निजता बनाए रखने वाले आइडेंटिटी फ़ेडरेशन के लिए वेब एपीआई.
FedCM क्या है?
FedCM (फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट), पहचान की पुष्टि करने की सेवाओं (जैसे, "इससे साइन इन करें") के लिए, निजता बनाए रखने से जुड़ा एक सुझाव है. यह तीसरे पक्ष की कुकी या नेविगेशनल रीडायरेक्ट पर निर्भर नहीं करता.
लागू करने की स्थिति
- Chrome प्लैटफ़ॉर्म का स्टेटस
- FedCM को Chrome 108 में शिप किया गया.
- FedCM प्रस्ताव पर सार्वजनिक बातचीत की जा सकती है.
- FedCM अभी दूसरे ब्राउज़र पर काम नहीं करता.
- Mozilla, Firefox के लिए प्रोटोटाइप लागू कर रहा है और Apple ने FedCM प्रस्ताव पर सामान्य सहायता दी है और साथ मिलकर काम करने में दिलचस्पी दिखाई है.
आइडेंटिटी प्रोवाइडर (आईडीपी), भरोसेमंद पार्टी (आरपी), और ब्राउज़र वेंडर से मिले सुझावों के आधार पर, हम आने वाले समय में कई नई सुविधाएं लॉन्च करने वाले हैं. हमें उम्मीद है कि आइडेंटिटी प्रोवाइडर, FedCM को अपनाएंगे, ध्यान रखें कि FedCM अब भी एक एपीआई के तौर पर काम कर रहा है.
पुराने सिस्टम के साथ काम न करने वाले बदलावों को डिप्लॉय करने से जुड़ी समस्याओं को कम करने के लिए, हम पहचान की पुष्टि करने वाली सेवाओं के लिए दो सुझाव देते हैं:
- हमारे न्यूज़लेटर की सदस्यता लें, जहां हम एपीआई के बेहतर होने पर अपडेट भेजेंगे.
- हमारा सुझाव है कि एपीआई के बेहतर होने तक, आईडीपी, JavaScript SDK टूल का इस्तेमाल करके FedCM API को डिस्ट्रिब्यूट करें. साथ ही, आरपी को SDK टूल को खुद होस्ट करने से बचने के लिए कहें. इससे यह पक्का किया जा सकेगा कि एपीआई के अपडेट होने पर, आईडीपी उसमें बदलाव कर सकें. इसके लिए, उन्हें अपने सभी भरोसेमंद पक्षों से फिर से डिप्लॉय करने के लिए नहीं कहना पड़ेगा.
हमें FedCM की ज़रूरत क्यों है?
पिछले एक दशक में, हर साइट के उपयोगकर्ता नाम और पासवर्ड की तुलना में, पहचान फ़ेडरेशन ने वेब पर पुष्टि करने के मानकों को बढ़ाने में अहम भूमिका निभाई है. जैसे, बिना पासवर्ड के साइन-इन की सुविधा, पासवर्ड के बिना साइन इन करने की सुविधा, और सुरक्षा (उदाहरण के लिए, फ़िशिंग और क्रेडेंशियल स्टफ़िंग अटैक से बचने की क्षमता).
आइडेंटिटी फ़ेडरेशन की मदद से, आरपी (भरोसेमंद पक्ष) किसी आईडीपी (आइडेंटिटी प्रोवाइडर) पर निर्भर करता है, ताकि उपयोगकर्ता को नया उपयोगकर्ता नाम और पासवर्ड डाले बिना खाता दिया जा सके.
माफ़ करें, आइडेंटिटी फ़ेडरेशन के लिए इस्तेमाल किए जाने वाले तरीकों (iframes, रीडायरेक्ट, और कुकी) का इस्तेमाल, वेब पर उपयोगकर्ताओं को ट्रैक करने के लिए किया जा रहा है. उपयोगकर्ता एजेंट, पहचान फ़ेडरेशन और ट्रैकिंग के बीच अंतर नहीं कर पाता. इसलिए, गलत इस्तेमाल के अलग-अलग तरीकों को कम करने के लिए, पहचान फ़ेडरेशन को डिप्लॉय करना ज़्यादा मुश्किल हो जाता है.
फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई (FedCM), वेब पर फ़ेडरेटेड आइडेंटिटी फ़्लो के लिए, इस्तेमाल के उदाहरण के हिसाब से ऐब्स्ट्रक्शन उपलब्ध कराता है. ये ब्राउज़र, मीडिएशन वाले डायलॉग बॉक्स को दिखाते हैं. इस डायलॉग बॉक्स में, उपयोगकर्ताओं को आईडीपी (IdP) से लेकर वेबसाइटों पर लॉगिन करने के लिए खाते चुनने का विकल्प मिलता है.
