プライバシー保護する ID 連携用のウェブ API。
FedCM とは
FedCM(Federated Credential Management)は、プライバシーを保護する アプローチ(「...でログインする」など)を使用して、 ユーザーは自分の個人情報を ID サービスまたはサイトから保護できます。
実装ステータス
- Chrome プラットフォームのステータス
- FedCM は Chrome 108 で実装されています。
- FedCM の提案は一般公開されています。
- FedCM は、他のブラウザではまだサポートされていません。
- Mozilla は Firefox 用のプロトタイプを実装しており、Apple は一般的なサポートを表明しており、FedCM 提案への協力に興味を示しています。
今後も、Google の API に基づく多数の新機能を導入し、 ID プロバイダ(IdP)、証明書利用者(RP)から受け取ったフィードバックに基づいて ブラウザベンダーですGoogle は ID プロバイダが FedCM を導入したいと考えていますが、 明らかにしています。
下位互換性のない変更をデプロイする際の課題を最小限に抑えるために、ID プロバイダに関して 2 つの推奨事項があります。
- Google の ニュースレターを から更新が送信されます。
- IdP では JavaScript SDK を使用して FedCM API を配布することをおすすめしますが、 API の成熟化が進んでいるため、RP による SDK の自己ホスティングを抑止するため。これにより、 IdP が API の進化に合わせて変更できるようにする。 再デプロイする必要があります。
FedCM が必要な理由
この 10 年間、ID 連携は、人々の生活をよりよいものにするうえで 信頼性、使いやすさの点で、ウェブでの認証のハードルが高まりました。 セキュリティ(たとえば、パスワードレスのシングル ログインなど)とセキュリティ(たとえば、 フィッシングやクレデンシャル スタッフィング攻撃に対する耐性) 構成します。
ID 連携では、RP(リライング パーティ)が IdP(ID provider など)を使用して、新しいユーザー名を必要とすることなく、ユーザーにアカウントを提供できます。 確認します。
残念ながら、ID 連携が依存してきたメカニズム(iframe、 リダイレクトや Cookie など)は、ウェブ全体でユーザーをトラッキングするために積極的に悪用されています。 ユーザー エージェントは ID 連携と ID の連携と さまざまなタイプの不正行為の軽減策として、 ID 連携が複雑になります。
Federated Credential Management API (FedCM)は、ユースケース固有の ブラウザを公開することで、ウェブ上のフェデレーション ID フローを抽象化できます。 ユーザーが IdP からログインするアカウントを選択できるメディエーション向けダイアログ ウェブサイト。
FedCM は、ウェブ上の ID を改善するための、複数のステップからなる取り組みです。以前の 最初のステップとして、サードパーティ Cookie の制限による影響の低減に注力します フェデレーション ID について(いくつかの手順については、ロードマップのセクションを参照) 。
<ph type="x-smartling-placeholder">どのような影響が予想されますか?
コミュニティ 労力 調査の結果から、ID 連携に関連するいくつかの サードパーティ Cookie の制限の影響を受ける統合について説明します。
- OpenID Connect フロントチャネル ログアウト
- OpenID Connect セッション 管理
- iframe ベースのバックグラウンド トークン 更新
- iframe ベースのログイン ウィジェット
FedCM の 1 つ目の目標は、サードパーティ Cookie の制限が 影響を受けると予想される領域は次のとおりです。条件 ここに記載されていないその他のユースケースがある場合は、フィードバックを共有してください。
FedCM の利用者
FedCM が役に立つのは、以下のすべての条件に該当する場合のみです。
- ID プロバイダ(IdP)である。
- サードパーティ Cookie の制限の影響を受けている。
- RP がサードパーティのサイトである。RP が有意義に関連するサイトであれば、 提供元: Related Website セット。
あなたは IdP です
FedCM を使用するには、ID プロバイダのサポートが必要です。証明書利用者は FedCM を独自に開発しました。RP の場合は、IdP にリソースの提供を できます。
サードパーティ Cookie の制限の影響を受けている
FedCM は、現在の統合が サードパーティ Cookie の制限も 適用されます
ID 連携が引き続き機能するかどうか不明な場合は、 サードパーティの Cookie が利用できない場合、 Chrome でのサードパーティ Cookie のブロックをご覧ください。
ID 連携に検出可能な影響がない場合は、 現在の統合を引き続き使用できます。その際、 FedCM、
何を確認すればよいかわからない場合は、既知の 機能 サードパーティ Cookie の制限による影響が予想される場合に、
RP がサードパーティである
RP に IdP とファースト パーティの関係がある ID プロバイダの場合は、関連ウェブサイト セットが必要です。 の方が適しています。関連ウェブサイト セット(RWS)は、組織がサイト間の関係を宣言するための手段です。ブラウザでは、特定の目的のために制限付きのサードパーティ Cookie へのアクセスを許可できます。これにより、サードパーティ Cookie が制限されていても、意味のある関連のある一連のサイト間で機能するようになります。
ユーザーは FedCM をどのように操作しますか?
