Federated Credential Management API 개요

개인 정보를 보호하는 ID 제휴를 위한 웹 API

FedCM이란 무엇인가요?

개인 정보를 보호하는 FedCM (Federated Credential Management) '... 계정으로 로그인' 등 제휴 ID 서비스에 대한 접근 방식 사용자는 자신의 개인 정보를 Google 계정에 공유하지 않고도 사용자를 식별할 수 있습니다.

구현 상태

• Chrome 플랫폼 상태
• FedCM은 Chrome 108에서 제공됩니다.
• FedCM 제안은 공개 토론을 위해 공개되어 있습니다.
• FedCM은 아직 다른 브라우저에서 지원되지 않습니다.
  • Mozilla는 Firefox용 프로토타입을 구현하고 있으며, Apple은 FedCM 제안서를 위해 협력하고 싶다는 일반적인 지원과 관심을 표명했습니다.

앞으로 여러 가지 새로운 기능을 도입할 예정입니다. ID 공급업체 (IdP), 신뢰 당사자 (RP)로부터 받은 의견 브라우저 공급업체와 관련이 있습니다. ID 공급업체가 FedCM을 채택하기를 바라지만 FedCM이 여전히 개발 중인 API임을 확인합니다.

이전 버전과 호환되지 않는 변경사항을 배포하는 데 따르는 문제를 최소화하기 위해 Google은 ID 공급업체에 다음과 같은 두 가지 권장사항을 추천합니다.

• 구독하기: 뉴스레터를 읽겠습니다. API가 발전함에 따라 업데이트를 전송합니다.
• IdP는 JavaScript SDK를 사용하여 FedCM API를 배포하는 것이 좋지만 API가 발전하고 있으므로 RP가 자체 호스팅 SDK를 사용하지 않도록 하기 위함입니다. 이렇게 하면 API가 발전함에 따라 IdP가 변경할 수 있도록 배포할 수 있게 해 줍니다

FedCM이 필요한 이유는 무엇인가요?

지난 10년간 ID 제휴는 신뢰성, 사용 편의성 측면에서 웹 인증 기준 보안(예: 암호 없는 단일 로그인) 및 보안 (예: 피싱 및 크리덴셜 스터핑 공격에 대한 저항력)가 2배 높았습니다. 사용자 이름 및 비밀번호

ID 제휴를 사용하면 RP (신뢰 당사자)가 IdP (ID)를 provider)를 통해 사용자에게 새 사용자 이름을 요구하지 않고 계정을 제공할 수 있습니다. 비밀번호를 입력합니다.

안타깝게도 ID 제휴에서 사용하던 메커니즘 (iframe, 리디렉션 및 쿠키)가 웹 전반에서 사용자를 추적하기 위해 적극적으로 악용되고 있습니다. 사용자 에이전트가 ID 제휴와 ID 제휴를 구분할 수 없기 때문입니다. 다양한 유형의 악용에 대한 완화 방법을 더 어렵습니다

Federated Credential Management API (FedCM): 사용 사례별 웹상의 제휴 ID 흐름을 위한 추상화 사용자가 IdP에서 로그인할 계정을 선택하여 로그인할 수 있는 중재 대화상자 있습니다.

FedCM은 웹에서 ID를 개선하기 위한 여러 단계의 여정입니다. 내부 Google은 서드 파티 쿠키 제한의 영향을 줄이기 위한 첫 번째 단계로 (몇 가지 단계는 로드맵 섹션 참고) 추가).

<ph type="x-smartling-placeholder">

</ph>

어떤 부분이 영향을 받을 것으로 예상되나요?

커뮤니티를 통해 노력 조사 결과 ID 제휴와 관련된 몇 가지 서드 파티 쿠키 제한의 영향을 받는 통합:

• OpenID Connect 프런트 채널 로그아웃
• OpenID Connect 세션 관리
• iframe 기반 백그라운드 토큰 갱신
• iframe 기반 로그인 위젯

FedCM의 첫 번째 목표는 서드 파티 쿠키 제한이 쿠키 사용에 미치는 영향을 줄이는 것입니다. 이러한 것들이 영향을 받을 것으로 예상되는 영역입니다. 만약 사용 사례가 나열되지 않은 경우 참여하고 의견을 공유할 수 있습니다.

