L'API Federated Credential Management est fournie dans Chrome 108, mais cela devrait continuer en pleine évolution. Aucune modification destructive n'est prévue.
À qui s'adressent ces mises à jour ?
Ces nouveautés peuvent vous être utiles si:
- Vous êtes un IdP utilisant l'API Federated Credential Management.
- Vous êtes un IdP ou un tiers assujetti à des restrictions et vous souhaitez étendre l'API à vos besoins cas (par exemple, que vous avez observé ou qui ont participé les discussions concernant le dépôt FedID CG. et que vous voulez comprendre les modifications apportées à l'API.
- Vous êtes fournisseur de navigateur et vous souhaitez vous tenir au courant de l'implémentation le statut de l'API.
Si vous utilisez cette API pour la première fois ou si vous n'avez pas encore utilisé cette API, consultez les Présentation de l'API Federated Credential Management
Journal des modifications
Pour vous tenir informé des modifications apportées à l'API FedCM, consultez notre blog ou le newsletter.
Chrome 125 (avril 2024)
- La spécification ayant mis à jour le nom de "points de terminaison de la liste de comptes" par "comptes" notre documentation est adaptée en conséquence.
- La phase d'évaluation pour l'API Button Mode est disponible sur la version 125 de Chrome pour ordinateur. Apprendre Pour en savoir plus, consultez l'article Mises à jour de FedCM: phase d'évaluation de l'API Button Mode, CORS et SameSite :
- CORS est appliqué Le point de terminaison d'assertion d'ID à partir de Chrome 125.
- Chrome n'enverra que les cookies explicitement marqués comme
SameSite=None
à l'ID le point de terminaison d'assertion point de terminaison des comptes en cours de démarrage de Chrome 125.
Chrome 123 (février 2024)
- Ajout de la compatibilité avec l'API Domain Hint. Domain Hint (Indice de domaine)
API permet aux tiers assujettis à des restrictions de
spécifiez une propriété
domainHint
dans un appel d'API FedCM pour n'afficher que les correspondances les comptes de l'utilisateur.
Chrome 122 (janvier 2024)
- Ajout de la compatibilité avec l'API Déconnecter. La déconnexion API permet les tiers assujettis à des restrictions de déconnecter leurs utilisateurs du compte du fournisseur d'identité sans s'appuyer sur aux cookies tiers.
- En cours de vérification
/.well-known/web-identity
est désormais ignorée lorsque le tiers assujetti à des restrictions et l'IdP sont sur le même site. - Les sous-ressources peuvent désormais définir une connexion sur le même site état.
Chrome 121 (décembre 2023)
- Condition assouplie pour déclencher la réauthentification automatique FedCM:
<ph type="x-smartling-placeholder">
- </ph>
- La fonctionnalité de réauthentification automatique disponible dans
FedCM n'est déclenché que lorsque l'utilisateur revient. Cela signifie que l'utilisateur
doit se connecter au tiers assujetti à des restrictions à l'aide de FedCM une fois sur chaque instance du navigateur,
avant de pouvoir déclencher la réauthentification automatique. Cette condition était initialement
introduit pour atténuer le risque que des traceurs se font passer pour une identité
(IdP) et d'inciter le navigateur à réauthentifier automatiquement un utilisateur
à leur insu ou sans leur accord. Cependant, cette conception ne peut garantir
l'avantage en termes de confidentialité si le traceur a accès à des cookies tiers sur le
Contexte du tiers assujetti à des restrictions. FedCM ne fournit qu'un sous-ensemble des fonctionnalités possibles via
des cookies tiers. Par conséquent, si l'outil de suivi a déjà accès à des cookies tiers,
cookies sur le contexte du tiers assujetti à des restrictions, l'accès à FedCM n'offre aucune confidentialité supplémentaire
le risque.
Puisqu'il existe des utilisations légitimes des cookies tiers et que nous assouplissons améliorerait l'expérience utilisateur, ce comportement est modifié par rapport à Chrome 121. Nous avons décidé d'assouplir la restriction de la condition pour traiter l'utilisateur comme "return" : si des cookies tiers sont disponibles pour l'IdP sur la RP contexte, Chrome se fiera à la revendication du fournisseur d'identité concernant l'état du compte de l'utilisateur spécifié via la listeapproved_clients
et déclenchera la réauthentification automatique. le cas échéant. Les cookies tiers sont disponibles via les paramètres utilisateur, règles d'entreprise, heuristiques (Safari, Firefox Chrome). et d'autres API de la plate-forme Web (telles que Storage Access ). Remarque que lorsque l'IdP perd l'accès aux cookies tiers, si un utilisateur n'a jamais explicitement accordé d'autorisation sur l'interface utilisateur de FedCM (par exemple, cliquez sur le bouton Continuer en tant que) auparavant, elles seront tout de même traitées un nouvel utilisateur.
