Cette page explique les avantages de FedCM, les personnes qui devraient envisager d'implémenter FedCM et la façon dont les utilisateurs interagissent avec FedCM.
La gestion fédérée des identifiants (FedCM) est une approche centrée sur la confidentialité et conviviale pour les services d'identité fédérée (comme Se connecter avec un fournisseur d'identité) qui ne repose pas sur des cookies tiers ni sur des redirections de navigation.
Avec FedCM, l'utilisateur dispose d'une nouvelle méthode d'authentification sur un site Web avec un fournisseur d'identité tiers.
Qu'est-ce que la fédération d'identité ?
La fédération d'identité délègue l'authentification ou l'autorisation d'une personne (utilisateur ou entité) à un fournisseur d'identité (IdP) externe approuvé. Le fournisseur d'identité autorise ensuite l'utilisateur à se connecter au site Web d'une partie de confiance (RP). Avec la fédération d'identités, un RP s'appuie sur un IdP pour fournir à l'utilisateur un compte sans qu'il ait besoin de créer un nouveau nom d'utilisateur et de mot de passe.
Avec les solutions d'identité fédérée, l'utilisateur n'a pas besoin de créer un autre ensemble d'identifiants pour chaque RP. Cela améliore l'expérience utilisateur, réduit les risques d'hameçonnage et permet d'acquérir des informations utilisateur validées auprès de fournisseurs d'identité fiables.
Solutions traditionnelles et cookies tiers
Les mécanismes de fédération d'identité traditionnels reposent sur des iFrames, des redirections ou des cookies tiers, ce qui pose des problèmes de confidentialité. Ces solutions peuvent être exploitées pour suivre les utilisateurs sur le Web, et les navigateurs ne sont pas en mesure de faire la distinction entre des services d'identité légitimes et une surveillance indésirable.
Compte tenu des préoccupations liées à la confidentialité, les principaux navigateurs limitent les cookies tiers. Cela peut avoir une incidence sur certaines fonctionnalités. Grâce aux efforts de la communauté et à nos recherches, nous avons appris que certaines intégrations liées à la fédération de l'identité sont affectées par les restrictions liées aux cookies tiers.
Fédération d'identité avec FedCM
FedCM vise à activer ces flux d'authentification cruciaux, même pour les utilisateurs qui choisissent de naviguer avec les cookies tiers limités.
FedCM est indépendant des protocoles: il peut être implémenté en tant que solution autonome ou en tant que couche supplémentaire que différents protocoles peuvent exploiter. Par exemple, un serveur OAuth fonctionnel peut bénéficier de l'expérience de connexion en un seul geste et de l'interface utilisateur intuitive de FedCM en implémentant des points de terminaison FedCM, puis en échangeant le code d'autorisation renvoyé dans la réponse de FedCM contre un jeton d'accès OAuth.
Pourquoi avons-nous besoin de FedCM ?
Par rapport aux solutions traditionnelles, elle offre de nombreux avantages pour l'écosystème Web, conçu en tenant compte de l'utilisateur, des développeurs de RP et des fournisseurs d'identité.
Prise en charge des solutions d'identité sans cookies tiers
Le CM fédéré peut aider à réduire la dépendance vis-à-vis des cookies tiers, qui sont souvent utilisés pour suivre les utilisateurs sur le Web. L'API offre une expérience de connexion personnalisée, même pour les utilisateurs qui choisissent de naviguer avec les cookies tiers limités.
FedCM est également intégré à d'autres API Privacy Sandbox. Par exemple, l'API Storage Access utilise l'authentification FedCM comme signal de confiance. Cette intégration est utile pour les sites Web qui s'appuient à la fois sur FedCM pour l'authentification et sur le SAA pour permettre aux iFrames inter-origines d'accéder au stockage nécessaire.
Amélioration de l'expérience utilisateur
FedCM introduit une boîte de dialogue d'interface utilisateur via le navigateur pour simplifier le processus de connexion en un seul geste. L'API résout également le problème des pages de connexion encombrées, parfois appelé problème NASCAR.
Au lieu d'un nombre écrasant de boutons de connexion aux réseaux sociaux, FedCM offre une interface plus simple et conviviale.
