На этой странице объясняются преимущества FedCM, кому следует рассмотреть возможность внедрения FedCM , а также то, как пользователи взаимодействуют с FedCM .
Федеративное управление учетными данными (FedCM) — это ориентированный на конфиденциальность и удобный для пользователя подход к федеративным службам идентификации (например, вход с помощью поставщика удостоверений ), который не использует сторонние файлы cookie или навигационные перенаправления.
Благодаря FedCM пользователю предоставляется новый способ аутентификации на веб-сайте с помощью стороннего поставщика удостоверений.
Что такое федерация удостоверений
Федерация удостоверений делегирует аутентификацию или авторизацию отдельного лица (пользователя или объекта) доверенному внешнему поставщику удостоверений (IdP). Затем IdP позволяет пользователю войти на веб-сайт проверяющей стороны (RP). При федерации удостоверений RP полагается на IdP, чтобы предоставить пользователю учетную запись, не требуя нового имени пользователя и пароля.
Благодаря решениям федеративной идентификации пользователю не нужно создавать еще один набор учетных данных для каждого RP. Это улучшает взаимодействие с пользователем, снижает вероятность фишинга и помогает получить проверенную информацию о пользователе от надежных поставщиков удостоверений.
Традиционные решения и сторонние файлы cookie
Традиционные механизмы федерации идентификационных данных полагаются на iframe, перенаправления или сторонние файлы cookie, что вызывает проблемы с конфиденциальностью. Эти решения могут быть использованы для отслеживания пользователей в сети, а браузеры не смогут отличить законные службы идентификации от нежелательного наблюдения.
Учитывая соображения конфиденциальности, основные браузеры ограничивают использование сторонних файлов cookie. Это может повлиять на некоторые функции. Благодаря усилиям сообщества и нашим исследованиям мы узнали, что существует несколько интеграций, связанных с федерацией удостоверений, на которые влияют ограничения сторонних файлов cookie.
Объединение удостоверений с FedCM
FedCM стремится обеспечить эти важные процессы аутентификации даже для пользователей, которые предпочитают просматривать сайты с ограниченными сторонними файлами cookie .
FedCM не зависит от протокола: его можно реализовать как автономное решение или как дополнительный уровень, преимущества которого могут использовать разные протоколы. Например, функциональный сервер OAuth может извлечь выгоду из возможности входа в систему одним касанием через браузер и интуитивно понятного пользовательского интерфейса FedCM за счет внедрения конечных точек FedCM и последующего обмена кода авторизации, возвращенного в ответе FedCM, на токен доступа OAuth.
Зачем нам нужен FedCM?
По сравнению с традиционными решениями оно предлагает множество преимуществ для веб-экосистемы, разработанное с учетом потребностей пользователей, разработчиков RP и IdP.
Поддержка решений для идентификации без сторонних файлов cookie
FedCM может помочь снизить зависимость от сторонних файлов cookie, которые часто используются для отслеживания пользователей в Интернете. API предлагает персонализированный вход в систему даже для тех пользователей, которые предпочитают просматривать сайты с ограничением сторонних файлов cookie .
FedCM также интегрирован с другими API-интерфейсами Privacy Sandbox. Например, API доступа к хранилищу использует аутентификацию FedCM в качестве сигнала доверия . Эта интеграция полезна для веб-сайтов, которые полагаются как на FedCM для аутентификации, так и на SAA, чтобы обеспечить доступ iframe из разных источников к необходимому хранилищу.
Улучшенный пользовательский интерфейс
FedCM представляет диалог пользовательского интерфейса, управляемый браузером, для упрощения процесса входа в систему одним касанием. API также решает проблему захламленных страниц входа в систему, которую иногда называют проблемой NASCAR .
Вместо огромного количества кнопок входа в социальные сети FedCM предлагает более простой и удобный интерфейс .
Безопасность
Подход Federated Identity позволяет пользователям использовать доверенные учетные записи, управляемые поставщиками удостоверений. При таком подходе пользователям не нужно добавлять учетные данные на каждый сайт. Это уменьшает вероятность фишинговых атак. Кроме того, вместо внедрения собственных надежных мер безопасности RP могут полагаться на опыт IdP, которые специализируются на безопасном управлении идентификацией.
FedCM стремится сделать федеративный поток удостоверений еще более удобным для пользователей, побуждая их предпочитать его менее безопасным потокам удостоверений.
Персонализированный опыт для большего количества пользователей
FedCM снижает сложность UX во время регистрации учетной записи. Тематические исследования Google Identity Service показывают, что пользователи предпочитают создавать учетные записи с помощью функции One Tap от FedCM, а не многоэтапных вариантов входа.
Благодаря FedCM больше поставщиков удостоверений личности могут предложить своим пользователям возможность входа в систему одним касанием. Поскольку все больше IdP предлагают идентификацию одним касанием, пользователи могут выбирать из более широкого выбора IdP на RP. FedCM обеспечивает улучшенный механизм выбора IdP, предоставляя пользователям наиболее подходящие учетные записи .
Благодаря более высокому уровню регистрации RP могут предложить персонализированный опыт большему количеству пользователей.
Поддержка различных поставщиков удостоверений
Упрощенный пользовательский интерфейс FedCM призван предоставить пользователям персонализированный список соответствующих IdP . Благодаря механизму выбора IdP FedCM выбор IdP для RP больше не ограничивается размером пользовательской базы IdP. Например, часть пользователей может иметь учетную запись только с small-idp.example , а не с bigger-idp.example .