누가 FedCM을 사용해야 하나요?

FedCM은 다음 조건을 모두 충족하는 경우에만 유용하게 사용할 수 있습니다.

1. ID 공급업체 (IdP)인 경우
2. 서드 파티 쿠키 제한의 영향을 받은 경우
3. RP는 서드 파티 사이트입니다. RP가 유의미하게 관련된 사이트인 경우 광고가 더 잘 게재될 수 있습니다. 관련 웹사이트 세트

IdP인 경우

FedCM을 사용하려면 ID 공급업체의 지원이 필요합니다. 신뢰 당사자가 FedCM은 독립적으로 운영됩니다. RP인 경우 IdP에 요청하여 참조하세요.

서드 파티 쿠키 제한의 영향을 받은 경우

현재 통합이 서드 파티 쿠키 제한

다음 상황에서 ID 제휴가 계속 작동하는지 확실하지 않은 경우 서드 파티 쿠키를 사용할 수 없는 경우 Chrome에서 서드 파티 쿠키 차단

ID 제휴에 대해 검색 가능한 영향이 없는 경우 서드 파티 쿠키를 사용하지 않는 경우 FedCM

무엇을 확인해야 할지 잘 모르겠다면 알려진 기능 영향을 줄 수 있습니다.

RP가 서드 파티임

RP가 IdP와 퍼스트 파티 관계가 있는 ID 공급업체인 경우 관련 웹사이트 세트가 필요합니다. 더 나은 옵션이 될 수 있습니다 관련 웹사이트 세트 (RWS)는 브라우저가 특정 목적을 위해 제한된 서드 파티 쿠키 액세스를 허용하도록 조직에서 사이트 간 관계를 선언하는 방법입니다. 이를 통해 서드 파티 쿠키가 제한되더라도 유의미한 관련성 높은 여러 사이트 사이에서 서드 파티 쿠키가 작동할 수 있습니다.

사용자는 FedCM과 어떻게 상호작용하나요?

FedCM의 주된 목표는 서드 파티 쿠키의 영향을 완화하는 것입니다. 제한되기 때문입니다. 사용자는 Chrome 사용자에서 FedCM을 사용 설정 또는 사용 중지할 수 있습니다. 설정을 참조하세요.

FedCM은 프로토콜에 구애받지 않도록 설계되었으며 다음과 같은 기능을 제공합니다. 인증 관련 기능을 제공합니다

• ID 공급업체를 사용하여 신뢰 당사자에 로그인

데모를 확인하여 작동 방식을 알아보세요.

신뢰 당사자에 로그인

<ph type="x-smartling-placeholder">

</ph>

사용자가 신뢰 당사자 (RP) 웹사이트를 방문하면 FedCM 로그인 대화상자 사용자가 IdP에 로그인하면 표시됩니다.

사용자가 IdP를 사용하는 RP에 계정이 없는 경우 가입 대화상자 RP의 서비스 약관 및 개인정보처리방침을 제공합니다.

사용자는 다음으로 계속을 탭하여 로그인을 완료할 수 있습니다. 성공하면 브라우저가 사용자가 RP에 제휴 계정을 생성했다는 사실을 저장합니다. 연결할 수 있습니다

RP는 FedCM을 지원하지 않는 브라우저에서 작동합니다. 사용자는 다음과 같아야 합니다. FedCM 외의 기존의 로그인 프로세스를 사용할 수 있습니다. 방법에 대해 자세히 알아보기 로그인해야 합니다.

FedCM을 사용 설정 또는 사용 중지하기 위한 설정

사용자는 Android용 Chrome 설정에서 FedCM을 사용 설정하거나 사용 중지할 수 있습니다. 이동 설정 > 사이트 설정 > 서드 파티 로그인을 선택한 다음 전환

데스크톱의 Chrome에서도 chrome://settings/content/federatedIdentityApi

로드맵

Google에서는 FedCM에 많은 변경사항을 적용하기 위해 노력하고 있습니다. 자세한 내용은 업데이트에서 자세한 내용을 확인하세요.

• 변경 로그: Federated Credential Management API 업데이트.

Google에서 해결해야 할 문제를 비롯하여 아직 해결해야 할 몇 가지 사항이 있습니다. IdP, RP 및 브라우저 공급업체로부터 알게 되었습니다. Google은 사이버 보안에 대한 해결할 수 있습니다.

