Federated Credential Management API (FedCM) akan dikirimkan dalam Chrome 108 (saat ini di saluran Beta). Saat dikirimkan di Chrome Stabil pada akhir November 2022, FedCM API akan berfungsi di Chrome tanpa memerlukan flag atau token uji coba origin.
FedCM adalah Privacy Sandbox API yang menyediakan abstraksi khusus kasus penggunaan untuk alur identitas gabungan di web. FedCM menampilkan dialog yang dimediasi browser yang memungkinkan pengguna memilih akun dari penyedia identitas untuk login ke situs.
Tinjau perubahan API terbaru di halaman update terakumulasi.
Kami berencana untuk memperkenalkan sejumlah fitur baru berdasarkan masukan yang kami terima dari penyedia identitas (IdP), pihak tepercaya (RP), dan vendor browser. Meskipun kami berharap penyedia identitas akan mengadopsi FedCM, perlu diketahui bahwa FedCM masih merupakan API yang sedang dalam pengembangan aktif dan bahwa perubahan yang tidak kompatibel dengan versi sebelumnya akan terjadi hingga Kuartal 4 2023.
Untuk meminimalkan tantangan dalam men-deploy perubahan inkompatibilitas mundur, saat ini kami memiliki dua rekomendasi untuk penyedia identitas:
- Berlangganan ke newsletter kami dan kami akan memberikan info terbaru seiring perkembangan API.
- Kami sangat menganjurkan IdP untuk mendistribusikan FedCM API melalui JavaScript SDK saat API masih matang, dan untuk mencegah RP menggunakan SDK yang dihosting sendiri. Hal ini akan memastikan IdP dapat membuat perubahan seiring berkembangnya API, tanpa harus meminta semua pihak tepercaya untuk men-deploy ulang.
Latar belakang
Selama satu dekade terakhir, identity federation telah memainkan peran penting dalam meningkatkan standar autentikasi di web, dalam hal kepercayaan, kemudahan penggunaan (misalnya, login tunggal tanpa sandi) dan keamanan (misalnya, peningkatan ketahanan terhadap serangan phishing dan penjejalan kredensial) dibandingkan dengan nama pengguna dan sandi per situs.
Sayangnya, mekanisme yang diandalkan penggabungan identitas (iframe, pengalihan, dan cookie) secara aktif disalahgunakan untuk melacak pengguna di seluruh web. Karena agen pengguna tidak dapat membedakan antara penggabungan identitas dan pelacakan, mitigasi untuk berbagai jenis penyalahgunaan mempersulit deployment penggabungan identitas.
FedCM adalah perjalanan multi-langkah untuk menjadikan identitas di web lebih baik. Pada langkah pertamanya, kami berfokus untuk mengurangi dampak penghentian cookie pihak ketiga pada identitas gabungan (lihat langkah selanjutnya di bawah).
Chrome telah bereksperimen dengan FedCM sejak Chrome 101.
Tim Google Identity Services berpartisipasi dalam uji coba origin dan menunjukkan bahwa beralih ke proses login yang lebih pribadi dan aman yang tidak mengandalkan cookie pihak ketiga dapat terjadi secara transparan melalui update yang kompatibel dengan versi lama ke library mereka yang sudah ada. Mereka mengaktifkan FedCM di 20 pihak tepercaya yang berbeda dan lebih dari 300 ribu pengguna login ke mereka selama uji coba origin. Pelajari lebih lanjut cara mereka berencana menghapus ketergantungan pada cookie pihak ketiga.
Kami tidak sabar untuk menemukan banyak kesamaan dengan Mozilla, yang telah aktif terlibat dalam diskusi desain dan mulai membuat prototipe FedCM di Firefox. Apple telah menunjukkan dukungan umum mereka untuk spesifikasi ini dan mulai berpartisipasi dalam diskusi di CG FedID.
Langkah selanjutnya
Kami sedang berupaya menerapkan sejumlah perubahan pada FedCM.
