تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

FedCM: واجهة برمجة تطبيقات لاتحاد الهوية تحافظ على الخصوصية

توضّح هذه الصفحة مزايا واجهة FedCM والجهات التي يجب أن تفكر في استخدامها وكيفية تفاعل المستخدمين مع واجهة FedCM.

إدارة بيانات الاعتماد المُوحَّدة (FedCM) هي نهج يركز على الخصوصية ويراعي احتياجات المستخدمين في ما يتعلّق بخدمات الهوية المُوحَّدة (مثل تسجيل الدخول باستخدام موفِّر الهوية)، ولا يعتمد على ملفات تعريف الارتباط التابعة لجهات خارجية أو عمليات إعادة التوجيه للتنقّل.

باستخدام FedCM، يتم تقديم طريقة جديدة للمصادقة للمستخدم على موقع إلكتروني يستخدم موفّر هوية تابعًا لجهة خارجية.

ما هو اتحاد الهوية؟

تفوض عملية ربط الهويات مصادقة أو تفويض مستخدم individual (مستخدم أو كيان) إلى موفِّر هوية خارجي موثوق به (IdP). بعد ذلك، يسمح موفِّر الهوية للفرد بتسجيل الدخول إلى موقع إلكتروني تابع للجهة الموثوق بها. من خلال توحُّد الهوية، يعتمد مقدّم الخدمات على موفِّر الهوية لتزويد المستخدم بحساب بدون الحاجة إلى اسم مستخدم وكلمة مرور جديدَين.

باستخدام حلول الهوية المُدمَجة، لا يحتاج المستخدم إلى إنشاء مجموعة أخرى من بيانات الاعتماد لكلّ مقدّم خدمات اعتماد. ويؤدي ذلك إلى تحسين تجربة المستخدم وتقليل فرص الخداع الإلكتروني، ويساعد في الحصول على معلومات المستخدم التي تم التحقّق منها من مقدّمي هوية موثوق بهم.

الحلول التقليدية وملفات تعريف الارتباط التابعة لجهات خارجية

تعتمد آليات الدمج التقليدية للهوية على إطارات iframe أو عمليات إعادة التوجيه أو ملفات تعريف الارتباط التابعة لجهات خارجية، ما يتسبب في حدوث مشاكل تتعلّق بالخصوصية. يمكن استغلال هذه الحلول لتتبُّع المستخدِمين على الإنترنت، ولا يمكن للمتصفّحات التمييز بين خدمات تحديد الهوية المشروعة وعمليات المراقبة غير المرغوب فيها.

مع أخذ مخاوف الخصوصية في الاعتبار، تحظر المتصفحات الرئيسية استخدام ملفات تعريف الارتباط التابعة لجهات خارجية. وقد يؤثر ذلك في بعض الوظائف. من خلال جهود المنتدى وبفضل أبحاثنا، تبيّن لنا أنّ هناك بعض عمليات الدمج المتعلّقة باتحاد الهوية التي تتأثر بقيود ملفات تعريف الارتباط التابعة لجهات خارجية.

دمج الهوية باستخدام FedCM

تهدف مبادرة FedCM إلى تفعيل عمليات المصادقة هذه المهمة حتى للمستخدمين الذين يختارون التصفّح مع حظر ملفات تعريف الارتباط التابعة لجهات خارجية.

لا يعتمد FedCM على أي بروتوكول معيّن، بل يمكن تنفيذه كحلّ مستقل أو كطبقة إضافية يمكن أن تستفيد منها البروتوكولات المختلفة. على سبيل المثال، يمكن لخادم OAuth الوظيفي الاستفادة من تجربة تسجيل الدخول بنقرة واحدة التي تتوسطها المتصفحات في FedCM وواجهة المستخدم البسيطة من خلال تنفيذ نقاط نهاية FedCM ثم استبدال رمز التفويض الذي يتم إرجاعه في استجابة FedCM برمز دخول OAuth.

