หน้านี้จะอธิบายประโยชน์ของ FedCM, ผู้ที่ควรพิจารณาใช้ FedCM และวิธีที่ผู้ใช้โต้ตอบกับ FedCM
การจัดการข้อมูลเข้าสู่ระบบแบบรวมศูนย์ (FedCM) เป็นแนวทางที่เน้นความเป็นส่วนตัวและใช้งานง่ายสำหรับบริการข้อมูลประจำตัวแบบรวมศูนย์ (เช่น ลงชื่อเข้าใช้ด้วยผู้ให้บริการข้อมูลประจำตัว) ที่ไม่ใช้คุกกี้ของบุคคลที่สามหรือการเปลี่ยนเส้นทางการนําทาง
เมื่อใช้ FedCM ผู้ใช้จะเห็นวิธีใหม่ในการตรวจสอบสิทธิ์ในเว็บไซต์ด้วยผู้ให้บริการข้อมูลประจำตัวของบุคคลที่สาม
การรวมศูนย์ข้อมูลระบบตัวตนคืออะไร
การรวมข้อมูลประจำตัวจะมอบสิทธิ์การตรวจสอบสิทธิ์หรือการให้สิทธิ์ของบุคคล (ผู้ใช้หรือนิติบุคคล) ให้แก่ผู้ให้บริการข้อมูลประจำตัวภายนอก (IdP) ที่เชื่อถือได้ จากนั้น IdP จะอนุญาตให้บุคคลลงชื่อเข้าใช้เว็บไซต์ของบุคคลที่เชื่อถือ (RP) เมื่อใช้การรวมข้อมูลประจำตัว RP จะอาศัย IdP ในการสร้างบัญชีให้ผู้ใช้โดยไม่ต้องใช้ชื่อผู้ใช้และรหัสผ่านใหม่
เมื่อใช้โซลูชันการรวมข้อมูลประจำตัวแบบรวมศูนย์ ผู้ใช้จะไม่ต้องสร้างข้อมูลเข้าสู่ระบบชุดอื่นสำหรับ RP ทุกรายการ ซึ่งจะช่วยปรับปรุงประสบการณ์ของผู้ใช้ ลดความเป็นไปได้ที่จะมีฟิชชิง และช่วยรับข้อมูลผู้ใช้ที่ยืนยันแล้วจากผู้ให้บริการข้อมูลประจำตัวที่เชื่อถือได้
โซลูชันแบบดั้งเดิมและคุกกี้ของบุคคลที่สาม
กลไกการรวมข้อมูลระบุตัวตนแบบดั้งเดิมอาศัย iframe, การเปลี่ยนเส้นทาง หรือคุกกี้ของบุคคลที่สาม ซึ่งทำให้เกิดข้อกังวลเรื่องความเป็นส่วนตัว โซลูชันเหล่านี้อาจถูกนำไปใช้ประโยชน์ในการติดตามผู้ใช้ทั่วทั้งเว็บ และเบราว์เซอร์ไม่สามารถแยกแยะระหว่างบริการระบุตัวตนที่ถูกต้องตามกฎหมายกับการเฝ้าติดตามที่ไม่พึงประสงค์
เบราว์เซอร์หลักๆ กําลังจํากัดคุกกี้ของบุคคลที่สามโดยคํานึงถึงความกังวลด้านความเป็นส่วนตัว ซึ่งอาจส่งผลต่อฟังก์ชันบางอย่าง จากความร่วมมือของชุมชนและการวิจัย เราพบว่ามีการผสานรวมที่เกี่ยวข้องกับการรวมข้อมูลเกี่ยวกับข้อมูลระบุตัวตน 2-3 รายการที่ได้รับผลกระทบจากข้อจำกัดเกี่ยวกับคุกกี้ของบุคคลที่สาม
การรวมศูนย์ข้อมูลประจำตัวด้วย FedCM
FedCM มีเป้าหมายเพื่อเปิดใช้ขั้นตอนการตรวจสอบสิทธิ์ที่สำคัญเหล่านี้สำหรับผู้ใช้ที่เลือกท่องเว็บโดยจำกัดคุกกี้ของบุคคลที่สามด้วย
