Aggiornamenti dell'API Federated Credential Management

L'API Federated Credential Management viene venduta in Chrome 108, ma si prevede che continui in continua evoluzione. Non sono previste modifiche che provocano un errore.

A chi sono destinati questi aggiornamenti?

Questi aggiornamenti sono utili se:

  • Sei un IdP che utilizza l'API Federated Credential Management.
  • Sei un IdP o un RP e ti interessa estendere l'API per adattarla al tuo utilizzo caso, ad es. che stai guardando o partecipando le discussioni sul repository CG di FedID e vuoi comprendere le modifiche apportate all'API.
  • Sei un fornitore di browser e vuoi aggiornarti sull'implementazione dell'API.

Se non conosci l'API o non l'hai ancora sperimentata, leggi il introduzione all'API Federated Credential Management.

Log delle modifiche

Per restare al passo con le modifiche apportate all'API FedCM, dai un'occhiata al nostro blog o il newsletter.

Chrome 125 (aprile 2024)

Chrome 123 (febbraio 2024)

  • Aggiunto il supporto per l'API Domain Hint. Suggerimento per il dominio API consente alle parti soggette a limitazioni di specifica una proprietà domainHint in una chiamata API FedCM per mostrare solo le corrispondenze personalizzati per l'utente.

Chrome 122 (gennaio 2024)

Chrome 121 (dicembre 2023)

  • La condizione più lenta per l'attivazione della riautenticazione automatica FedCM:
    • La funzionalità di riautenticazione automatica in FedCM viene attivato solo quando l'utente ritorna. Ciò significa che l'utente deve accedere alla parte soggetta a limitazioni utilizzando FedCM una volta per ogni istanza del browser prima che possa essere attivata la riautenticazione automatica. Questa condizione era inizialmente Introduzione per ridurre il rischio che i tracker fingano di essere un'identità il tuo provider di identità (IdP) e indurre con l'inganno il browser a eseguire nuovamente l'autenticazione automatica a sua insaputa o senza il suo consenso. Tuttavia, questo design non garantisce il vantaggio della privacy se il tracker ha accesso a cookie di terze parti sulla Contesto della parte soggetta a limitazioni. FedCM offre solo un sottoinsieme delle funzionalità possibili tramite cookie di terze parti, quindi se il tracker ha già accesso a cookie di terze parti cookie nel contesto della parte soggetta a limitazioni, l'accesso a FedCM non presenta ai rischi.
      Poiché esistono usi legittimi dei cookie di terze parti e allentando i migliorerebbe l'UX, questo comportamento cambia rispetto a Chrome 121. Abbiamo deciso di allentare la limitazione della condizione per trattare un utente come restituire: se i cookie di terze parti sono disponibili per l'IdP nella parte soggetta a limitazioni contesto, Chrome si fiderà della dichiarazione dell'IdP sullo stato dell'account dell'utente specificato tramite l'elenco approved_clients e attiva la riautenticazione automatica se applicabile. I cookie di terze parti possono essere disponibili tramite: impostazioni utente, criteri aziendali, euristica, (Safari, Firefox Chrome) e altre API delle piattaforme web (come Storage Access API). Nota che, quando in futuro l'IdP perderà l'accesso ai cookie di terze parti, se un utente non ha mai concesso esplicitamente l'autorizzazione sull'interfaccia utente di FedCM (ad esempio, facendo clic sul pulsante Continua come), verranno comunque considerati come una nuovo utente.
      Non sono richieste azioni da parte dello sviluppatore. Tieni presente che il flusso di riautenticazione automatica verrà attivata ulteriormente con questa modifica se l'IdP ha accesso ai cookie di terze parti. e afferma che l'utente ha creato un account nella parte soggetta a limitazioni in passato.

Chrome 120 (novembre 2023)

  • Aggiunto il supporto per le seguenti tre funzionalità in Chrome 120:
    • API Login Status: lo Stato di accesso un'API è un'istanza meccanismo in cui un sito web, soprattutto un provider di identità, informa il browser stato di accesso. Con questa API, il browser può ridurre le richieste non necessarie a all'IdP e a mitigare i potenziali attacchi temporali. L'API Login Status è un requisito per FedCM. Con questa modifica, il flag chrome://flags/#fedcm-without-third-party-cookies non è più necessario attivare FedCM quando i cookie di terze parti sono bloccati.
    • API Error: l'errore l'API invia una notifica dell'utente mostrando una UI del browser con le informazioni sull'errore fornite dall'IdP.
    • API Auto-Selected Flag: il Flag selezionato automaticamente dell'API indica se è stata acquisita un'autorizzazione esplicita dell'utente toccando l'icona Pulsante Continua come sia con l'IdP sia con la parte soggetta a limitazioni, ogni volta che viene eseguita la nuova autenticazione automatica o è stata eseguita una mediazione esplicita. La condivisione avviene solo dopo che l'utente per le comunicazioni IdP e RP.