لماذا نحتاج إلى FedCM؟

مقارنةً بالحلول التقليدية، يوفّر هذا المعيار فوائد متعدّدة لمنظومة الويب المتكاملة، وهو مصمّم بالاستناد إلى المستخدمين ومطوّري موفّري خدمات الربط وموفّري خدمات الهوية.

إتاحة حلول تحديد الهوية بدون ملفات تعريف الارتباط التابعة لجهات خارجية

يمكن أن يساعد FedCM في تقليل الاعتماد على ملفات تعريف الارتباط التابعة لجهات خارجية، والتي غالبًا ما تُستخدَم في تتبُّع المستخدِمين على الويب. توفّر واجهة برمجة التطبيقات تجربة تسجيل دخول مخصّصة حتى للمستخدمين الذين يختارون التصفّح مع حظر ملفات تعريف الارتباط التابعة لجهات خارجية.

تم أيضًا دمج FedCM مع واجهات برمجة تطبيقات أخرى في "مبادرة حماية الخصوصية". على سبيل المثال، تستخدم واجهة برمجة التطبيقات Storage Access API مصادقة FedCM كأحد إشارات الثقة. يفيد هذا الدمج المواقع الإلكترونية التي تعتمد على كلّ من FedCM لأجل مصادقة وSAA لتفعيل إطارات iframe من مصادر مختلفة للوصول إلى مساحة التخزين اللازمة.

تجربة مستخدِم محسّنة

يوفّر FedCM مربّع حوار لواجهة مستخدِم تستند إلى المتصفّح لإجراء عملية تسجيل دخول سهلة بنقرة واحدة. تعالج واجهة برمجة التطبيقات أيضًا مشكلة صفحات تسجيل الدخول المُكتظة، والتي يُشار إليها أحيانًا باسم مشكلة NASCAR.

مثال على مشكلة NASCAR: موقع إلكتروني يتضمّن واجهة مستخدم تشوشها مجموعة من خيارات تسجيل الدخول السبعة المختلفة — مثال على مشكلة NASCAR: موقع إلكتروني يتضمّن واجهة مستخدم تشوشها خيارات موفِّري الهوية الكثيرة.

بدلاً من توفير عدد كبير جدًا من أزرار تسجيل الدخول عبر الشبكات الاجتماعية، يوفّر FedCM واجهة أبسط وسهلة الاستخدام.

الأمان

يتيح نهج "الهوية المُدمجة" للمستخدمين استخدام حسابات موثوق بها تديرها خدمات تكامل الهوية. باستخدام هذا النهج، لا يحتاج المستخدمون إلى إضافة بيانات الاعتماد إلى كل موقع إلكتروني. ويؤدي ذلك إلى تقليل مساحة سطح هجمات التصيُّد الاحتيالي. بالإضافة إلى ذلك، بدلاً من تنفيذ تدابير الأمان القوية الخاصة بهم، يمكن لموفّري الخدمات بالنيابة الاعتماد على خبرة موفّري الهوية المتخصّصين في إدارة الهوية الآمنة.

يهدف FedCM إلى جعل عملية المصادقة باستخدام الهوية المتحدّة أكثر ملاءمةً للمستخدمين، وتشجيعهم على تفضيلها على عمليات المصادقة الأقل أمانًا.

تجربة مخصّصة لعدد أكبر من المستخدمين

تعمل ميزة FedCM على تقليل أي صعوبات تعيق تجربة المستخدم أثناء مسار الاشتراك في الحساب. تُظهر الدراسات الحالة في "خدمة هوية Google" أنّ المستخدمين يفضّلون إنشاء الحسابات باستخدام مسار "النقرة الواحدة" في FedCM بدلاً من خيارات تسجيل الدخول المتعدّدة الخطوات.