FedCM เป็นโปรโตคอลที่ไม่เจาะจง ซึ่งสามารถติดตั้งใช้งานเป็นโซลูชันแบบสแตนด์อโลนหรือเป็นเลเยอร์เพิ่มเติมที่โปรโตคอลต่างๆ ใช้ประโยชน์ได้ ตัวอย่างเช่น เซิร์ฟเวอร์ OAuth ที่ใช้งานได้สามารถใช้ประโยชน์จากประสบการณ์การเข้าสู่ระบบแบบแตะครั้งเดียวที่สื่อผ่านเบราว์เซอร์ของ FedCM และ UI ที่ใช้งานง่ายได้โดยใช้ปลายทาง FedCM จากนั้นแลกเปลี่ยนรหัสการให้สิทธิ์ที่แสดงในการตอบกลับของ FedCM เพื่อรับโทเค็นการเข้าถึง OAuth
เหตุใดเราจึงต้องใช้ FedCM
เมื่อเทียบกับโซลูชันแบบดั้งเดิม โซลูชันนี้ให้ประโยชน์หลายประการสำหรับระบบนิเวศของเว็บ โดยออกแบบมาโดยคำนึงถึงผู้ใช้ นักพัฒนาแอป RP และ IdP
การรองรับโซลูชันการระบุตัวตนที่ไม่มีคุกกี้ของบุคคลที่สาม
FedCM ช่วยลดการพึ่งพาคุกกี้ของบุคคลที่สาม ซึ่งมักใช้ในการติดตามผู้ใช้ทั่วทั้งเว็บ API นี้มอบประสบการณ์การลงชื่อเข้าใช้ที่ปรับเปลี่ยนในแบบของคุณให้กับผู้ใช้ แม้กระทั่งผู้ใช้ที่เลือกท่องเว็บโดยจำกัดคุกกี้ของบุคคลที่สาม
นอกจากนี้ FedCM ยังผสานรวมกับ Privacy Sandbox API อื่นๆ ด้วย ตัวอย่างเช่น Storage Access API ใช้การตรวจสอบสิทธิ์ FedCM เป็นสัญญาณความน่าเชื่อถือ การผสานรวมนี้มีประโยชน์สําหรับเว็บไซต์ที่ใช้ทั้ง FedCM เพื่อการรับรองและ SAA เพื่อเปิดใช้ iframe ข้ามแหล่งที่มาในการเข้าถึงพื้นที่เก็บข้อมูลที่จําเป็น
ประสบการณ์ของผู้ใช้ที่ดีขึ้น
FedCM เปิดตัวกล่องโต้ตอบ UI ที่สื่อผ่านเบราว์เซอร์เพื่อกระบวนการเข้าสู่ระบบด้วยการแตะครั้งเดียวที่ง่ายขึ้น นอกจากนี้ API ยังช่วยแก้ปัญหาหน้าการเข้าสู่ระบบที่รก ซึ่งบางครั้งเรียกว่าปัญหา NASCAR
FedCM มีอินเทอร์เฟซที่ใช้งานง่ายกว่าแทนปุ่มเข้าสู่ระบบโซเชียลจำนวนมาก
ความปลอดภัย
แนวทางข้อมูลประจำตัวแบบรวมศูนย์ช่วยให้ผู้ใช้ใช้บัญชีที่เชื่อถือซึ่งจัดการโดยผู้ให้บริการข้อมูลประจำตัวได้ วิธีนี้ช่วยให้ผู้ใช้ไม่ต้องเพิ่มข้อมูลเข้าสู่ระบบในเว็บไซต์ทุกแห่ง ซึ่งจะช่วยลดพื้นที่ในการโจมตีแบบฟิชชิง นอกจากนี้ RP ยังใช้ความเชี่ยวชาญของ IdP ที่มีความเชี่ยวชาญด้านการจัดการข้อมูลประจำตัวที่ปลอดภัยแทนการใช้มาตรการรักษาความปลอดภัยที่มีประสิทธิภาพของตนเองได้
FedCM มีเป้าหมายเพื่อทําให้ขั้นตอนการระบุตัวตนแบบรวมศูนย์สะดวกยิ่งขึ้นสําหรับผู้ใช้ เพื่อกระตุ้นให้ผู้ใช้เลือกใช้วิธีนี้แทนขั้นตอนการระบุตัวตนที่ปลอดภัยน้อยกว่า