Chrome 117 (settembre 2023)

Chrome 116 (agosto 2023)

  • È stato aggiunto il supporto delle tre funzionalità seguenti in Chrome 116:
    • API Login Hint: specifica un account utente preferito con cui accedere.
    • API User Info: recupera le informazioni dell'utente di ritorno in modo che il provider di identità (IdP) possa visualizzare un pulsante di accesso personalizzato all'interno di un iframe.
    • API RP Context: utilizza un titolo diverso da "Accedi" nella finestra di dialogo FedCM.
  • È disponibile l'API Origin Trial per l'IdP Sign-In Status. Scopri di più in merito negli aggiornamenti FedCM: API IdP Sign-In Status, Login Hint e altri.

Chrome 115 (giugno 2023)

  • È stato aggiunto il supporto della riautenticazione automatica, che consente agli utenti di eseguire nuovamente l'autenticazione quando tornano dopo l'autenticazione iniziale tramite FedCM. Questo migliora l'esperienza utente e consente una riautenticazione più semplificata della parte soggetta a limitazioni dopo l'autenticazione iniziale. Scopri di più sulla riautenticazione automatica FedCM.

Chrome 110 (febbraio 2023)

  • Per l'endpoint di asserzione dell'ID, gli IdP devono controllare l'intestazione Origin (anziché l'intestazione Referer) per verificare se il valore corrisponde all'origine dell'ID client.
  • Ora è disponibile il supporto di iframe multiorigine per FedCM. La l'incorporamento deve specificare Permissions-Policy identity-credentials-get per consentire l'API FedCM nel multiorigine incorporato iframe. Puoi dare un'occhiata a un esempio di l'iframe multiorigine.
  • È stato aggiunto un nuovo flag di Chrome chrome://flags/#fedcm-without-third-party-cookies. Con questo flag puoi testare la funzionalità FedCM in Chrome bloccando i cookie di terze parti. Scopri di più nella documentazione di FedCM.

Chrome 108 (ottobre 2022)

  • "manifest di primo livello" è ora chiamato "well-known file" nel documento. Non sono necessarie modifiche all'implementazione.
  • "manifest dell'IdP" è ora chiamato "file di configurazione" nel documento. No modifiche all'implementazione.
  • id_token_endpoint nel "file di configurazione" è rinominata in id_assertion_endpoint
  • Le richieste all'IdP ora includono Sec-Fetch-Dest: webidentity anziché un'intestazione Sec-FedCM-CSRF: ?1.

Chrome 105 (agosto 2022)

  • Sono state aggiunte importanti informazioni di sicurezza al documento. L'identità provider (IdP) deve verificare se l'intestazione Referer corrisponde all'origine la parte soggetta a limitazioni registrata in anticipo il l'endpoint del token ID.
  • Il file manifest di primo livello è stato rinominato da /.well-known/fedcm.json a /.well-known/web-identity e l'URL specificato in provider_urls devono includi il nome del file.
  • Metodi login(), logout() e revoke() su FederatedCredential non sono più disponibili.
  • L'API Federated Credential Management ora utilizza un nuovo tipo IdentityCredential anziché FederatedCredential. Può essere utilizzato per delle funzioni, ma per il resto si tratta di un cambiamento ampiamente invisibile.
  • Sposta la funzionalità di accesso da una combinazione di navigator.credentials.get() e Da FederatedCredential.prototype.login() a navigator.credentials.get().
  • L'endpoint di revoca nel file manifest non è più attivo.
  • Utilizza un campo identity anziché un campo federated per navigator.credentials.get() chiamate.
  • url è ora configURL e deve essere l'URL completo del file JSON manifest anziché il percorso una chiamata a navigator.credentials.get().
  • nonce ora è un parametro facoltativo per navigator.credentials.get().
  • hint non è più disponibile come opzione per navigator.credentials.get().
const credential = await navigator.credentials.get({
  identity: {
    providers: [{
      configURL: 'https://idp.example/anything.json',
      clientId: '********',
      nonce: '******'
    }]
  }
});
const { token } = credential;

Chrome 104 (giugno 2022)

Chrome 103 (maggio 2022)

  • Supporta ambienti desktop.
  • Supporta le impostazioni per parte soggetta a limitazioni su computer.
  • La endpoint dei metadati del client è ora facoltativo. In questo endpoint, anche l'URL delle norme sulla privacy è facoltativo.
  • È stato aggiunto un avviso sull'utilizzo di CSP connect-src nel documento.

Risorse