En esta página, se explican los beneficios de FedCM, quiénes deberían considerar implementar FedCM y cómo interactúan los usuarios con FedCM.
La Administración de credenciales federadas (FedCM) es un enfoque centrado en la privacidad y fácil de usar para los servicios de identidad federada (como Acceder con el proveedor de identidad) que no depende de cookies de terceros ni redireccionamientos de navegación.
Con FedCM, se le presenta al usuario una nueva forma de autenticarse en un sitio web con un proveedor de identidad de terceros.
¿Qué es la federación de identidades?
La federación de identidades delega la autenticación o autorización de una persona (usuario o entidad) a un proveedor de identidad externo de confianza (IdP). Luego, el proveedor de identidad permite que la persona acceda al sitio web de un grupo de confianza (RP). Con la integración de identidades, un RP se basa en un IdP para proporcionarle al usuario una cuenta sin requerir un nombre de usuario y una contraseña nuevos.
Con las soluciones de identidad federada, el usuario no tiene que crear otro conjunto de credenciales para cada RP. Esto mejora la experiencia del usuario, reduce las posibilidades de phishing y ayuda a adquirir información verificada del usuario de proveedores de identidad confiables.
Soluciones tradicionales y cookies de terceros
Los mecanismos tradicionales de integración de identidades dependen de iframes, redireccionamientos o cookies de terceros, lo que genera problemas de privacidad. Estas soluciones se pueden aprovechar para hacer un seguimiento de los usuarios en la Web, y los navegadores no pueden distinguir entre los servicios de identidad legítimos y la vigilancia no deseada.
Con la preocupación por la privacidad en mente, los navegadores principales están restringiendo las cookies de terceros. Esto puede afectar algunas funciones. A través del esfuerzo de la comunidad y de nuestra investigación, descubrimos que hay algunas integraciones relacionadas con la identidad de la identidad que se ven afectadas por las restricciones de cookies de terceros.
Federación de identidades con FedCM
El objetivo del FedCM es habilitar estos flujos de autenticación cruciales incluso para los usuarios que navegan con cookies de terceros restringidas.
FedCM es independiente del protocolo: se puede implementar como una solución independiente o como una capa adicional de la que pueden aprovecharse diferentes protocolos. Por ejemplo, un servidor OAuth funcional puede beneficiarse de la experiencia de acceso con un clic mediada por el navegador y la IU intuitiva de FedCM si implementa los extremos de FedCM y, luego, cambia el código de autorización que se muestra en la respuesta de FedCM por un token de acceso de OAuth.
¿Por qué necesitamos FedCM?
En comparación con las soluciones tradicionales, ofrece múltiples beneficios para el ecosistema web, diseñado teniendo en cuenta al usuario, los desarrolladores de RP y los de IdP.
Compatibilidad con soluciones de identidad sin cookies de terceros
El FedCM puede ayudar a reducir la dependencia de las cookies de terceros, que a menudo se usan para hacer un seguimiento de los usuarios en la Web. La API ofrece una experiencia de acceso personalizada incluso para aquellos usuarios que eligen navegar con cookies de terceros restringidas.
FedCM también está integrado con otras APIs de Privacy Sandbox. Por ejemplo, la API de Storage Access usa la autenticación de FedCM como un indicador de confianza. Esta integración es útil para los sitios web que dependen de FedCM para la autenticación y del SAA para permitir que los iframes de origen cruzado accedan al almacenamiento necesario.
Experiencia del usuario mejorada
FedCM presenta un diálogo de IU mediado por el navegador para simplificar el proceso de acceso con un solo toque. La API también aborda el problema de las páginas de acceso desordenadas, que a veces se denomina problema de NASCAR.
En lugar de una gran cantidad de botones de acceso a redes sociales, FedCM proporciona una interfaz más simple y fácil de usar.
Seguridad
El enfoque de identidad federada permite a los usuarios usar cuentas de confianza administradas por los IdP. Con este enfoque, los usuarios no tienen que agregar credenciales a todos los sitios. Esto reduce la superficie de ataque de phishing. Además, en lugar de implementar sus propias medidas de seguridad sólidas, los RP pueden confiar en la experiencia de los IdP que se especializan en la administración de identidades segura.
El objetivo del FedCM es hacer que el flujo de identidad federada sea aún más conveniente para los usuarios y alentarlos a que lo prefieran en lugar de los flujos de identidad menos seguros.
Experiencia personalizada para más usuarios
El FedCM reduce las dificultades de la UX durante el flujo de registro de la cuenta. Los casos de éxito del servicio de identidad de Google muestran que los usuarios prefieren crear cuentas con el flujo de un toque de FedCM en lugar de las opciones de acceso de varios pasos.
Con FedCM, más IdPs pueden ofrecer a sus usuarios una experiencia de acceso con un solo toque. Con más IdP que ofrecen un flujo de identidad de un toque, los usuarios pueden elegir entre una selección más amplia de IdP en los RP. FedCM proporciona un mecanismo de selección de IDps mejorado, ya que presenta a los usuarios las cuentas más relevantes.
Con tasas de registro más altas, los RP pueden ofrecer una experiencia personalizada a más usuarios.
Compatibilidad con diversos proveedores de identidad
El objetivo de la IU simplificada de FedCM es presentarles a los usuarios una lista personalizada de los IDP relevantes.
Con el mecanismo de selección de IdP de FedCM, la elección de IdP del RP ya no se limita al tamaño de la base de usuarios del IdP. Por ejemplo, es posible que una parte de los usuarios tenga una cuenta solo con small-idp.example y no con bigger-idp.example.