ประสบการณ์ที่ปรับเปลี่ยนในแบบของคุณสำหรับผู้ใช้จำนวนมากขึ้น
FedCM จะลดปัญหาที่อาจเกิดขึ้นกับ UX ในระหว่างขั้นตอนการลงชื่อสมัครใช้บัญชี กรณีศึกษาของบริการระบุตัวตนของ Google แสดงให้เห็นว่าผู้ใช้ต้องการสร้างบัญชีด้วยขั้นตอนการลงชื่อเข้าใช้แบบ "แตะครั้งเดียว" ของ FedCM มากกว่าตัวเลือกการลงชื่อเข้าใช้แบบหลายขั้นตอน
FedCM จะช่วยให้ IdP จำนวนมากขึ้นมอบประสบการณ์การลงชื่อเข้าใช้แบบแตะครั้งเดียวให้แก่ผู้ใช้ได้ เมื่อ IdP จำนวนมากขึ้นเสนอขั้นตอนการระบุตัวตนแบบแตะครั้งเดียว ผู้ใช้จะเลือก IdP ต่างๆ ใน RP ได้มากขึ้น FedCM มีกลไกการเลือก IdP ที่ปรับปรุงแล้วโดยแสดงบัญชีที่เกี่ยวข้องมากที่สุดต่อผู้ใช้
อัตราการลงชื่อสมัครใช้ที่สูงขึ้นจะช่วยให้ RP มอบประสบการณ์การใช้งานที่ปรับเปลี่ยนในแบบของคุณให้แก่ผู้ใช้ได้มากขึ้น
การรองรับผู้ให้บริการข้อมูลประจำตัวที่หลากหลาย
UI ที่เรียบง่ายของ FedCM มีจุดประสงค์เพื่อแสดงรายการIdP ที่เกี่ยวข้องที่ปรับตามโปรไฟล์ของผู้ใช้
เมื่อใช้กลไกการเลือก IdP ของ FedCM ตัวเลือก IdP ของ RP จะไม่จำกัดด้วยฐานผู้ใช้ของ IdP อีกต่อไป เช่น ผู้ใช้บางส่วนอาจมีบัญชีกับ small-idp.example เท่านั้น และไม่มีบัญชีกับ bigger-idp.example
ฟีเจอร์ Multi-IdP จะช่วยให้ rp.example รองรับทั้ง small-idp.example และ bigger-idp.example ได้โดยไม่ทำให้ UI รก ซึ่งจะเป็นประโยชน์ต่อทุกฝ่าย ดังนี้
- ผู้ใช้สามารถเลือก IdP ที่ต้องการได้ไม่ว่าจะเล็กหรือใหญ่
- RP เข้าถึงผู้ใช้ได้มากขึ้นผ่านการรองรับ IdP ที่หลากหลาย
- IdP ที่มีฐานผู้ใช้น้อยกว่าจะพร้อมใช้งานใน RP จำนวนมากขึ้น
ผู้ที่ควรใช้ FedCM
เราคาดว่า FedCM จะเป็นประโยชน์ต่อคุณก็ต่อเมื่อเป็นไปตามเงื่อนไขต่อไปนี้
- คุณมุ่งสนับสนุนขั้นตอนการระบุตัวตนแบบรวมศูนย์สำหรับผู้ใช้ที่เลือกท่องเว็บโดยไม่มีคุกกี้ของบุคคลที่สามด้วย
- คุณเป็นผู้ให้บริการข้อมูลประจำตัว (IdP) ที่มี RP บุคคลที่สาม หาก RP เป็นเว็บไซต์ที่เกี่ยวข้องอย่างมีความหมาย คุณอาจได้รับประโยชน์จากชุดเว็บไซต์ที่เกี่ยวข้องมากกว่า
- คุณมีโซลูชันข้อมูลประจำตัวของคุณเองและมีโดเมนหลายรายการที่ใช้โซลูชันดังกล่าว
คุณคือ IdP
FedCM ต้องใช้การสนับสนุนจากผู้ให้บริการข้อมูลประจำตัว บุคคลที่เชื่อถือใช้ FedCM ได้อย่างอิสระไม่ได้ หากคุณเป็น RP คุณสามารถขอให้ IdP ระบุวิธีการ