Aucune action n'est requise de la part du développeur. Notez qu'un flux de réauthentification automatique peut être déclenchée davantage avec cette modification si le fournisseur d'identité a accès aux cookies tiers et affirme que l'utilisateur a déjà créé un compte sur le tiers assujetti à des restrictions.
- La fonctionnalité de réauthentification automatique disponible dans
FedCM n'est déclenché que lorsque l'utilisateur revient. Cela signifie que l'utilisateur
doit se connecter au tiers assujetti à des restrictions à l'aide de FedCM une fois sur chaque instance du navigateur,
avant de pouvoir déclencher la réauthentification automatique. Cette condition était initialement
introduit pour atténuer le risque que des traceurs se font passer pour une identité
(IdP) et d'inciter le navigateur à réauthentifier automatiquement un utilisateur
à leur insu ou sans leur accord. Cependant, cette conception ne peut garantir
l'avantage en termes de confidentialité si le traceur a accès à des cookies tiers sur le
Contexte du tiers assujetti à des restrictions. FedCM ne fournit qu'un sous-ensemble des fonctionnalités possibles via
des cookies tiers. Par conséquent, si l'outil de suivi a déjà accès à des cookies tiers,
cookies sur le contexte du tiers assujetti à des restrictions, l'accès à FedCM n'offre aucune confidentialité supplémentaire
le risque.
Chrome 120 (novembre 2023)
- Ajout de la prise en charge des trois fonctionnalités suivantes dans Chrome 120:
<ph type="x-smartling-placeholder">
- </ph>
- API Login Status: L'état de la connexion
de Google est un
mécanisme via lequel un site Web, en particulier un IdP, informe le navigateur
état de connexion. Grâce à cette API, le navigateur peut réduire le nombre de requêtes
le fournisseur d'identité et réduire
les potentielles attaques temporelles. L'API Login Status est un
pour FedCM.
Avec cette modification, l'option
chrome://flags/#fedcm-without-third-party-cookies
n'est plus nécessaire pour activer FedCM lorsque les cookies tiers sont bloqués. - API Error: Error l'API informe en affichant l'interface utilisateur du navigateur avec les informations d'erreur fournies par le fournisseur d'identité.
- API Auto-Selected Flag: Auto-Selected Flag API indique si une autorisation explicite de l'utilisateur a été obtenue en appuyant sur Bouton Continue as (Continuer en tant que) avec l'IdP et le RP, à chaque réauthentification automatique ou si une médiation explicite a eu lieu. Le partage n'a lieu qu'après que l'utilisateur l'autorisation est accordée pour la communication IdP et RP.
- API Login Status: L'état de la connexion
de Google est un
mécanisme via lequel un site Web, en particulier un IdP, informe le navigateur
état de connexion. Grâce à cette API, le navigateur peut réduire le nombre de requêtes
le fournisseur d'identité et réduire
les potentielles attaques temporelles. L'API Login Status est un
pour FedCM.
Avec cette modification, l'option
Chrome 117 (sept. 2023)
- La phase d'évaluation pour l'API IdP Sign-In Status est disponible sur Android à partir de Chrome 117. Pour en savoir plus, consultez Mises à jour de FedCM: API IdP Sign-In Status, Conseil de connexion, etc..
Chrome 116 (août 2023)
- Ajout de la prise en charge des trois fonctionnalités suivantes dans Chrome 116:
<ph type="x-smartling-placeholder">
- </ph>
- API Login Hint: spécifiez le compte utilisateur avec lequel vous souhaitez vous connecter.
- API User Info: récupérez les informations sur l'utilisateur connu afin que le fournisseur d'identité (IdP) puisse afficher un bouton de connexion personnalisé dans un iFrame.
- API RP Context: utilisez un titre différent de "Connexion". dans la boîte de dialogue de FedCM.
- La phase d'évaluation pour l'API IdP Sign-In Status est disponible. Pour en savoir plus, consultez Mises à jour de FedCM: API IdP Sign-In Status, Conseil de connexion, etc..