Con la función de varios IDps, rp.example puede admitir small-idp.example y bigger-idp.example sin desordenar la IU. Esto beneficia a todas las partes:
- Los usuarios pueden elegir su IdP preferida, sin importar qué tan grande o pequeña sea.
- Los RP llegan a más usuarios a través de la compatibilidad con varios proveedores de IdP
- Las AC con una base de usuarios más pequeña están disponibles en más RP.
¿Quiénes deberían usar FedCM?
Esperamos que FedCM te resulte útil solo si se cumplen estas condiciones:
- Tu objetivo es admitir flujos de identidad federada incluso para los usuarios que optan por navegar sin cookies de terceros.
- Eres un proveedor de identidad (IdP) con RP de terceros. Si tus RP son sitios relacionados de forma significativa, es posible que te resulte más conveniente usar los Conjuntos de sitios web relacionados.
- Tienes tu propia solución de identidad y varios dominios que dependen de ella.
Eres un IdP
FedCM requiere la asistencia de un proveedor de identidad. Una parte de confianza no puede usar FedCM de forma independiente. Si eres un RP, puedes pedirle a tu IdP que te proporcione instrucciones.
Varios RP
Si tus RP son de terceros o tienes más de cuatro RP que usan tu identidad, FedCM es la API recomendada para la identidad federada.
Si eres un proveedor de identidad con hasta cinco RP y estos tienen una relación directa con el IdP, considera usar los conjuntos de sitios web relacionados (RWS). La RWS permite un acceso limitado a las cookies de terceros en conjuntos de sitios relacionados de manera significativa, incluso cuando las cookies de terceros están restringidas de otra manera.
Tu objetivo es admitir el flujo de federación de identidades sin cookies.
FedCM admite flujos de identidad federada esenciales, incluso para los usuarios que optan por navegar sin cookies de terceros. Con FedCM, los usuarios aún pueden registrarse, acceder y salir con sus cuentas federadas en los RP.
Además, FedCM funciona como un indicador de confianza para la API de Storage Access, lo que elimina los inconvenientes de las solicitudes de acceso al almacenamiento que inicia el IdP.
Para probar si tu integración de identidad seguirá funcionando para los usuarios que elijan navegar sin cookies de terceros, bloquea las cookies de terceros en Chrome. Asegúrate de probar estas funciones conocidas que se espera que afecten las restricciones de cookies de terceros.
Interacción del usuario con FedCM
FedCM está diseñado para ser independiente del protocolo de autenticación y le ofrece al usuario un nuevo flujo para autenticarse en un RP con un IdP de terceros. Prueba FedCM con nuestra demo.
Cómo acceder a una parte de confianza
FedCM tiene dos modos de IU: Pasivo y Activo.
Modo pasivo. El modo pasivo no requiere interacción del usuario para que aparezca el mensaje de FedCM. Cuando el usuario llega al sitio web de la parte de confianza (RP), es posible que aparezca un diálogo de acceso de FedCM cuando se llame a navigator.credentials.get() si se cumplen las siguientes condiciones:
- El usuario accedió al IdP.
- El parámetro de configuración de inactividad de FedCM no está configurado en el navegador del usuario.
- El usuario no inhabilitó FedCM en la configuración de su navegador. Obtén más información sobre cómo los usuarios pueden inhabilitar FedCM.
Modo activo: En el modo activo, se requiere una activación del usuario transitoria (como hacer clic en el botón Acceder con…) para activar un mensaje de FedCM.
Para completar el acceso, el usuario debe presionar Continuar como <usuario>. Si se realiza correctamente, el navegador almacena el hecho de que el usuario creó una cuenta federada en el RP con la AC.
Si el usuario no tiene una cuenta en la RP con el IdP, aparece un diálogo de registro con texto de divulgación adicional, como las condiciones del servicio y la política de privacidad de la RP.
.Cumplimiento de las leyes de privacidad en línea
El uso de la FedCM, ya sea como una AC o una RP, implica el almacenamiento de información en el equipo terminal de un usuario o el acceso a la información que ya está almacenada en él, por lo que es una actividad sujeta a las leyes de privacidad en línea del Espacio Económico Europeo (EEE) y el Reino Unido, que generalmente requieren el consentimiento del usuario. Es tu responsabilidad determinar si el uso de FedCM es estrictamente necesario para proporcionar un servicio en línea que el usuario solicitó de forma explícita y, por lo tanto, está exento del requisito de consentimiento. Para obtener más información, te recomendamos que leas nuestras Preguntas frecuentes sobre el cumplimiento relacionado con la privacidad de Privacy Sandbox.
Vision
Estamos desarrollando activamente nuevas funciones para abordar las limitaciones actuales y ofrecer una mejor experiencia del usuario.
- Estamos explorando formulaciones de UX más simples para garantizar un proceso de autenticación intuitivo,suave y menos intrusivo para los usuarios.
- Nos dedicamos a mejorar la privacidad del usuario. Planeamos realizar la transición al modelo de FedCM de nueva generación orientado a la delegación que mitiga el problema de seguimiento de IdP. Con NextGen, los usuarios pueden acceder a las RP sin que el IdP los siga.
- El objetivo de FedCM es presentarles a los usuarios una selección más amplia de proveedores de identidades, según la elección del RP. Para lograrlo, estamos trabajando en las APIs de Multi-IdP y de registro de IdP.
- Estamos trabajando de forma activa para integrar FedCM con otros métodos de autenticación, como las llaves de acceso, con medios adicionales, como Autocompletar, para ofrecer una experiencia de autenticación unificada.
Consulta nuestra hoja de ruta para obtener más detalles.