Federated Credential Management API (FedCM) กำลังจัดส่งใน Chrome 108 (ปัจจุบันอยู่ในเวอร์ชันเบต้า) เมื่อจัดส่งใน Chrome เวอร์ชันเสถียรช่วงปลายเดือนพฤศจิกายน 2022 FedCM API จะใช้งานได้ใน Chrome โดยไม่ต้องมี Flag หรือโทเค็นช่วงทดลองใช้จากต้นทาง
FedCM คือ Privacy Sandbox API ที่มอบ Abstraction เฉพาะกรณีการใช้งานสำหรับโฟลว์การระบุตัวตนแบบรวมศูนย์บนเว็บ FedCM จะแสดงกล่องโต้ตอบที่ใช้สื่อกลางเบราว์เซอร์ที่อนุญาตให้ผู้ใช้เลือกบัญชีจากผู้ให้บริการข้อมูลประจำตัวเพื่อเข้าสู่ระบบเว็บไซต์
ตรวจสอบการเปลี่ยนแปลงของ API ล่าสุดในหน้าการอัปเดตสะสม
เราวางแผนที่จะเปิดตัวฟีเจอร์ใหม่จำนวนหนึ่งโดยอิงตามความคิดเห็นที่เราได้รับจากผู้ให้บริการข้อมูลประจำตัว (IdP) และผู้ให้บริการเบราว์เซอร์ (RP) แม้เราหวังว่าผู้ให้บริการข้อมูลประจำตัวจะหันมาใช้ FedCM แต่โปรดทราบว่า FedCM ยังคงเป็น API ที่อยู่ระหว่างการพัฒนา และคาดว่าการเปลี่ยนแปลงที่เข้ากันไม่ได้แบบย้อนหลังไปจนถึงไตรมาสที่ 4 ปี 2023
ขณะนี้เรามีคำแนะนำสำหรับผู้ให้บริการข้อมูลประจำตัว 2 ข้อ เพื่อลดปัญหาในการปรับใช้การเปลี่ยนแปลงที่เข้ากันไม่ได้แบบย้อนหลัง
- สมัครรับจดหมายข่าวซึ่งจะให้ข้อมูลอัปเดตเมื่อ API มีการพัฒนา
- เราขอแนะนำอย่างยิ่งให้ IdP เผยแพร่ FedCM API ผ่าน JavaScript SDK ขณะที่ API กำลังเติบโต และไม่สนับสนุน RP จาก SDK แบบโฮสต์ด้วยตนเอง วิธีนี้จะช่วยให้ IdP สามารถทำการเปลี่ยนแปลงในขณะที่ API พัฒนาขึ้นโดยไม่ต้องขอให้ทุกฝ่ายที่พึ่งพาตนเองติดตั้งใช้งานอีกครั้ง
ที่มา
ในช่วง 10 ปีที่ผ่านมา สมาพันธ์ข้อมูลประจำตัวมีบทบาทสำคัญในการยกระดับการตรวจสอบสิทธิ์บนเว็บในแง่ของความน่าเชื่อถือ การใช้งานง่าย (เช่น การลงชื่อเข้าใช้เพียงครั้งเดียวโดยไม่ต้องใช้รหัสผ่าน) และการรักษาความปลอดภัย (เช่น การป้องกันฟิชชิงและการโจมตีซ้ำๆ กันโดยทั่วไป) เมื่อเทียบกับชื่อผู้ใช้และรหัสผ่านในแต่ละเว็บไซต์
น่าเสียดายที่กลไกที่การรวมศูนย์ข้อมูลประจำตัวอาศัย (iframe, การเปลี่ยนเส้นทาง และคุกกี้) ถูกใช้งานในทางที่ผิดเพื่อติดตามผู้ใช้ทั่วทั้งเว็บ เนื่องจาก User Agent แยกระหว่างการรวมศูนย์และการติดตามข้อมูลประจำตัวไม่ได้ การลดข้อผิดพลาดจากการละเมิดประเภทต่างๆ จึงส่งผลให้การติดตั้งใช้งานการรวมศูนย์ข้อมูลประจำตัวทำได้ยากขึ้น