من خلال FedCM، يمكن لعدد أكبر من موفّري الهوية (IdP) تقديم تجربة تسجيل دخول بنقرة واحدة لمستخدميهم. مع وجود مزيد من موفِّري الهوية (IdP) الذين يوفّرون عملية إثبات الهوية بنقرة واحدة، يمكن للمستخدمين الاختيار من بين مجموعة أوسع من موفِّري الهوية (IdP) على موفِّري خدمات الربط (RP). توفّر FedCM آلية محسّنة لاختيار موفّر خدمة المصادقة من خلال تقديم الحسابات الأكثر صلة للمستخدمين.

ومع ارتفاع معدّلات الاشتراك، يمكن أن تقدّم تجارب مخصّصة لعدد أكبر من المستخدمين.

إتاحة موفّري هوية متنوّعين

تهدف واجهة المستخدم المبسّطة في FedCM إلى تقديم قائمة مخصّصة للمستخدمين تضمّ موفّري الهوية المعنيّين. باستخدام آلية اختيار موفِّر الهوية في إطار FedCM، لم يعُد اختيار موفِّري الهوية من قِبل موفِّر المحتوى مقيدًا بحجم قاعدة مستخدمي موفِّر الهوية. على سبيل المثال، قد يكون لدى جزء من المستخدمين حساب على small-idp.example فقط، وليس على bigger-idp.example.

باستخدام ميزة موفّري الهوية المتعدّدين، يمكن أن يتوافقrp.example مع كل منsmall-idp.example وbigger-idp.example بدون تشويش واجهة المستخدم. ويعود ذلك بالنفع على جميع الأطراف:

يمكن للمستخدمين اختيار موفِّر خدمة المصادقة المفضّل لديهم، بغض النظر عن حجمه.
وصول موفّري خدمات الربط إلى المزيد من المستخدمين من خلال دعم موفّري الهوية المتعدّدين
تتوفّر خدمات إدارة الهوية التي تضم قاعدة مستخدمين أصغر في المزيد من خدمات المعالجة.

مَن هم المعنيّون باستخدام FedCM؟

لا نتوقع أن تكون ميزة "إدارة الطلبات المركزية" مفيدة لك إلا في حال استيفاء الشروط التالية:

تهدف إلى إتاحة عمليات المصادقة المُدارة حتى للمستخدمين الذين يختارون التصفُّح بدون ملفات تعريف الارتباط التابعة لجهات خارجية.
إذا كنت موفِّر هوية (IdP) مع جهات اعتماد خارجية إذا كانت المواقع الإلكترونية المرجعية هي مواقع إلكترونية ذات صلة بشكلٍ ذي مغزى، قد يكون من الأفضل استخدام مجموعات المواقع الإلكترونية المرتبطة.
لديك حلّ هوية خاص بك ونطاقات متعددة تعتمد عليه.

إذا كنت موفِّر هوية

تتطلّب ميزة FedCM الحصول على دعم من موفِّر الهوية. لا يمكن للجهة الموثوق بها استخدام FedCM بشكل مستقل. إذا كنت مقدّم خدمات، يمكنك أن تطلب من موفِّر الهوية (IdP) تقديم تعليمات.

جهات محظورة متعددة

إذا كانت جهات الإصدار التابعة لك تابعة لجهات خارجية، أو إذا كان لديك أكثر من أربع جهات إصدار تستخدم حلول الهوية التي توفّرها، تكون FedCM هي واجهة برمجة التطبيقات المُقترَحة لاستخدام الهوية المُوحَّدة.

إذا كنت موفِّر هوية لديه ما يصل إلى خمسة موفِّري خدمات اعتماد، وكان لدى موفِّري خدمات الاعتماد صلة بجهة خارجية لموفِّر الهوية، ننصحك باستخدام مجموعات المواقع الإلكترونية المرتبطة (RWS). تسمح ميزة "المعالجة المحدودة للبيانات" بالوصول المحدود إلى ملفات تعريف الارتباط التابعة لجهات خارجية على مستوى مجموعات من المواقع الإلكترونية ذات الصلة بشكلٍ مفيد، حتى في حال حظر ملفات تعريف الارتباط التابعة لجهات خارجية.

