Aggiornamenti dell'API Federated Credential Management

L'API Federated Credential Management è fornita in Chrome 108, ma dovrebbe continuare a evolversi. Non sono previste modifiche che comportino interruzioni.

A chi sono destinati questi aggiornamenti?

Questi aggiornamenti sono per te se:

  • Sei un provider di identità che utilizza l'API Federated Credential Management.
  • Sei un fornitore di identità o un RP e ti interessa estendere l'API in base alle tue esigenze, ad esempio hai osservato o partecipato alle discussioni nel repository CG di FedID e vuoi comprendere le modifiche apportate all'API.
  • Sei un fornitore di browser e vuoi conoscere lo stato di implementazione dell'API.

Se non hai mai utilizzato questa API o non l'hai ancora sperimentata, leggi la introduzione all'API Federated Credential Management.

Log delle modifiche

Per rimanere al passo con le modifiche all'API FedCM, consulta il nostro blog o la newsletter.

Chrome 131 (ottobre 2024)

Chrome 125 (aprile 2024)

Chrome 123 (febbraio 2024)

  • È stato aggiunto il supporto per l'API Domain Hint. L'API Domain Hint consente ai RP di specificare una proprietà domainHint in una chiamata all'API FedCM per mostrare solo gli account corrispondenti per l'utente.

Chrome 122 (gennaio 2024)

  • È stato aggiunto il supporto dell'API Disconnect. L'API Disconnect consente ai RP di scollegare i propri utenti dall'account dell'IDP senza fare affidamento su cookie di terze parti.
  • Il controllo /.well-known/web-identity viene ora saltato quando l'RP e l'IDP si trovano nello stesso sito.
  • Ora le risorse secondarie possono impostare uno stato di accesso nello stesso sito.

Chrome 121 (dicembre 2023)

  • La condizione allentata per attivare la re-autenticazione automatica di FedCM:
    • La funzionalità di riattivazione automatica in FedCM viene attivata solo quando l'utente torna. Ciò significa che l'utente deve accedere all'RP utilizzando FedCM una volta in ogni istanza del browser prima che possa essere attivata la riconferma automatica. Questa condizione è stata inizialmente introdotta per ridurre il rischio che i tracker si spaccino per un fornitore di identità (IdP) e ingannino il browser facendogli autenticare automaticamente un utente senza che quest'ultimo lo sappia o lo accetti. Tuttavia, questo design non può garantire il vantaggio per la privacy se il tracker ha accesso ai cookie di terze parti nel contesto RP. FedCM fornisce solo un sottoinsieme delle funzionalità possibili tramite i cookie di terze parti, pertanto se il tracker ha già accesso ai cookie di terze parti nel contesto RP, l'accesso a FedCM non comporta ulteriori rischi per la privacy.
      Poiché esistono utilizzi legittimi dei cookie di terze parti e l'attenuazione della condizione migliorerebbe l'esperienza utente, questo comportamento cambierà a partire da Chrome 121. Abbiamo deciso di allentare la limitazione della condizione per considerare un utente come di ritorno: se i cookie di terze parti sono disponibili per l'IdP nel contesto RP, Chrome darà credito alla dichiarazione dell'IdP sullo stato dell'account dell'utente specificato tramite l'elenco approved_clients e attiverà la ricoinvenzione automatica se applicabile. I cookie di terze parti possono essere disponibili tramite: impostazioni utente, criteri aziendali, regole di euristica (Safari, Firefox, Chrome) e altre API di piattaforme web (ad esempio l'API Accesso allo spazio di archiviazione). Tieni conto che, in futuro, quando l'IdP non avrà più accesso ai cookie di terze parti, un utente che non ha mai concesso esplicitamente l'autorizzazione nell'interfaccia utente di FedCM (ad esempio facendo clic sul pulsante Continua come) verrà comunque considerato un nuovo utente.
      Non sono richieste azioni da parte degli sviluppatori. Tieni presente che il flusso di riautenticazione automatica potrebbe essere attivato più spesso con questa modifica se l'IDP ha accesso ai cookie di terze parti e afferma che l'utente ha creato un account nell'RP in passato.

Chrome 120 (novembre 2023)

  • In Chrome 120 è stato aggiunto il supporto per le seguenti tre funzionalità:
    • API Login Status: l'API Login Status è un meccanismo in cui un sito web, in particolare un provider di identità, informa il browser dello stato di accesso dell'utente. Con questa API, il browser può ridurre le richieste non necessarie all'IDP e mitigare potenziali attacchi di temporizzazione. L'API Login Status è un requisito per FedCM. Con questa modifica, il flag chrome://flags/#fedcm-without-third-party-cookies non è più necessario per attivare FedCM quando il cookie di terze parti è bloccato.
    • API Error: l'API Error invia una notifica all'utente mostrando un'interfaccia utente del browser con le informazioni sull'errore fornite dall'IdP.
    • API Auto-Selected Flag: l'API Auto-Selected Flag condivide con l'IdP e l'RP se è stata acquisita un'autorizzazione utente esplicita toccando il pulsante Continua come, ogni volta che si verifica una riconferma automatica o una mediazione esplicita. La condivisione avviene solo dopo che è stata concessa all'utente l'autorizzazione per la comunicazione tra l'IdP e l'RP.