FedCM เป็นเส้นทางแบบหลายขั้นตอนเพื่อช่วยปรับปรุงตัวตนบนเว็บให้ดียิ่งขึ้น และในขั้นแรกเรามุ่งเน้นไปที่การลดผลกระทบของการเลิกใช้งานคุกกี้ของบุคคลที่สามที่มีต่อข้อมูลระบุตัวตนแบบรวมศูนย์ (ดูขั้นตอนถัดไปด้านล่าง)
Chrome ได้ทดลองใช้ FedCM มาตั้งแต่ Chrome 101
ทีมบริการข้อมูลประจำตัวของ Google เข้าร่วมในช่วงทดลองใช้จากต้นทาง และแสดงให้เห็นว่าการเปลี่ยนไปใช้ขั้นตอนการลงชื่อเข้าใช้ที่มีความเป็นส่วนตัวและปลอดภัยมากขึ้นซึ่งไม่ใช้คุกกี้ของบุคคลที่สามอาจเกิดขึ้นอย่างโปร่งใสผ่านการอัปเดตไลบรารีที่มีอยู่ซึ่งเข้ากันได้กับเวอร์ชันเก่า องค์กรช่วยให้ FedCM ผ่านฝ่ายที่ต้องพึ่งพา 20 ฝ่ายและผู้ใช้กว่า 300,000 รายลงชื่อเข้าใช้ระหว่างช่วงทดลองใช้จากต้นทาง ดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่บริษัทวางแผนยกเลิกการพึ่งพาคุกกี้ของบุคคลที่สาม
เราตื่นเต้นที่จะได้พบส่วนร่วมจำนวนมากกับ Mozilla ที่มีส่วนร่วมอย่างมากในการอภิปรายเกี่ยวกับการออกแบบและเริ่มสร้างต้นแบบ FedCM ใน Firefox Apple ได้ระบุการสนับสนุนโดยทั่วไปเกี่ยวกับข้อกำหนดดังกล่าว และกำลังเริ่มเข้าร่วมการสนทนาที่งาน FedID CG
ขั้นตอนถัดไป
เรากำลังดำเนินการเปลี่ยนแปลงหลายๆ อย่างกับ FedCM
มีอีก 2-3 อย่างที่เรารู้ว่ายังจำเป็นต้องทำอยู่ ซึ่งรวมถึงปัญหาที่เราได้ยินจาก IdP, RP และผู้ให้บริการเบราว์เซอร์ เราเชื่อว่าเรารู้วิธี แก้ปัญหาเหล่านี้
- การรองรับ iframe แบบข้ามต้นทาง: IdP สามารถเรียก FedCM จากภายใน iframe แบบข้ามต้นทางได้
- ปุ่มที่ปรับเปลี่ยนในแบบของคุณ: IdP จะแสดงข้อมูลประจำตัวของผู้ใช้ที่กลับมาบนปุ่มลงชื่อเข้าใช้ได้จากใน iframe แบบข้ามต้นทาง
- ปลายทางเมตริก: ให้เมตริกประสิทธิภาพแก่ IdP
นอกจากนี้ ยังมีปัญหาที่ยังไม่ได้แก้ไขซึ่งเรากำลังทำการสำรวจอยู่ รวมถึงข้อเสนอเฉพาะที่เรากำลังประเมินหรือสร้างต้นแบบ
- CORS: เรากำลังหารือกับ Apple และ Mozilla เพื่อปรับปรุงข้อกำหนดการดึงข้อมูล FedCM
- Multiple-IdP API: เรากำลังหาวิธีที่จะรองรับ IdP หลาย IdP ให้ทำงานร่วมกันในตัวเลือกบัญชี FedCM
- API สถานะการลงชื่อเข้าใช้ IdP: Mozilla ตรวจพบปัญหาการโจมตีช่วงเวลา และเรากำลังสำรวจวิธีที่ IdP ในการแจ้งสถานะการลงชื่อเข้าใช้ของผู้ใช้ให้เบราว์เซอร์ทราบโดยตรงเพื่อแก้ไขปัญหานี้