RP หลายรายการ
หาก RP เป็นบุคคลที่สาม หรือคุณมี RP มากกว่า 4 รายที่ใช้โซลูชันข้อมูลประจำตัวของคุณ เราขอแนะนำให้ใช้ FedCM เป็น API สำหรับข้อมูลประจำตัวภายนอก
หากคุณเป็นผู้ให้บริการข้อมูลประจำตัวที่มี RP ไม่เกิน 5 ราย และ RP เหล่านั้นมีความสัมพันธ์แบบบุคคลที่หนึ่งกับ IdP ให้พิจารณาใช้ชุดเว็บไซต์ที่เกี่ยวข้อง (RWS) RWS อนุญาตให้เข้าถึงคุกกี้ของบุคคลที่สามแบบจํากัดในชุดเว็บไซต์ที่เกี่ยวข้องอย่างมีความหมาย แม้ว่าจะมีการจํากัดคุกกี้ของบุคคลที่สามก็ตาม
คุณต้องการรองรับขั้นตอนการรวมศูนย์ข้อมูลประจำตัวแบบไม่ใช้คุกกี้
FedCM รองรับขั้นตอนการระบุตัวตนแบบรวมศูนย์ที่สำคัญสำหรับผู้ใช้ที่เลือกท่องเว็บโดยไม่มีคุกกี้ของบุคคลที่สาม เมื่อใช้ FedCM ผู้ใช้จะยังคงลงชื่อสมัครใช้ ลงชื่อเข้าใช้ และออกจากระบบด้วยบัญชีที่รวมศูนย์ใน RP ได้
นอกจากนี้ FedCM ยังทำหน้าที่เป็นสัญญาณความน่าเชื่อถือสําหรับ Storage Access API ซึ่งช่วยลดความยุ่งยากสําหรับคําขอเข้าถึงพื้นที่เก็บข้อมูลที่ IdP เป็นผู้เริ่ม
ทดสอบว่าการรวมข้อมูลระบุตัวตนจะยังคงทำงานต่อไปสำหรับผู้ใช้ที่เลือกท่องเว็บโดยไม่มีคุกกี้ของบุคคลที่สามหรือไม่โดยการบล็อกคุกกี้ของบุคคลที่สามใน Chrome อย่าลืมทดสอบฟีเจอร์ที่ทราบเหล่านี้ซึ่งคาดว่าข้อจำกัดของคุกกี้ของบุคคลที่สามจะส่งผลกระทบ
การโต้ตอบของผู้ใช้กับ FedCM
FedCM ออกแบบมาให้ไม่เกี่ยวข้องกับโปรโตคอลการตรวจสอบสิทธิ์ และมอบรูปแบบใหม่ให้ผู้ใช้ตรวจสอบสิทธิ์กับ RP ด้วย IdP ของบุคคลที่สาม ลองใช้ FedCM ด้วยเดโม
ลงชื่อเข้าใช้กับบุคคลที่เชื่อถือ
FedCM มี UI 2 โหมด ได้แก่ แบบไม่ทำงานและแบบทำงาน
โหมดสแตนด์บาย โหมดนี้ไม่จําเป็นต้องให้ผู้ใช้ในการโต้ตอบเพื่อให้พรอมต์ FedCM ปรากฏขึ้น เมื่อผู้ใช้ไปที่เว็บไซต์ของบุคคลที่เชื่อถือ (RP) กล่องโต้ตอบการลงชื่อเข้าใช้ FedCM อาจปรากฏขึ้นเมื่อมีการเรียก navigator.credentials.get() หากเป็นไปตามเงื่อนไขต่อไปนี้
- ผู้ใช้ลงชื่อเข้าใช้ IdP แล้ว
- ไม่ได้ตั้งค่าการตั้งค่าระยะเวลาพักของ FedCM ในเบราว์เซอร์ของผู้ใช้
- ผู้ใช้ไม่ได้ปิดใช้ FedCM ในการตั้งค่าเบราว์เซอร์ ดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่ผู้ใช้เลือกไม่ใช้ FedCM ได้
โหมดทำงาน ในโหมดที่ใช้งานอยู่ จำเป็นต้องมีการเปิดใช้งานผู้ใช้ชั่วคราว (เช่น การคลิกปุ่มลงชื่อเข้าใช้ด้วย…) เพื่อเรียกใช้ข้อความแจ้งของ FedCM