Ada beberapa hal yang kami ketahui yang masih perlu dilakukan, termasuk masalah yang kami dengar dari IdP, RP, dan vendor browser. Kami yakin kami tahu cara menyelesaikan masalah ini:
- Dukungan iframe lintas origin: IdP dapat memanggil FedCM dari dalam iframe lintas origin.
- Tombol yang dipersonalisasi: IdP dapat menampilkan identitas pengguna yang kembali di tombol login dari dalam iframe lintas origin.
- Endpoint metrik: Memberikan metrik performa ke IdP.
Selain itu, ada masalah belum terselesaikan yang sedang kami pelajari secara aktif, termasuk proposal spesifik yang kami evaluasi atau buat prototipenya:
- CORS: Kami berdiskusi dengan Apple dan Mozilla untuk memastikan peningkatan spesifikasi pengambilan FedCM.
- Multi-IdP API: Kami sedang mempelajari cara untuk mendukung beberapa IdP agar dapat bekerja sama dalam pemilih akun FedCM.
- IdP Sign-in Status API: Mozilla telah mengidentifikasi masalah serangan waktu, dan kami sedang mempelajari cara agar IdP secara proaktif memberi tahu browser tentang status login pengguna untuk mengurangi masalah tersebut.
- Login ke IdP API: Untuk mendukung berbagai skenario, saat pengguna tidak login ke IdP, browser akan menyediakan UI bagi pengguna untuk login tanpa keluar dari RP.
Terakhir, ada hal-hal yang menurut kami masih perlu dilakukan, berdasarkan masukan dari Mozilla, Apple, dan peninjau TAG. Kami sedang berupaya mengevaluasi solusi terbaik untuk pertanyaan terbuka ini:
- Meningkatkan pemahaman pengguna dan intent pencocokan: Seperti dicatat Mozilla, kami ingin terus mengeksplorasi berbagai formulasi UX dan area platform, serta kriteria pemicu.
- Atribut Identitas dan Pengungkapan Selektif: Seperti yang dicatat oleh Peninjau TAG, kami ingin memberikan mekanisme untuk membagikan lebih banyak atau lebih sedikit atribut identitas secara selektif (seperti email, kelompok usia, nomor telepon, dan sebagainya).
- Meningkatkan Properti Privasi: Seperti yang disarankan Mozilla di sini, kami ingin terus mengeksplorasi mekanisme untuk menawarkan jaminan privasi yang lebih baik, seperti kebutaan IdP dan ID yang diarahkan.
- Hubungan dengan WebAuthn: Seperti yang disarankan oleh Apple, kami sangat antusias untuk melihat progres kunci sandi dan berupaya memberikan pengalaman yang koheren dan kohesif antara FedCM, Passwords, WebAuthn, dan WebOTP.
- Status Login: Seperti yang disarankan Apple dengan Login Status API dari Privacy CG, kami menyatakan bahwa status login pengguna adalah informasi berguna yang dapat membantu browser membuat keputusan yang tepat, dan kami tidak sabar untuk melihat peluang yang muncul dari hal tersebut.
- Enterprises and Education: Seperti yang sudah jelas di FedID CG, masih ada banyak kasus penggunaan yang tidak dilayani dengan baik oleh FedCM yang ingin kami tangani, seperti logout saluran depan (kemampuan bagi IdP untuk mengirim sinyal ke RP untuk logout) dan dukungan untuk SAML.
- Hubungan dengan mDL, VC, dan lainnya: Teruslah berusaha untuk memahami kesesuaiannya dengan FedCM, misalnya dengan Mobile Document Request API.
Referensi
- Coba demo FedCM.
- Jika Anda adalah IdP yang tertarik untuk menerapkan FedCM, baca panduan developer. Jika Anda adalah pihak RP, tanyakan kepada IdP Anda apakah mereka berencana menerapkan FedCM.
- Tinjau update FedCM API.
- Jika Anda memiliki permintaan fitur, masukan, atau masalah, kirimkan ke repositori publik FedCM di GitHub.