إذا كنت تريد إتاحة عملية الدمج بدون ملفات تعريف الارتباط

تتوافق ميزة "إدارة الهوية الفيدرالية" مع عمليات تدفق الهوية الفيدرالية الأساسية حتى للمستخدمين الذين يختارون التصفّح بدون ملفات تعريف الارتباط التابعة لجهات خارجية. باستخدام FedCM، سيظل بإمكان المستخدمين الاشتراك وتسجيل الدخول وتسجيل الخروج باستخدام حساباتهم المُدمَجة في خدمات الربط (RP).

بالإضافة إلى ذلك، يعمل FedCM كـ إشارة ثقة لـ Storage Access API، ما يزيل أي مشاكل في طلبات الوصول إلى مساحة التخزين التي يبدأها موفِّر الهوية.

اختبِر ما إذا كانت عملية الدمج المتعدد للهوية ستستمر في العمل للمستخدمين الذين يختارون التصفّح بدون ملفات تعريف الارتباط التابعة لجهات خارجية من خلال حظر ملفات تعريف الارتباط التابعة لجهات خارجية على Chrome. احرص على اختبار هذه الميزات المعروفة التي يُتوقّع أن تتأثر بقيود ملفات تعريف الارتباط التابعة لجهات خارجية.

تفاعل المستخدِم مع FedCM

تم تصميم FedCM ليكون مستقلاً عن بروتوكول المصادقة، ويقدّم للمستخدم خطوات جديدة للمصادقة مع مقدّم خدمات اعتماد باستخدام موفِّر هوية تابع لجهة خارجية. جرِّب FedCM باستخدام الإصدار التجريبي.

تسجيل الدخول إلى جهة موثوق بها

تتضمّن ميزة "إدارة المحتوى في الوقت الفعلي" وضعَي واجهة مستخدِم: سلبي ونشط.

الوضع التلقائي: لا يتطلب الوضع التلقائي تفاعل المستخدم لظهور طلب FedCM. عندما يصل المستخدم إلى الموقع الإلكتروني للطرف الموثوق به (RP)، قد يظهر مربّع حوار تسجيل الدخول إلى FedCM عند استدعاء navigator.credentials.get() في حال استيفاء الشروط التالية:

سجَّل المستخدم الدخول إلى موفِّر الهوية (IdP).
لم يتم ضبط إعداد فترة التوقف المؤقت لميزة "إدارة الطلبات في الوقت الفعلي" في متصفّح المستخدم.
لم يُوقِف المستخدم ميزة "إدارة الموافقة على مستوى المؤسسة" في إعدادات المتصفّح. اطّلِع على مزيد من المعلومات عن كيفية إيقاف ميزة "إدارة الطلبات المُرسَلة من العملاء".

يُسجِّل مستخدم الدخول إلى نقطة اتصال في نقطة نهاية باستخدام FedCM في الوضع التلقائي.

الوضع النشط: في الوضع النشط، يجب تفعيل المستخدم بشكل مؤقت (مثل النقر على الزر تسجيل الدخول باستخدام…) لعرض طلب FedCM.

يُسجِّل مستخدم الدخول إلى جهة محظورة باستخدام FedCM في الوضع النشط.

يمكن للمستخدم إكمال عملية تسجيل الدخول من خلال النقر على متابعة باسم <user>. وفي حال نجاح العملية، يخزِّن المتصفّح حقيقة أنّ المستخدم قد أنشأ حسابًا موحّدًا على RP باستخدام موفِّر الهوية.

إذا لم يكن لدى المستخدم حساب على مقدّم الخدمة (RP) لدى موفّر الهوية (IdP)، يظهر مربّع حوار تسجيل مع نص بيان الإفصاح الإضافي، مثل بنود خدمة مقدّم الخدمة (RP) و سياسة الخصوصية.

