L'API Federated Credential Management viene venduta in Chrome 108, ma si prevede che continui in continua evoluzione. Non sono previste modifiche che provocano un errore.
A chi sono destinati questi aggiornamenti?
Questi aggiornamenti sono utili se:
- Sei un IdP che utilizza l'API Federated Credential Management.
- Sei un IdP o un RP e ti interessa estendere l'API per adattarla al tuo utilizzo caso, ad es. che stai guardando o partecipando le discussioni sul repository CG di FedID e vuoi comprendere le modifiche apportate all'API.
- Sei un fornitore di browser e vuoi aggiornarti sull'implementazione dell'API.
Se non conosci l'API o non l'hai ancora sperimentata, leggi il introduzione all'API Federated Credential Management.
Log delle modifiche
Per restare al passo con le modifiche apportate all'API FedCM, dai un'occhiata al nostro blog o il newsletter.
Chrome 125 (aprile 2024)
- Dato che la specifica ha aggiornato il nome di "endpoint dell'elenco di account" in "account endpoint", la nostra documentazione è allineata di conseguenza.
- La prova dell'origine per l'API Button Mode è disponibile sulla versione 125 di Chrome per computer. Impara per saperne di più negli aggiornamenti di FedCM: prova dell'origine dell'API Button Mode, CORS e SameSite.
- CORS viene applicato in modo forzato L'endpoint di asserzione ID a partire da Chrome 125.
- Chrome invierà solo i cookie esplicitamente contrassegnati come
SameSite=None
all'ID l'endpoint di asserzione e Avvio dell'endpoint account da Chrome 125.
Chrome 123 (febbraio 2024)
- Aggiunto il supporto per l'API Domain Hint. Suggerimento per il dominio
API consente alle parti soggette a limitazioni di
specifica una proprietà
domainHint
in una chiamata API FedCM per mostrare solo le corrispondenze personalizzati per l'utente.
Chrome 122 (gennaio 2024)
- Aggiunto il supporto per l'API Disconnetti. La disconnessione dell'API consente le parti soggette a limitazioni per disconnettere i propri utenti dall'account dell'IdP senza fare affidamento cookie di terze parti.
- Verifica in corso
/.well-known/web-identity
viene ignorato quando la parte soggetta a limitazioni e l'IdP sono nello stesso sito. - Ora le risorse secondarie possono impostare un login per lo stesso sito .
Chrome 121 (dicembre 2023)
- La condizione più lenta per l'attivazione della riautenticazione automatica FedCM:
- La funzionalità di riautenticazione automatica in
FedCM viene attivato solo quando l'utente ritorna. Ciò significa che l'utente
deve accedere alla parte soggetta a limitazioni utilizzando FedCM una volta per ogni istanza del browser
prima che possa essere attivata la riautenticazione automatica. Questa condizione era inizialmente
Introduzione per ridurre il rischio che i tracker fingano di essere un'identità
il tuo provider di identità (IdP) e indurre con l'inganno il browser a eseguire nuovamente l'autenticazione automatica
a sua insaputa o senza il suo consenso. Tuttavia, questo design non garantisce
il vantaggio della privacy se il tracker ha accesso a cookie di terze parti sulla
Contesto della parte soggetta a limitazioni. FedCM offre solo un sottoinsieme delle funzionalità possibili tramite
cookie di terze parti, quindi se il tracker ha già accesso a cookie di terze parti
cookie nel contesto della parte soggetta a limitazioni, l'accesso a FedCM non presenta
ai rischi.
Poiché esistono usi legittimi dei cookie di terze parti e allentando i migliorerebbe l'UX, questo comportamento cambia rispetto a Chrome 121. Abbiamo deciso di allentare la limitazione della condizione per trattare un utente come restituire: se i cookie di terze parti sono disponibili per l'IdP nella parte soggetta a limitazioni contesto, Chrome si fiderà della dichiarazione dell'IdP sullo stato dell'account dell'utente specificato tramite l'elencoapproved_clients
e attiva la riautenticazione automatica se applicabile. I cookie di terze parti possono essere disponibili tramite: impostazioni utente, criteri aziendali, euristica, (Safari, Firefox Chrome) e altre API delle piattaforme web (come Storage Access API). Nota che, quando in futuro l'IdP perderà l'accesso ai cookie di terze parti, se un utente non ha mai concesso esplicitamente l'autorizzazione sull'interfaccia utente di FedCM (ad esempio, facendo clic sul pulsante Continua come), verranno comunque considerati come una nuovo utente.