FedCM वेब पर पहचान को बेहतर बनाने के लिए कई चरणों वाली एक प्रक्रिया है. अपने पहले चरण में, हम फ़ेडरेटेड आइडेंटिटी पर तीसरे पक्ष की कुकी से जुड़ी पाबंदियों के असर को कम करने पर ध्यान दे रहे हैं. कुछ चरणों को पूरा करने के लिए, रोडमैप सेक्शन देखें.
हमें क्या लगता है कि इन पर असर पड़ेगा?
कम्यूनिटी के प्रयास और अपनी रिसर्च से, हमें पता चला है कि पहचान फ़ेडरेशन से जुड़े कुछ इंटिग्रेशन पर, तीसरे पक्ष की कुकी से जुड़ी पाबंदियों का असर पड़ा है:
- OpenID Connect Front-Channel Logout
- OpenID Connect सेशन मैनेजमेंट
- iFrame पर आधारित बैकग्राउंड टोकन का रिन्यूअल
- Iframe पर आधारित लॉगिन विजेट
FedCM का पहला लक्ष्य, तीसरे पक्ष की कुकी से जुड़ी पाबंदियों के असर को कम करना है. इन पाबंदियों का असर इन क्षेत्रों पर पड़ सकता है. अगर इस्तेमाल के ऐसे और मामले हैं जिनके बारे में जानकारी नहीं दी गई है, तो उनसे जुड़ें और सुझाव/राय दें या शिकायत करें.
FedCM का इस्तेमाल किसे करना चाहिए?
हमें उम्मीद है कि FedCM आपके लिए तब ही काम का साबित होगा, जब ये सभी शर्तें लागू हों:
- आप आइडेंटिटी प्रोवाइडर (आईडीपी) हैं.
- आप पर तीसरे पक्ष की कुकी से जुड़ी पाबंदियों का असर पड़ा है.
- आपकी आरपी, तीसरे पक्ष की साइटें हैं. अगर आपके आरपी, काम की मिलती-जुलती साइटें हैं, तो आपको मिलती-जुलती वेबसाइट के सेट से बेहतर सेवा मिल सकती है.
आप आईडीपी (IdP) हैं
FedCM के लिए, पहचान की पुष्टि करने वाली सेवा की ज़रूरत होती है. भरोसेमंद पक्ष स्वतंत्र रूप से FedCM का इस्तेमाल नहीं कर सकता. अगर आप आरपी हैं, तो अपने आईडीपी से निर्देश पाने के लिए कहें.
तीसरे पक्ष की कुकी से जुड़ी पाबंदियों का असर आप पर पड़ा है
आपको FedCM का इस्तेमाल सिर्फ़ तब करना चाहिए, जब तीसरे पक्ष की कुकी से जुड़ी पाबंदियों का असर आपके मौजूदा इंटिग्रेशन पर पड़ रहा हो.
अगर आपको नहीं पता कि तीसरे पक्ष की कुकी उपलब्ध न होने पर, आपका आइडेंटिटी फ़ेडरेशन काम करता रहेगा या नहीं, तो Chrome पर तीसरे पक्ष की कुकी ब्लॉक करके, किसी वेबसाइट पर इसका असर देखा जा सकता है.
अगर तीसरे पक्ष की कुकी के बिना, आपके आइडेंटिटी फ़ेडरेशन पर कोई असर नहीं दिखता है, तो FedCM के बिना अपने मौजूदा इंटिग्रेशन का इस्तेमाल जारी रखा जा सकता है.
अगर आपको नहीं पता कि आपको क्या देखना है, तो उन जानकारी वाली सुविधाओं के बारे में ज़्यादा पढ़ें जिन पर तीसरे पक्ष की कुकी पर लगने वाली पाबंदियों का असर पड़ सकता है.