Chrome 115 (juin 2023)
- Ajout de la prise en charge de la réauthentification automatique, qui permet aux utilisateurs de se réauthentifier automatiquement lorsqu'ils reviennent après leur authentification initiale à l'aide de FedCM. Cela améliore l'expérience utilisateur et permet une réauthentification plus simple auprès de la RP après l'authentification initiale. En savoir plus sur la réauthentification automatique FedCM
Chrome 110 (février 2023)
- Pour le point de terminaison d'assertion d'ID, les fournisseurs d'identité doivent vérifier l'en-tête
Origin
(au lieu de l'en-têteReferer
) pour voir si la valeur correspond à l'origine de l'ID client. - Les iFrames multi-origines sont désormais compatibles avec FedCM. La
l'élément "embedder" doit spécifier
Permissions-Policy
identity-credentials-get
pour autoriser l'API FedCM dans l'analyse multi-origine intégrée iFrame. Consultez un exemple de l'iFrame multi-origine. - Ajout d'un indicateur Chrome
chrome://flags/#fedcm-without-third-party-cookies
. Avec cet indicateur, vous pouvez tester le fonctionnement de FedCM dans Chrome en bloquant les cookies tiers. Pour en savoir plus, consultez la documentation FedCM.
Chrome 108 (octobre 2022)
- "fichier manifeste de premier niveau" est désormais appelé "fichier bien connu" dans le document. Aucune modification de la mise en œuvre n'est requise.
- "Fichier manifeste IdP" s'appelle maintenant « fichier de configuration » dans le document. Non des changements d'implémentation sont nécessaires.
id_token_endpoint
dans le "fichier de configuration" est renommé enid_assertion_endpoint
- Les requêtes adressées à l'IdP incluent désormais
Sec-Fetch-Dest: webidentity
au lieu d'un en-têteSec-FedCM-CSRF: ?1
.
Chrome 105 (août 2022)
- Ajout d'informations de sécurité importantes au document. L'identité
Le fournisseur (IdP) doit vérifier si l'en-tête
Referer
correspond à l'origine le tiers assujetti à des restrictions enregistré à l'avance le le point de terminaison du jeton d'ID. - Le fichier manifeste de premier niveau est renommé
/.well-known/fedcm.json
, mais il s'appelle désormais/.well-known/web-identity
et l'URL spécifiée dansprovider_urls
doivent inclure le nom du fichier. - Méthodes
login()
,logout()
etrevoke()
surFederatedCredential
instances ne sont plus disponibles. - L'API Federated Credential Management utilise désormais un nouveau type
IdentityCredential
au lieu deFederatedCredential
. Cela peut être utilisé pour la détection de caractéristiques, mais il s'agit d'un changement en grande partie invisible. - Transférez la fonctionnalité de connexion d'une combinaison
navigator.credentials.get()
etFederatedCredential.prototype.login()
ànavigator.credentials.get()
. - Le point de terminaison de révocation indiqué dans le fichier manifeste n'est plus en vigueur.
- Utilisez un champ
identity
au lieu d'un champfederated
pour Appelsnavigator.credentials.get()
. url
est maintenantconfigURL
et doit correspondre à l'URL complète du fichier manifeste JSON et non au chemin d'accès pour un appelnavigator.credentials.get()
.nonce
est désormais un paramètre facultatif pournavigator.credentials.get()
.- L'option
hint
n'est plus disponible pournavigator.credentials.get()
const credential = await navigator.credentials.get({
identity: {
providers: [{
configURL: 'https://idp.example/anything.json',
clientId: '********',
nonce: '******'
}]
}
});
const { token } = credential;
Chrome 104 (juin 2022)
- Le paramètre
consent_acquired
envoyé au point de terminaison du jeton d'ID est désormaisdisclosure_text_shown
La valeur reste inchangée. - icônes de marque dans Fichier manifeste de l'IdP ne sont plus compatibles avec les images SVG, mais n'ont plus besoin d'être autorisés tiers assujettis à des restrictions Content Security Policy.
Chrome 103 (mai 2022)
- Compatibilité avec les environnements de bureau.
- Accepte les paramètres par tiers assujetti à des restrictions sur ordinateur.
- La point de terminaison des métadonnées client est désormais facultative. Sur ce point de terminaison, l'URL des règles de confidentialité est également facultative.
- Ajout d'une mise en garde concernant l'utilisation de CSP
connect-src
dans le document.