Non sono richieste azioni da parte dello sviluppatore. Tieni presente che il flusso di riautenticazione automatica verrà attivata ulteriormente con questa modifica se l'IdP ha accesso ai cookie di terze parti. e afferma che l'utente ha creato un account nella parte soggetta a limitazioni in passato.
- La funzionalità di riautenticazione automatica in
FedCM viene attivato solo quando l'utente ritorna. Ciò significa che l'utente
deve accedere alla parte soggetta a limitazioni utilizzando FedCM una volta per ogni istanza del browser
prima che possa essere attivata la riautenticazione automatica. Questa condizione era inizialmente
Introduzione per ridurre il rischio che i tracker fingano di essere un'identità
il tuo provider di identità (IdP) e indurre con l'inganno il browser a eseguire nuovamente l'autenticazione automatica
a sua insaputa o senza il suo consenso. Tuttavia, questo design non garantisce
il vantaggio della privacy se il tracker ha accesso a cookie di terze parti sulla
Contesto della parte soggetta a limitazioni. FedCM offre solo un sottoinsieme delle funzionalità possibili tramite
cookie di terze parti, quindi se il tracker ha già accesso a cookie di terze parti
cookie nel contesto della parte soggetta a limitazioni, l'accesso a FedCM non presenta
ai rischi.
Chrome 120 (novembre 2023)
- Aggiunto il supporto per le seguenti tre funzionalità in Chrome 120:
- API Login Status: lo Stato di accesso
un'API è un'istanza
meccanismo in cui un sito web, soprattutto un provider di identità, informa il browser
stato di accesso. Con questa API, il browser può ridurre le richieste non necessarie a
all'IdP e a mitigare i potenziali attacchi
temporali. L'API Login Status è un
requisito per FedCM.
Con questa modifica, il flag
chrome://flags/#fedcm-without-third-party-cookies
non è più necessario attivare FedCM quando i cookie di terze parti sono bloccati. - API Error: l'errore l'API invia una notifica dell'utente mostrando una UI del browser con le informazioni sull'errore fornite dall'IdP.
- API Auto-Selected Flag: il Flag selezionato automaticamente dell'API indica se è stata acquisita un'autorizzazione esplicita dell'utente toccando l'icona Pulsante Continua come sia con l'IdP sia con la parte soggetta a limitazioni, ogni volta che viene eseguita la nuova autenticazione automatica o è stata eseguita una mediazione esplicita. La condivisione avviene solo dopo che l'utente per le comunicazioni IdP e RP.
- API Login Status: lo Stato di accesso
un'API è un'istanza
meccanismo in cui un sito web, soprattutto un provider di identità, informa il browser
stato di accesso. Con questa API, il browser può ridurre le richieste non necessarie a
all'IdP e a mitigare i potenziali attacchi
temporali. L'API Login Status è un
requisito per FedCM.
Con questa modifica, il flag
Chrome 117 (settembre 2023)
- La prova dell'origine per l'API Idp Sign-In Status è disponibile su Android a partire da Chrome 117. Scopri di più in merito negli aggiornamenti FedCM: API IdP Sign-In Status, Login Hint e altri.
Chrome 116 (agosto 2023)
- È stato aggiunto il supporto delle tre funzionalità seguenti in Chrome 116:
- API Login Hint: specifica un account utente preferito con cui accedere.
- API User Info: recupera le informazioni dell'utente di ritorno in modo che il provider di identità (IdP) possa visualizzare un pulsante di accesso personalizzato all'interno di un iframe.
- API RP Context: utilizza un titolo diverso da "Accedi" nella finestra di dialogo FedCM.
- È disponibile l'API Origin Trial per l'IdP Sign-In Status. Scopri di più in merito negli aggiornamenti FedCM: API IdP Sign-In Status, Login Hint e altri.