आपकी आरपी, तीसरे पक्ष के हैं
अगर आप ऐसे आइडेंटिटी प्रोवाइडर हैं जिसकी आरपी, आईडीपी (IdP) के साथ पहले पक्ष की है, तो हम उम्मीद करते हैं कि मिलती-जुलती वेबसाइट के सेट आपके लिए बेहतर विकल्प हो सकते हैं. मिलती-जुलती वेबसाइट के सेट (आरडब्ल्यूएस), एक ऐसा तरीका है जिसकी मदद से कोई संगठन, साइटों के बीच के संबंध की जानकारी दे सकता है. इसकी मदद से, ब्राउज़र खास मकसद के लिए, तीसरे पक्ष की कुकी का सीमित ऐक्सेस दे सकते हैं. इससे तीसरे पक्ष की कुकी, मिलती-जुलती साइटों के सेट के बीच काम कर सकती हैं. भले ही, तीसरे पक्ष की कुकी पर पाबंदी लगी हो.
उपयोगकर्ता FedCM के साथ कैसे इंटरैक्ट करेंगे?
FedCM का मुख्य मकसद, तीसरे पक्ष की कुकी से जुड़ी पाबंदियों के असर को कम करना है. उपयोगकर्ता, Chrome की उपयोगकर्ता सेटिंग में जाकर, FedCM को चालू या बंद कर सकते हैं.
FedCM को प्रोटोकॉल के हिसाब से डिज़ाइन किया गया है. साथ ही, यह पुष्टि करने से जुड़ी ये सुविधाएं देता है.
यह सुविधा कैसे काम करती है, यह जानने के लिए हमारा डेमो देखें.
भरोसेमंद पार्टी में साइन इन करना
जब उपयोगकर्ता, भरोसेमंद पार्टी (आरपी) की वेबसाइट पर पहुंचता है, तो अगर उपयोगकर्ता ने आईडीपी में साइन इन किया हुआ है, तो उसे FedCM साइन-इन डायलॉग दिखेगा.
अगर उपयोगकर्ता के पास आईडीपी के साथ आरपी पर कोई खाता नहीं है, तो साइन-अप डायलॉग बॉक्स दिखता है. इसमें, ज़्यादा जानकारी देने वाला टेक्स्ट दिखता है. जैसे, आरपी की सेवा की शर्तें और निजता नीति, अगर वे उपलब्ध कराई गई हैं.
उपयोगकर्ता, इस तौर पर जारी रखें... पर टैप करके साइन इन कर सकता है. पुष्टि हो जाने पर, ब्राउज़र इस बात को सेव कर लेता है कि उपयोगकर्ता ने आईडीपी की मदद से आरपी पर फ़ेडरेटेड खाता बनाया है.
आरपी उन ब्राउज़र पर काम करते हैं जो FedCM के साथ काम नहीं करते. उपयोगकर्ताओं के पास, किसी मौजूदा और FedCM से अलग साइन-इन प्रोसेस का इस्तेमाल करने की सुविधा होनी चाहिए. FedCM में साइन-इन करने के तरीके के बारे में ज़्यादा जानें.
FedCM को चालू या बंद करने की सेटिंग
उपयोगकर्ता, Android पर Chrome की सेटिंग में जाकर, FedCM को चालू या बंद कर सकते हैं. सेटिंग > साइट की सेटिंग > तीसरे पक्ष की मदद से साइन इन पर जाएं. इसके बाद, टॉगल को बदलें.
डेस्कटॉप पर Chrome के लिए भी ऐसा किया जा सकता है. इसके लिए, chrome://settings/content/federatedIdentityApi
पर जाएं.
प्रॉम्प्ट के लिए कूल डाउन पीरियड
अगर उपयोगकर्ता यूज़र इंटरफ़ेस (यूआई) को मैन्युअल तरीके से बंद करता है, तो सेटिंग यूआई में कुछ समय के लिए एक एंट्री जोड़ी जाएगी. साथ ही, उस वेबसाइट में कुछ समय के लिए यूज़र इंटरफ़ेस (यूआई) नहीं दिखेगा. इस अवधि के बाद, यूज़र इंटरफ़ेस (यूआई) फिर से चालू हो जाएगा. हालांकि, लगातार बंद होने पर इस अवधि को बढ़ा दिया जाएगा. उदाहरण के लिए, Chrome में:
लगातार कितने दिनों तक बंद रहा | वह समयावधि जब FedCM प्रॉम्प्ट को दबा दिया गया है |
---|---|
1 | दो घंटे |
2 | एक दिन |
3 | एक सप्ताह |
4+ | चार हफ़्ते |
अन्य ब्राउज़र, कूलडाउन के लिए अलग-अलग समयावधि तय कर सकते हैं.
उपयोगकर्ता, आरपी पर FedCM को मैन्युअल तरीके से दोबारा चालू कर सकते हैं. इसके लिए, उन्हें सेटिंग पेज पर जाना होगा या PageInfo यूज़र इंटरफ़ेस (यूआरएल बार के बगल में मौजूद लॉक आइकॉन) पर क्लिक करना होगा और अनुमति को रीसेट करना होगा.