Chrome 117 (settembre 2023)

Chrome 116 (agosto 2023)

  • In Chrome 116 è stato aggiunto il supporto per le seguenti tre funzionalità:
    • API Login Hint: specifica un account utente preferito per l'accesso.
    • API User Info: recupera le informazioni dell'utente di ritorno in modo che il provider di identità (IdP) possa visualizzare un pulsante di accesso personalizzato all'interno di un iframe.
    • API RP Context: utilizza un titolo diverso da "Accedi" nella finestra di dialogo FedCM.
  • La prova dell'origine per l'API Stato accesso IdP è disponibile. Scopri di più in Aggiornamenti di FedCM: API IdP Sign-In Status, Suggerimento per l'accesso e altro ancora.

Chrome 115 (giugno 2023)

  • È stato aggiunto il supporto per la re-autenticazione automatica, che consente agli utenti di eseguire nuovamente l'autenticazione automaticamente quando tornano dopo l'autenticazione iniziale utilizzando FedCM. Ciò migliora le esperienze utente e consente una ricognizione più snella all'RP dopo l'autenticazione iniziale. Scopri di più sulla riautenticazione automatica di FedCM.

Chrome 110 (febbraio 2023)

  • Per l'endpoint dell'affermazione dell'identità, le IdP devono controllare l'intestazione Origin (anziché l'intestazione Referer) per verificare se il valore corrisponde all'origine dell'ID cliente.
  • È ora disponibile il supporto degli iframe cross-origin per FedCM. L'autore dell'embed deve specificare il valore Permissions-Policy identity-credentials-get per consentire l'API FedCM nell'iframe cross-origin incorporato. Puoi dare un'occhiata a un esempio di iframe cross-origin.
  • È stato aggiunto un nuovo flag di Chrome chrome://flags/#fedcm-without-third-party-cookies. Con questo flag, puoi testare la funzionalità FedCM in Chrome bloccando i cookie di terze parti. Scopri di più nella documentazione di FedCM.

Chrome 108 (ottobre 2022)

  • "manifest di primo livello" ora si chiama "file noto" nel documento. Non sono necessarie modifiche all'implementazione.
  • "Manifest dell'IDP" ora si chiama "file di configurazione" nel documento. Non sono necessarie modifiche all'implementazione.
  • id_token_endpoint nel "file di configurazione" viene rinominato in id_assertion_endpoint.
  • Le richieste all'IDP ora includono un'intestazione Sec-Fetch-Dest: webidentity instead of an Sec-FedCM-CSRF: ?1 header.

Chrome 105 (agosto 2022)

  • Sono state aggiunte al documento informazioni importanti sulla sicurezza. Il provider di identità (IdP) deve verificare che l'intestazione Referer corrisponda all'origine registrata dall'RP in precedenza nell'endpoint del token di identità.
  • Il file manifest di primo livello viene rinominato da /.well-known/fedcm.json a /.well-known/web-identity e l'URL specificato in provider_urls deve includere il nome del file.
  • I metodi login(), logout() e revoke() nelle istanze FederatedCredential non sono più disponibili.
  • L'API Federated Credential Management ora utilizza un nuovo tipoIdentityCredential anziché FederatedCredential. Questo può essere utilizzato per il rilevamento delle funzionalità, ma è una modifica in gran parte invisibile.
  • Sposta la funzionalità di accesso da una combinazione di navigator.credentials.get() e FederatedCredential.prototype.login() a navigator.credentials.get().
  • L'endpoint di revoca nel manifest non è più in vigore.
  • Utilizza un campo identity anziché un campo federated per le chiamate navigator.credentials.get().
  • url ora è configURL e deve essere l'URL completo del file manifest JSON anziché il percorso per una chiamata navigator.credentials.get().
  • nonce ora è un parametro facoltativo per navigator.credentials.get().
  • hint non è più disponibile come opzione per navigator.credentials.get().
const credential = await navigator.credentials.get({
  identity: {
    providers: [{
      configURL: 'https://idp.example/anything.json',
      clientId: '********',
      nonce: '******'
    }]
  }
});
const { token } = credential;

Chrome 104 (giugno 2022)

Chrome 103 (maggio 2022)

  • Supporta gli ambienti desktop.
  • Supporta le impostazioni per RP su computer.
  • L'endpoint dei metadati client è ora facoltativo. In questo endpoint, anche l'URL delle norme sulla privacy è facoltativo.
  • È stato aggiunto un avviso sull'utilizzo di CSP connect-src nel documento.

Risorse