Благодаря функции Multi-IdP rp.example может поддерживать как small-idp.example , так и bigger-idp.example не загромождая пользовательский интерфейс. Это выгодно всем сторонам:
- Пользователи могут выбирать предпочитаемого IdP, независимо от его размера.
- RP охватывают больше пользователей благодаря разнообразной поддержке IdP
- IdP с меньшей базой пользователей доступны на большем количестве RP.
Кому следует использовать FedCM?
Мы ожидаем, что FedCM будет вам полезен только при соблюдении следующих условий:
- Вы стремитесь поддерживать федеративные потоки идентификации даже для пользователей, которые предпочитают просматривать сайты без сторонних файлов cookie.
- Вы являетесь поставщиком удостоверений (IdP) со сторонними RP. Если ваши RP являются значимо связанными сайтами, возможно, вам лучше подойдут наборы связанных веб-сайтов .
- У вас есть собственное решение для идентификации и несколько доменов, использующих его.
Вы являетесь удостоверением личности
FedCM требуется поддержка со стороны поставщика удостоверений. Доверяющая сторона не может использовать FedCM самостоятельно. Если вы являетесь RP, вы можете попросить своего IdP предоставить инструкции.
Несколько RP
Если ваши RP являются сторонними или у вас более четырех RP, использующих ваше решение для идентификации, FedCM является рекомендуемым API для федеративной идентификации.
Если вы являетесь поставщиком удостоверений и имеете до пяти RP, и эти RP имеют непосредственное отношение к IdP, рассмотрите возможность использования наборов связанных веб-сайтов (RWS) . RWS допускает ограниченный доступ к сторонним файлам cookie для наборов значимо связанных сайтов, даже если сторонние файлы cookie ограничены иным образом.
Вы стремитесь поддерживать процесс федерации удостоверений без использования файлов cookie.
FedCM поддерживает основные федеративные потоки идентификации даже для пользователей, которые выбирают просмотр без сторонних файлов cookie. С помощью FedCM пользователи по-прежнему могут регистрироваться, входить и выходить из своих федеративных учетных записей на RP.
Кроме того, FedCM служит сигналом доверия для API доступа к хранилищу, устраняя трудности при запросах доступа к хранилищу, инициируемых IdP.
Проверьте, будет ли ваша федерация идентификации продолжать работать для пользователей, которые предпочитают просматривать сайты без сторонних файлов cookie, заблокировав сторонние файлы cookie в Chrome . Обязательно протестируйте эти известные функции , на которые, как ожидается, будут влиять ограничения сторонних файлов cookie.
Взаимодействие пользователя с FedCM
FedCM не зависит от протокола аутентификации и предлагает пользователю новый процесс аутентификации на RP со сторонним IdP . Попробуйте FedCM с нашей демо-версией .
Войдите в проверяющую сторону
FedCM имеет два режима пользовательского интерфейса: пассивный и активный .
Пассивный режим . Пассивный режим не требует взаимодействия с пользователем для появления приглашения FedCM. Когда пользователь попадает на веб-сайт проверяющей стороны (RP), при вызове navigator.credentials.get() может появиться диалоговое окно входа в систему FedCM, если выполняются следующие условия:
- Пользователь вошел в IdP.
- Настройка времени восстановления FedCM не установлена в браузере пользователя.
- Пользователь не отключил FedCM в настройках браузера . Узнайте больше о том, как пользователи могут отказаться от участия в FedCM.
Активный режим . В активном режиме для запуска запроса FedCM требуется временная активация пользователя (например, «Войти с помощью… ».
Пользователь может завершить вход, нажав Продолжить как <пользователь> . В случае успеха браузер сохраняет тот факт, что пользователь создал федеративную учетную запись на RP с IdP.
Если у пользователя нет учетной записи на RP с IdP, появится диалоговое окно регистрации с дополнительным текстом раскрытия, таким как условия обслуживания RP и политика конфиденциальности.
Соблюдение законов о конфиденциальности электронной почты
Использование FedCM в качестве IdP или RP предполагает хранение информации на конечном оборудовании пользователя или доступ к информации, уже хранящейся в нем, и, следовательно, является деятельностью, подпадающей под действие законов о конфиденциальности электронной информации в Европейской экономической зоне (ЕЭЗ) и Великобритании. обычно требуется согласие пользователя. Вы несете ответственность за определение того, является ли использование FedCM строго необходимым для предоставления онлайн-услуг, явно запрошенных пользователем, и, следовательно, освобождается от требования согласия. Для получения дополнительной информации мы рекомендуем вам прочитать часто задаваемые вопросы о соблюдении конфиденциальности в Privacy Sandbox.
Зрение
Мы активно разрабатываем новые функции, чтобы устранить текущие ограничения и улучшить взаимодействие с пользователем.
- Мы изучаем более тихие формулировки UX, чтобы обеспечить плавный, интуитивно понятный и менее навязчивый процесс аутентификации для пользователей.
- Мы стремимся улучшить конфиденциальность пользователей. Мы планируем перейти на модель NextGen FedCM, ориентированную на делегирование, которая смягчает проблему отслеживания IdP. С помощью NextGen пользователи могут входить в систему с помощью RP без того, чтобы IdP следовал за пользователем.
- FedCM стремится предоставить пользователям более широкий выбор IdP в зависимости от выбора RP. Для достижения этой цели мы работаем над API Multi-IdP и IdP Registration.
- Мы активно работаем над интеграцией FedCM с другими методами аутентификации, такими как ключи доступа, с дополнительными средствами, такими как автозаполнение, чтобы обеспечить унифицированный процесс аутентификации.
Более подробную информацию можно найти в нашей дорожной карте .