रोडमैप
हम FedCM में कई बदलाव करने पर काम कर रहे हैं. ज़्यादा जानकारी के लिए, अपडेट देखें.
- बदलाव का लॉग: Federated Credential Management API के अपडेट.
हमें पता है कि कुछ काम अब भी करने हैं. इनमें वे समस्याएं भी शामिल हैं जिनके बारे में हमें आईडीपी, आरपी, और ब्राउज़र वेंडर से पता चला है. हमें लगता है कि हम इन समस्याओं को हल करने का तरीका जानते हैं:
- क्रॉस-ऑरिजिन iframe के साथ काम करना: आईडीपी, क्रॉस-ऑरिजिन iframe (अपडेट) से FedCM को कॉल कर सकते हैं.
- पसंद के मुताबिक बटन: आईडीपी, साइन-इन बटन पर, वापस आने वाले उपयोगकर्ता की पहचान दिखा सकते हैं. इसके लिए, वे आईडीपी के मालिकाना हक वाले क्रॉस-ऑरिजिन iframe (अपडेट) का इस्तेमाल करते हैं.
- मेट्रिक एंडपॉइंट: यह आईडीपी को परफ़ॉर्मेंस मेट्रिक उपलब्ध कराता है.
इसके अलावा, कुछ समस्याएं ऐसी हैं जिन्हें हम हल करने की कोशिश कर रहे हैं. इनमें कुछ ऐसे सुझाव भी शामिल हैं जिनका हम आकलन कर रहे हैं या जिनका प्रोटोटाइप बना रहे हैं:
- CORS: हम Apple और Mozilla के साथ बातचीत कर रहे हैं, ताकि हम यह पक्का कर सकें कि FedCM फ़ेच की स्पेसिफ़िकेशन को बेहतर बनाया जा सके.
- एक से ज़्यादा आईडीपी एपीआई: हम ऐसे तरीके खोज रहे हैं जिनसे एक से ज़्यादा आईडीपी की सुविधा काम कर सके, ताकि FedCM खाता चुनने की सुविधा में साथ मिलकर काम किया जा सके.
- आईडीपी (IdP) साइन-इन स्टेटस एपीआई: Mozilla ने टाइमिंग अटैक से जुड़ी समस्या की पहचान की है. हम इस समस्या को कम करने के लिए, आईडीपी के लिए ऐसे तरीके खोज रहे हैं जिनसे वह ब्राउज़र को उपयोगकर्ता के साइन-इन स्टेटस की सूचना पहले से दे सके. (अपडेट)
- आईडीपी एपीआई में साइन इन करना: जब कोई उपयोगकर्ता आईडीपी में साइन इन नहीं होता है, तो अलग-अलग स्थितियों में मदद करने के लिए, ब्राउज़र उपयोगकर्ता को एक यूज़र इंटरफ़ेस (यूआई) उपलब्ध कराता है. इसकी मदद से, उपयोगकर्ता आरपी (RP) को छोड़े बिना साइन इन कर सकता है.
आखिर में, Mozilla, Apple, और TAG के समीक्षकों से मिले सुझावों के आधार पर, हमें लगता है कि कुछ और काम करने की ज़रूरत है. हम इन सवालों के सबसे सही जवाबों का आकलन करने पर काम कर रहे हैं:
- उपयोगकर्ता की समझ और इंटेंट को मैच करने की सुविधा को बेहतर बनाना: Mozilla ने बताया है कि हम यूज़र एक्सपीरियंस के अलग-अलग फ़ॉर्मूले और अलग-अलग जगहों पर दिखने वाले विज्ञापनों के साथ-साथ, ट्रिगर करने की शर्तों को एक्सप्लोर करना जारी रखेंगे.
- पहचान से जुड़े एट्रिब्यूट और चुनिंदा जानकारी ज़ाहिर करना: जैसा कि TAG के समीक्षकों ने बताया है, हम आपको एक ऐसा तरीका देना चाहते हैं जिससे पहचान से जुड़े ज़्यादा या कम एट्रिब्यूट (जैसे, ईमेल, उम्र के ब्रैकेट, फ़ोन नंबर वगैरह) को चुनिंदा तौर पर शेयर किया जा सके.