- ลงชื่อเข้าใช้ IdP API: เพื่อรองรับสถานการณ์ต่างๆ เมื่อผู้ใช้ไม่ได้ลงชื่อเข้าใช้ IdP เบราว์เซอร์จะมี UI ให้ผู้ใช้ลงชื่อเข้าใช้โดยไม่ต้องออกจาก RP
สุดท้ายนี้ มีบางอย่างที่เราเชื่อว่ายังคงต้องทำให้เสร็จ โดยอิงตามความคิดเห็นจาก Mozilla, Apple และผู้ตรวจสอบแท็ก เรากำลังดำเนินการเพื่อประเมินวิธีแก้ปัญหาที่ดีที่สุดสำหรับคำถามปลายเปิดเหล่านี้
- การปรับปรุงความเข้าใจของผู้ใช้และความตั้งใจที่ตรงกัน: ตามที่ Mozilla ระบุไว้ ว่าเราต้องการที่จะสำรวจการสร้าง UX และพื้นที่ต่างๆ ต่อไป รวมถึงเกณฑ์การทริกเกอร์
- แอตทริบิวต์อัตลักษณ์และการเปิดเผยข้อมูลเฉพาะส่วน: ตามที่ผู้ตรวจสอบแท็กระบุไว้ เราต้องการมอบกลไกในการเลือกแชร์แอตทริบิวต์อัตลักษณ์มากขึ้นหรือน้อยลง (เช่น อีเมล กลุ่มอายุ หมายเลขโทรศัพท์ และอื่นๆ)
- ยกระดับพร็อพเพอร์ตี้ความเป็นส่วนตัว: ตามที่ Mozilla ได้แนะนำไว้ ที่นี่ เราต้องการสำรวจกลไกต่างๆ ต่อไปเพื่อรับประกันความเป็นส่วนตัวที่ดียิ่งขึ้น เช่น การตาบอด IdP และตัวระบุที่มีโดยตรง
- ความสัมพันธ์กับ WebAuthn: ตามที่ Apple ได้แนะนำไว้ เราตื่นเต้นอย่างยิ่งที่ได้เห็นความคืบหน้าของพาสคีย์และการมอบประสบการณ์การใช้งาน FedCM, Passwords, WebAuthn และ WebOTP ที่สอดคล้องและสอดคล้องกัน
- สถานะการเข้าสู่ระบบ: ตามที่ Apple แนะนำกับ API สถานะการเข้าสู่ระบบของ Privacy CG เราเข้าใจโดยมีสัญชาตญาณว่าสถานะการเข้าสู่ระบบของผู้ใช้เป็นข้อมูลที่เป็นประโยชน์ซึ่งช่วยให้เบราว์เซอร์มีข้อมูลประกอบการตัดสินใจ และเราตื่นเต้นที่จะได้เห็นโอกาสที่จะเกิดขึ้น
- Enterprises and Education: ตามที่เห็นชัดเจนใน FedID CG ว่ายังมีกรณีการใช้งานจำนวนมากที่ FedCM ให้บริการได้ไม่ดีนัก เช่น การออกจากระบบด้วยช่องทางด้านหน้า (ความสามารถในการส่งสัญญาณไปยัง RP เพื่อออกจากระบบ) และการรองรับ SAML
- ความสัมพันธ์กับใบขับขี่ดิจิทัล, VC และอื่นๆ: ดำเนินการต่อไปเพื่อทำความเข้าใจความสอดคล้องกันใน FedCM เช่น การใช้ Mobile Document Request API
แหล่งข้อมูล
- ทดลองใช้การสาธิตของ FedCM
- หากคุณเป็น IdP ที่สนใจจะใช้ FedCM โปรดอ่านคู่มือนักพัฒนาซอฟต์แวร์ หากคุณเป็น RP ให้ถาม IdP ว่าจะมีแผนจะใช้ FedCM หรือไม่
- ตรวจสอบข้อมูลอัปเดตเกี่ยวกับ FedCM API
- หากคุณมีคำขอฟีเจอร์ ความคิดเห็น หรือปัญหา โปรดยื่นเรื่องดังกล่าวกับที่เก็บสาธารณะของ FedCM บน GitHub