple'ın, Gizlilik CG'nin Giriş Durumu API'sinde önerdiği gibi, kullanıcının giriş durumunun, tarayıcıların bilinçli kararlar almasına yardımcı olabilecek faydalı bir bilgi olduğu sezgisini paylaşıyoruz ve bunun sonucunda ne gibi fırsatlar ortaya çıkacağını görmek için sabırsızlanıyoruz.
  • Enterprises and Education: FedID CG'de de belirtildiği gibi, ön kanaldan çıkış yapma (IdP'nin RP'lere çıkış yapmak için sinyal gönderme özelliği) ve SAML desteği gibi üzerinde çalışmak istediğimiz FedCM tarafından iyi hizmet verilmemiş birçok kullanım alanı hâlâ var.
  • mDL'ler, VC'ler ve diğerleriyle ilişki: Bunların FedCM'ye (ör. Mobile Document Request API) nasıl uyduğunu anlamak için çalışmaya devam edin.

Kaynaklar