Sécurité
L'approche d'identité fédérée permet aux utilisateurs d'utiliser des comptes approuvés gérés par des fournisseurs d'identité. Avec cette approche, les utilisateurs n'ont pas besoin d'ajouter d'identifiants à chaque site. Cela réduit la surface d'attaque par hameçonnage. De plus, au lieu d'implémenter leurs propres mesures de sécurité robustes, les RP peuvent s'appuyer sur l'expertise des IdP spécialisés dans la gestion sécurisée des identités.
FedCM vise à rendre le flux d'identité fédérée encore plus pratique pour les utilisateurs, en les encourageant à le préférer aux flux d'identité moins sécurisés.
Expérience personnalisée pour plus d'utilisateurs
Le FedCM réduit les frictions liées à l'expérience utilisateur lors du processus d'inscription au compte. Les études de cas de Google Identity Service montrent que les utilisateurs préfèrent créer des comptes avec le parcours en un seul geste de FedCM aux options de connexion en plusieurs étapes.
Grâce à FedCM, davantage de fournisseurs d'identité peuvent offrir à leurs utilisateurs une expérience de connexion en un seul geste. Avec davantage de fournisseurs d'identité proposant un flux d'identité en un seul geste, les utilisateurs peuvent choisir parmi une sélection plus large de fournisseurs d'identité sur les RP. FedCM fournit un mécanisme de sélection d'IDP amélioré en présentant aux utilisateurs les comptes les plus pertinents.
Avec des taux d'inscription plus élevés, les RP peuvent offrir une expérience personnalisée à davantage d'utilisateurs.
Compatibilité avec différents fournisseurs d'identité
L'interface utilisateur simplifiée de FedCM vise à présenter aux utilisateurs une liste personnalisée des IDP pertinents.
Avec le mécanisme de sélection des IdP de FedCM, le choix des IdP par le RP n'est plus limité par la taille de la base d'utilisateurs de l'IdP. Par exemple, une partie des utilisateurs ne peut avoir de compte qu'avec small-idp.example et non avec bigger-idp.example.
Grâce à la fonctionnalité Multi-IDP, rp.example est compatible avec small-idp.example et bigger-idp.example sans encombrer l'interface utilisateur. Cela profite à toutes les parties:
- Les utilisateurs peuvent choisir l'IDP de leur choix, qu'il soit grand ou petit.
- Les RP touchent plus d'utilisateurs grâce à la prise en charge de divers fournisseurs d'identité
- Les IdP disposant d'une base d'utilisateurs plus petite sont disponibles sur un plus grand nombre de RP.
À qui s'adresse FedCM ?
FedCM ne vous sera utile que si les conditions suivantes sont remplies:
- Vous souhaitez prendre en charge les flux d'identité fédérée, même pour les utilisateurs qui choisissent de naviguer sans cookies tiers.
- Vous êtes un fournisseur d'identité (IdP) avec des RP tiers. Si vos RP sont des sites associés, les ensembles de sites Web associés peuvent être plus adaptés.
- Vous disposez de votre propre solution d'identité et plusieurs domaines en dépendent.
Vous êtes un IdP
FedCM nécessite l'assistance d'un fournisseur d'identité. Un tiers de confiance ne peut pas utiliser le FedCM de manière indépendante. Si vous êtes un RP, vous pouvez demander à votre IdP de vous fournir des instructions.
Plusieurs RP
Si vos RP sont tierces ou si vous avez plus de quatre RP qui utilisent votre solution d'identité, FedCM est l'API recommandée pour l'identité fédérée.
Si vous êtes un fournisseur d'identité avec jusqu'à cinq RP et que les RP ont une relation propriétaire avec l'IdP, envisagez d'utiliser des ensembles de sites Web associés. Le RWS permet un accès limité des cookies tiers à des ensembles de sites associés, même lorsque les cookies tiers sont autrement limités.
Vous souhaitez prendre en charge le flux de fédération d'identité sans cookie.
FedCM est compatible avec les flux d'identité fédérée essentiels, même pour les utilisateurs qui choisissent de naviguer sans cookies tiers. Avec FedCM, les utilisateurs peuvent toujours s'inscrire, se connecter et se déconnecter avec leurs comptes fédérés sur les RP.