- निजता से जुड़ी प्रॉपर्टी को बेहतर बनाना: जैसा कि Mozilla ने अपने स्टैंडर्ड प्लैटफ़ॉर्म पर सुझाव दिया है. हम निजता की बेहतर गारंटी देने के लिए, प्रोसेस को लगातार एक्सप्लोर करना चाहते हैं. जैसे, आईडीपी ब्लाइंडनेस और डायरेक्ट आइडेंटिफ़ायर.
- WebAuthn के साथ संबंध: Apple के सुझाव के मुताबिक, हम पासकी पर हुई प्रोग्रेस को देखकर बहुत उत्साहित हैं. साथ ही, हम FedCM, Passwords, WebAuthn, और WebOTP के बीच तालमेल बनाकर काम करने की सुविधा पर काम कर रहे हैं.
- लॉगिन स्टेटस: जैसा कि Apple ने Privacy CG के लॉगिन स्टेटस एपीआई के साथ सुझाया है, हम इस बात से सहमत हैं कि उपयोगकर्ता का लॉगिन स्टेटस, जानकारी का एक अहम हिस्सा है. इससे ब्राउज़र को सही फ़ैसले लेने में मदद मिल सकती है. हमें यह देखने में दिलचस्पी है कि इससे क्या-क्या अवसर मिल सकते हैं. (अपडेट)
- एंटरप्राइज़ और शिक्षा: जैसा कि FedID CG में साफ़ तौर पर बताया गया है, अब भी इस्तेमाल के ऐसे कई मामले हैं जो FedCM पर काम नहीं करते, जिन पर हम काम करना चाहते हैं. जैसे, फ़्रंट-चैनल से लॉग आउट करना (आईडीपी की मदद से आरपी को लॉग आउट करने के लिए सिग्नल भेजना) और एसएएमएल के लिए सहायता.
- एमडीएल/वीसी/वगैरह के साथ संबंध: यह समझने के लिए काम करते रहें कि ये FedCM में कैसे फ़िट होते हैं. जैसे कि मोबाइल दस्तावेज़ अनुरोध एपीआई की मदद से.
FedCM API का इस्तेमाल करना
FedCM का इस्तेमाल करने के लिए, आपको Chrome में IdP और RP, दोनों पर सुरक्षित संदर्भ (एचटीटीपीएस या localhost) की ज़रूरत होती है.
FedCM के साथ इंटिग्रेट करने के लिए आपको एक लोकप्रिय फ़ाइल, कॉन्फ़िगरेशन फ़ाइल, और खातों की सूची के लिए एंडपॉइंट फ़ाइल, दावा जारी करने का तरीका, और (वैकल्पिक रूप से) क्लाइंट मेटाडेटा बनाना होगा. इसके बाद, FedCM ऐसे JavaScript API दिखाता है जिनका इस्तेमाल आरपी, आईडीपी के साथ साइन इन करने के लिए कर सकते हैं.
FedCM API का इस्तेमाल करने का तरीका जानने के लिए, FedCM डेवलपर गाइड देखें.
दर्शकों से जुड़ना और सुझाव, राय या शिकायत शेयर करना
- GitHub: एक्सप्लेनर पढ़ें, समस्याएं बढ़ाएं, और चर्चा के लिए आगे बढ़ें.
- डेवलपर सहायता: Privacy Sandbox के डेवलपर सहायता रिपॉज़िटरी पर सवाल पूछें और चर्चाओं में शामिल हों.
ई-निजता कानूनों का पालन करना
FedCM का इस्तेमाल, आईडीपी या आरपी के तौर पर करने पर, उपयोगकर्ता के टर्मिनल डिवाइस पर जानकारी सेव की जाती है या उसमें पहले से सेव की गई जानकारी को ऐक्सेस किया जाता है. इसलिए, यह गतिविधि यूरोपियन इकनॉमिक एरिया (ईईए) और यूनाइटेड किंगडम के ई-निजता कानूनों के दायरे में आती है. आम तौर पर, इसके लिए उपयोगकर्ता की सहमति लेना ज़रूरी होता है. यह तय करना आपकी ज़िम्मेदारी है कि उपयोगकर्ता के अनुरोध पर ऑनलाइन सेवा देने के लिए, FedCM का इस्तेमाल करना वाकई ज़रूरी है या नहीं. अगर ज़रूरी है, तो सहमति की ज़रूरी शर्त से छूट मिल सकती है. ज़्यादा जानकारी के लिए, हमारा सुझाव है कि आप हमारे प्राइवसी सैंडबॉक्स के, निजता से जुड़े नियमों का पालन करने से जुड़े अक्सर पूछे जाने वाले सवाल पढ़ें.