FedCM はサードパーティ Cookie の影響を軽減することに主眼を置いている あります。ユーザーは、Chrome のユーザー インターフェースで FedCM を有効または無効にできます。 設定をご覧ください。
FedCM はプロトコルに依存しないように設計されており、次の機能を提供します。 認証関連の機能が用意されています。
デモで仕組みをご確認ください。
証明書利用者にログインする
<ph type="x-smartling-placeholder">ユーザーが証明書利用者(RP)ウェブサイトにアクセスすると、FedCM ログイン ダイアログが表示されます は、ユーザーが IdP にログインしている場合に表示されます。
ユーザーが IdP を使用する RP にアカウントを持っていない場合は、登録ダイアログが表示されます。 追加の開示テキスト(RP の利用規約や プライバシー ポリシーを提供します。
ユーザーは [次の名前とメールアドレスで続行] をタップしてログインを完了します。成功すると、 ユーザーが連携アカウントを作成したという事実をブラウザが RP に保存する 関連付けられています
RP は、FedCM に対応していないブラウザで動作します。ユーザーは FedCM 以外の既存のログイン プロセスを使用できるようになります。詳しくは、 ログインが FedCM で機能するをご覧ください。
FedCM を有効または無効にする設定
ユーザーは Android の Chrome の設定で、FedCM を有効または無効にできます。次に移動: [設定] >サイトの設定 >サードパーティのログイン] を選択し、 切り替えます。
パソコンの Chrome でも同じことができます。
chrome://settings/content/federatedIdentityApi
。
ロードマップ
Google は、FedCM に対するさまざまな変更の実現に取り組んでいます。詳しくは、 詳しくは、更新をご覧ください。
- 変更履歴: Federated Credential Management API の更新。
対処が必要な問題がいくつかありますが、その中には お聞きになったことがあるかもしれません。私たちは 次の問題を解決します:
- クロスオリジンの iframe のサポート: IdP は、内部から FedCM を呼び出すことができます。 クロスオリジン iframe(更新)。
- パーソナライズされたボタン: IdP は IdP が所有するクロスオリジン iframe 内からログインボタンをコピーできるようになりました(更新)。
- 指標エンドポイント: IdP にパフォーマンス指標を提供します。
さらに、Google が積極的に調査している未解決の問題もあります。たとえば、 評価またはプロトタイピング中の具体的な提案
- CORS: Apple と Mozilla を使用して、 FedCM フェッチの仕様です。
- Multiple-IdP API: Google では現在、複数の IdP を単一の IdP と FedCM Account Chooser があります。
- IdP Sign-in Status API: Mozilla がタイミング攻撃を特定 という問題があり ユーザーのログインをブラウザに事前に通知するための IdP を設定 ステータスを 問題を軽減します。(更新)。
- Sign in to IdP API: 使用しない場合は、ユーザーが IdP にログインすると、ユーザーがログインするための UI がブラウザに表示される できます。
最後に、フィードバックに基づき、改善の余地があると考えることがいくつかあります。 送信者 Mozilla、 Apple とタグ付け 審査担当者。 現在、以下の自由回答形式の質問に対して最適なソリューションの評価に取り組んでいます。
- ユーザーの理解度とマッチング インテントを改善: Mozilla 記載、 さまざまな UX の定式化や対象領域を 引き続き検討し トリガー条件を指定できます
- 身元の属性と選択的開示: TAG 審査担当者 記載、 選択的に共有する ID を増減できるメカニズムを 属性(メールアドレス、年齢層、電話番号など)もサポートします。
- プライバシー プロパティの向上: Mozilla が推奨 標準的な立場にある 今後もプライバシーの保護を強化するメカニズムを模索していきます。 保証(IdP ブラインドネス、ダイレクト ID など)です。
- WebAuthn との関係: Apple、 2022 年のクラウド移行の進捗を パスキーを定め、一貫性があり、 FedCM、Passwords、WebAuthn、WebOTP の間で一貫性のあるエクスペリエンスが提供されます。
- ログイン ステータス: Apple が Privacy CG のログイン ステータスで推奨 API を活用すれば、 ユーザーのログイン ステータスは、ブラウザが 情報に基づいた意思決定ができるようになります。どのようなチャンスが生まれるかを できます。(更新)。
- 企業と教育機関: FedID CG で明らかなように、 よく使う ケース FedCM の取り組みが不十分な場合に、 フロントチャネル ログアウト(IdP が RP にシグナルを SAML をサポートしています。
- モバイル運転免許証 / VC などとの関係: これらがどのように役立つのか、引き続き把握する たとえば、Mobile Document Request(モバイル ドキュメント リクエスト) API を使用します。
FedCM API を使用する
FedCM を使用するには、Chrome の IdP と RP の両方で安全なコンテキスト(HTTPS または localhost)が必要です。
FedCM と統合するには、よく知られたファイル、構成ファイル、アカウント リスト、アサーション発行、(任意)クライアント メタデータ用のエンドポイントを作成する必要があります。その後、FedCM は RP が IdP でログインするために使用できる JavaScript API を公開します。
FedCM API の使用方法については、FedCM デベロッパー ガイドをご覧ください。
対応してフィードバックを共有する
- GitHub: explainer、raise ディスカッションをフォローします。
- デベロッパー サポート: プライバシー サンドボックス デベロッパー サポート リポジトリをご覧ください。
e プライバシー法の遵守
FedCM を IdP または RP として使用すると、インフラストラクチャに関する情報が保存され、 ユーザーの端末機器やその端末に保存されている情報へのアクセス、 欧州経済領域の e プライバシー法が適用される活動で (EEA)と英国では通常、ユーザーの同意を必須としています。お客様の責任において、 特定のサービスを提供するために FedCM の使用が厳密に必要であるかどうかを 明示的に要求されないため、 同意に関する要件詳細については、Google のプライバシー ポリシーに関する サンドボックス プライバシー関連のコンプライアンス よくある質問