De plus, FedCM sert de signal de confiance pour l'API Storage Access, ce qui élimine les frictions pour les requêtes d'accès au stockage lancées par l'IdP.
Pour vérifier si votre fédération d'identité continuera de fonctionner pour les utilisateurs qui choisissent de naviguer sans cookies tiers, bloquez les cookies tiers dans Chrome. Veillez à tester ces fonctionnalités connues qui devraient être affectées par les restrictions de cookies tiers.
Interaction utilisateur avec FedCM
FedCM est conçu pour être indépendant du protocole d'authentification et offre à l'utilisateur un nouveau flux pour s'authentifier auprès d'un RP avec un IdP tiers. Essayez FedCM avec notre démo.
Se connecter à un tiers de confiance
FedCM propose deux modes d'interface utilisateur: Passif et Actif.
Mode passif Le mode passif ne nécessite aucune interaction de l'utilisateur pour que l'invite FedCM s'affiche. Lorsque l'utilisateur accède au site Web de la partie de confiance (RP), une boîte de dialogue de connexion FedCM peut s'afficher lorsque navigator.credentials.get() est appelé si les conditions suivantes sont remplies:
- L'utilisateur est connecté au fournisseur d'identité.
- Le paramètre de délai avant expiration de la fonctionnalité FedCM n'est pas défini dans le navigateur de l'utilisateur.
- L'utilisateur n'a pas désactivé FedCM dans les paramètres de son navigateur. Découvrez comment les utilisateurs peuvent désactiver FedCM.
Mode actif En mode actif, une activation temporaire de l'utilisateur (par exemple, cliquer sur le bouton Se connecter avec) est requise pour déclencher une invite FedCM.
L'utilisateur peut terminer la connexion en appuyant sur Continuer en tant que <user>. Si la connexion aboutit, le navigateur stocke le fait que l'utilisateur a créé un compte fédéré sur le RP avec l'IDP.
Si l'utilisateur ne dispose pas d'un compte sur le RP avec l'IDP, une boîte de dialogue de connexion s'affiche avec un texte d'information supplémentaire, tel que les conditions d'utilisation et les règles de confidentialité du RP.
.Respect des lois sur la confidentialité en ligne
L'utilisation de la FedCM, en tant qu'IDP ou RP, implique le stockage d'informations sur l'équipement terminal d'un utilisateur ou l'accès à des informations déjà stockées dans celui-ci. Il s'agit donc d'une activité soumise aux lois sur la confidentialité électronique dans l'Espace économique européen (EEE) et au Royaume-Uni, qui nécessite généralement le consentement de l'utilisateur. Il est de votre responsabilité de déterminer si votre utilisation de FedCM est strictement nécessaire pour fournir un service en ligne explicitement demandé par l'utilisateur et est donc exemptée de l'obligation de consentement. Pour en savoir plus, nous vous invitons à consulter les questions fréquentes sur la conformité liées à la confidentialité de la Privacy Sandbox.
Vision
Nous développons activement de nouvelles fonctionnalités pour répondre aux limites actuelles et offrir une meilleure expérience utilisateur.
- Nous étudions des formulations d'expérience utilisateur plus discrètes pour garantir un processus d'authentification fluide,intuitif et moins intrusif pour les utilisateurs.
- Nous nous engageons à améliorer la confidentialité des utilisateurs. Nous prévoyons de passer au modèle FedCM NextGen axé sur la délégation, qui atténue le problème de suivi des fournisseurs d'identité. Avec NextGen, les utilisateurs peuvent se connecter aux RP sans que l'IDP ne les suive.
- Le FedCM vise à proposer aux utilisateurs un plus grand choix d'IDP, en fonction du choix du RP. Pour ce faire, nous travaillons sur les API Multi-IdP et IdP Registration.
- Nous travaillons activement à l'intégration de FedCM à d'autres méthodes d'authentification, telles que les clés d'accès, avec des moyens supplémentaires tels que la saisie automatique, afin de proposer une expérience d'authentification unifiée.
Pour en savoir plus, consultez notre feuille de route.