Chrome 115 (giugno 2023)
- È stato aggiunto il supporto della riautenticazione automatica, che consente agli utenti di eseguire nuovamente l'autenticazione quando tornano dopo l'autenticazione iniziale tramite FedCM. Questo migliora l'esperienza utente e consente una riautenticazione più semplificata della parte soggetta a limitazioni dopo l'autenticazione iniziale. Scopri di più sulla riautenticazione automatica FedCM.
Chrome 110 (febbraio 2023)
- Per l'endpoint di asserzione dell'ID, gli IdP devono controllare l'intestazione
Origin
(anziché l'intestazioneReferer
) per verificare se il valore corrisponde all'origine dell'ID client. - Ora è disponibile il supporto di iframe multiorigine per FedCM. La
l'incorporamento deve specificare
Permissions-Policy
identity-credentials-get
per consentire l'API FedCM nel multiorigine incorporato iframe. Puoi dare un'occhiata a un esempio di l'iframe multiorigine. - È stato aggiunto un nuovo flag di Chrome
chrome://flags/#fedcm-without-third-party-cookies
. Con questo flag puoi testare la funzionalità FedCM in Chrome bloccando i cookie di terze parti. Scopri di più nella documentazione di FedCM.
Chrome 108 (ottobre 2022)
- "manifest di primo livello" è ora chiamato "well-known file" nel documento. Non sono necessarie modifiche all'implementazione.
- "manifest dell'IdP" è ora chiamato "file di configurazione" nel documento. No modifiche all'implementazione.
id_token_endpoint
nel "file di configurazione" è rinominata inid_assertion_endpoint
- Le richieste all'IdP ora includono
Sec-Fetch-Dest: webidentity
anziché un'intestazioneSec-FedCM-CSRF: ?1
.
Chrome 105 (agosto 2022)
- Sono state aggiunte importanti informazioni di sicurezza al documento. L'identità
provider (IdP) deve verificare se l'intestazione
Referer
corrisponde all'origine la parte soggetta a limitazioni registrata in anticipo il l'endpoint del token ID. - Il file manifest di primo livello è stato rinominato da
/.well-known/fedcm.json
a/.well-known/web-identity
e l'URL specificato inprovider_urls
devono includi il nome del file. - Metodi
login()
,logout()
erevoke()
suFederatedCredential
non sono più disponibili. - L'API Federated Credential Management ora utilizza un nuovo tipo
IdentityCredential
anzichéFederatedCredential
. Può essere utilizzato per delle funzioni, ma per il resto si tratta di un cambiamento ampiamente invisibile. - Sposta la funzionalità di accesso da una combinazione di
navigator.credentials.get()
e DaFederatedCredential.prototype.login()
anavigator.credentials.get()
. - L'endpoint di revoca nel file manifest non è più attivo.
- Utilizza un campo
identity
anziché un campofederated
pernavigator.credentials.get()
chiamate. url
è oraconfigURL
e deve essere l'URL completo del file JSON manifest anziché il percorso una chiamata anavigator.credentials.get()
.nonce
ora è un parametro facoltativo pernavigator.credentials.get()
.hint
non è più disponibile come opzione pernavigator.credentials.get()
.
const credential = await navigator.credentials.get({
identity: {
providers: [{
configURL: 'https://idp.example/anything.json',
clientId: '********',
nonce: '******'
}]
}
});
const { token } = credential;
Chrome 104 (giugno 2022)
- Il parametro
consent_acquired
inviato all'endpoint del token ID è oradisclosure_text_shown
Il valore non è cambiato. - icone di branding in il file manifest dell'IdP hanno smesso di supportare le immagini SVG, ma non devono più essere consentite dal parte soggetta a limitazioni Criterio di sicurezza del contenuto.
Chrome 103 (maggio 2022)
- Supporta ambienti desktop.
- Supporta le impostazioni per parte soggetta a limitazioni su computer.
- La endpoint dei metadati del client è ora facoltativo. In questo endpoint, anche l'URL delle norme sulla privacy è facoltativo.
- È stato aggiunto un avviso sull'utilizzo di CSP
connect-src
nel documento.