ผู้ใช้ลงชื่อเข้าใช้ให้เสร็จสมบูรณ์ได้โดยแตะต่อไปในฐานะ <ผู้ใช้> หากลงชื่อเข้าใช้สำเร็จ เบราว์เซอร์จะจัดเก็บข้อมูลว่าผู้ใช้ได้สร้างบัญชีที่รวมศูนย์ใน RP ด้วย IdP แล้ว
หากผู้ใช้ไม่มีบัญชีใน RP ที่มี IdP กล่องโต้ตอบการลงชื่อสมัครใช้จะปรากฏขึ้นพร้อมข้อความการเปิดเผยข้อมูลเพิ่มเติม เช่น ข้อกำหนดในการให้บริการและนโยบายความเป็นส่วนตัวของ RP
การปฏิบัติตามกฎหมายว่าด้วยความเป็นส่วนตัวทางอิเล็กทรอนิกส์
การใช้ FedCM ไม่ว่าจะในฐานะ IdP หรือ RP ก็ตาม เกี่ยวข้องกับการจัดเก็บข้อมูลในอุปกรณ์ปลายทางของผู้ใช้หรือการเข้าถึงข้อมูลที่จัดเก็บไว้แล้วในอุปกรณ์ดังกล่าว และด้วยเหตุนี้จึงเป็นกิจกรรมที่อยู่ภายใต้กฎหมายความเป็นส่วนตัวทางอิเล็กทรอนิกส์ในเขตเศรษฐกิจยุโรป (EEA) และสหราชอาณาจักร ซึ่งโดยทั่วไปแล้วต้องได้รับความยินยอมจากผู้ใช้ คุณมีหน้าที่รับผิดชอบในการพิจารณาว่าการใช้ FedCM ของคุณจําเป็นอย่างยิ่งในการให้บริการออนไลน์ที่ผู้ใช้ร้องขออย่างชัดเจนหรือไม่ และด้วยเหตุนี้จึงได้รับการยกเว้นจากข้อกําหนดความยินยอม หากต้องการข้อมูลเพิ่มเติม เราขอแนะนำให้คุณอ่านคำถามที่พบบ่อยเกี่ยวกับการปฏิบัติตามข้อกำหนดด้านความเป็นส่วนตัวของ Privacy Sandbox
การมองเห็น
เรากําลังพัฒนาฟีเจอร์ใหม่ๆ เพื่อแก้ไขข้อจํากัดในปัจจุบันและมอบประสบการณ์การใช้งานที่ดีขึ้นแก่ผู้ใช้
- เรากําลังสํารวจสูตร UX ที่เรียบง่ายเพื่อให้กระบวนการตรวจสอบสิทธิ์ราบรื่น ใช้งานง่าย และรบกวนผู้ใช้น้อยลง
- เรามุ่งมั่นที่จะปรับปรุงความเป็นส่วนตัวของผู้ใช้ เราวางแผนที่จะเปลี่ยนไปใช้รูปแบบ FedCM รุ่นถัดไปที่เน้นการมอบสิทธิ์ ซึ่งจะช่วยลดปัญหาการติดตามของผู้ให้บริการข้อมูลประจำตัว เมื่อใช้ NextGen ผู้ใช้จะเข้าสู่ระบบใน RP ได้โดยไม่ต้องให้ IdP ติดตามผู้ใช้
- FedCM มีเป้าหมายเพื่อนำเสนอ IdP ให้เลือกแก่ผู้ใช้ในวงกว้างขึ้น โดยอิงตามตัวเลือกของ RP เรากำลังพัฒนา Multi-IdP และ IdP Registration API เพื่อบรรลุเป้าหมายนี้
- เรากําลังทํางานอย่างเต็มที่เพื่อผสานรวม FedCM เข้ากับวิธีการตรวจสอบสิทธิ์อื่นๆ เช่น พาสคีย์ ร่วมกับวิธีอื่นๆ เช่น การป้อนข้อความอัตโนมัติ เพื่อมอบประสบการณ์การตรวจสอบสิทธิ์แบบรวม
ดูรายละเอียดเพิ่มเติมได้ที่แผนงาน