ملاحظة: يتيح مربّع حوار تسجيل الدخول للمستخدمين تسجيل الدخول إلى مقدّم خدمات الدفع باستخدام حسابهم المُدمَج، ولكن لا يجب الاعتماد عليه كموافقة بموجب قوانين الخصوصية على الإنترنت وحماية البيانات في المنطقة الاقتصادية الأوروبية والمملكة المتحدة. إذا تبيّن لك أنّك بحاجة إلى موافقة المستخدم بموجب هذه القوانين لبعض عمليات معالجة البيانات (قد يرجع ذلك إلى أنّك تستخدم بيانات واجهة برمجة التطبيقات لأغراض تتعدى المصادقة، مثل عرض إعلانات مخصّصة للمستخدمين)، عليك الحصول على هذه الموافقة بشكل منفصل عن مربّع حوار FedCM. لمزيد من المعلومات، يُرجى الاطّلاع على الأسئلة الشائعة حول الامتثال للسياسات المتعلّقة بالخصوصية

الامتثال لقوانين الخصوصية الإلكترونية

إنّ استخدام FedCM، سواءً بصفتها مزوّدًا لخدمات الهوية أو مقدّمًا للخدمات، يتطلّب تخزين المعلومات على معدّات المستخدم الطرفية أو الوصول إلى المعلومات المخزّنة فيها، وبالتالي، هو نشاط يخضع لقوانين الخصوصية الإلكترونية في المنطقة الاقتصادية الأوروبية (EEA) والمملكة المتحدة بشكل عام، ويتطلّب موافقة المستخدم. تقع على عاتقك مهمة تحديد ما إذا كان استخدامك لـ FedCM ضروريًا بشكل صارم لتقديم خدمة على الإنترنت طلبها المستخدم صراحةً، وبالتالي يكون معفى من شرط الحصول على موافقة. لمزيد من المعلومات، ننصحك بقراءة الأسئلة الشائعة حول الامتثال للسياسات المتعلّقة بالخصوصية في "مبادرة حماية الخصوصية".

الرؤية

نحن نعمل جاهدين على تطوير ميزات جديدة لحلّ المشاكل الحالية و تقديم تجربة أفضل للمستخدمين.

نحن بصدد استكشاف صيغ تجربة مستخدم أكثر هدوءًا لضمان عملية مصادقة سلسة ومبسّطة وأقل تدخلاً في خصوصية المستخدمين.
نحن ملتزمون بتحسين خصوصية المستخدمين. نخطّط للانتقال إلى نموذج FedCM من الجيل التالي المرتكز على التفويض والذي يخفّف من مشكلة التتبّع في موفّر الهوية. باستخدام NextGen، يمكن للمستخدمين تسجيل الدخول إلى خدمات المعالجة المحدودة بدون أن يتتبّع موفِّر الهوية المستخدم.
تهدف مبادرة FedCM إلى تقديم مجموعة أكبر من موفّري الهوية للمستخدمين، استنادًا إلى اختيار الممثّل عن الطرف الثالث. لتحقيق ذلك، نعمل على واجهتَي برمجة التطبيقات Multi-IdP وIdP Registration.
نعمل جاهدين على دمج FedCM مع طرق مصادقة أخرى، مثل مفاتيح المرور، مع وسائل إضافية، مثل الملء التلقائي، لتقديم تجربة مصادقة موحّدة.

يمكنك الاطّلاع على خارطة الطريق لمعرفة المزيد من التفاصيل.

الخطوات التالية

الإعداد

حضِّر بيئتك لاختبار حلّ الهوية وتطويره باستخدام FedCM API.

تنفيذ FedCM من جانب موفِّر الهوية (IdP)

راجِع كيفية تنفيذ حلّ الهوية باستخدام FedCM من جهة موفِّر الهوية.