• 교차 출처 iframe 지원: IdP는 교차 출처 iframe (업데이트)
• 맞춤설정 버튼: IdP는 재사용자의 ID를 IdP 소유의 교차 출처 iframe (업데이트) 내의 로그인 버튼
• 측정항목 엔드포인트: IdP에 성능 측정항목을 제공합니다.

또한 다음을 비롯하여 현재 적극적으로 탐색 중인 미해결 문제도 있습니다. 평가하거나 프로토타입을 제작 중인 구체적인 제안은 다음과 같습니다.

• CORS: Apple과 논의하고 있으며 Mozilla 지정할 수 있습니다
• 다중 IdP API: Google은 다중 IdP를 지원하는 다중 IdP API IdP는 FedCM 계정 선택기
• IdP Sign-in Status API: Mozilla는 타이밍 공격 살펴봤으며 IdP에서 브라우저에 사용자의 로그인을 사전에 알릴 수 있습니다. 상태를 문제를 완화하세요 (업데이트)
• Sign in to IdP API: 다양한 IdP 시나리오와 같이 처리할 수 있습니다. 로그인하면 브라우저에서 사용자가 로그인할 수 있는 UI를 제공합니다. RP를 종료하지 않고

마지막으로, 사용자 의견을 바탕으로 아직 개선이 필요하다고 생각되는 부분이 있습니다 최저가: Mozilla Apple 및 TAG 검토자 Google은 다음과 같은 미해결 질문에 가장 적합한 솔루션을 평가하기 위해 노력하고 있습니다.

• 사용자 이해도 및 매칭 인텐트 개선: Mozilla 참고, 우리는 계속해서 다양한 UX 공식과 표면 영역을 탐구하고 트리거 기준도 제공합니다
• 신원 속성 및 선택적 공개: TAG 검토자 참고, Google은 사용자의 신원을 더 많이 또는 더 적게 공유할 수 있는 메커니즘을 제공하려고 합니다. 속성 (예: 이메일, 연령대, 전화번호 등)
• 개인 정보 보호 속성 높이기: Mozilla에서 권장하는 대로 표준 위치로 Google은 더 나은 개인 정보 보호 기능을 제공하기 위한 메커니즘을 계속 모색하고 있습니다. 보장(예: IdP 블라인드, 방향성 식별자)을 지원합니다
• WebAuthn과의 관계: Apple, 생성형 AI의 발전을 패스키를 사용하고 일관성 있고 안전한 FedCM, 비밀번호, WebAuthn 및 WebOTP 간의 일관된 경험을 제공합니다.
• 로그인 상태: Apple에서 개인정보 보호 CG의 로그인 상태 API를 기반으로 하는 경우, 우리는 사용자의 로그인 상태는 브라우저의 상태 확인에 도움이 되는 유용한 정보입니다. 정보에 입각한 결정을 내리고 어떤 기회가 발생하는지 무척 기대됩니다. 사용할 수 있습니다. (업데이트)
• 기업 및 교육: FedID CG에서 명시한 것처럼 여전히 많이 사용함 케이스 FedCM에서 제대로 지원하지 않는 프런트 채널 로그아웃 (IdP가 logout) 및 SAML 지원이 포함됩니다.
• mDL/VC 등과의 관계: mDL/VC 등과의 관계: mDL/VC 등의 FedCM에 적합(예: 모바일 문서 요청) API를 참고하세요.

FedCM API 사용

FedCM을 사용하려면 Chrome의 IdP 및 RP 모두에 보안 컨텍스트 (HTTPS 또는 localhost)가 필요합니다.

FedCM과 통합하려면 계정 목록, 어설션 발급, 클라이언트 메타데이터 (선택사항)에 대해 잘 알려진 파일, 구성 파일, 엔드포인트를 생성해야 합니다. 여기에서 FedCM은 RP가 IdP로 로그인하는 데 사용할 수 있는 JavaScript API를 노출합니다.

FedCM API 사용 방법을 알아보려면 FedCM 개발자 가이드를 참고하세요.

참여 및 의견 공유

• GitHub: 설명, 올리기 문제를 해결하고 토론을 팔로우합니다.
• 개발자 지원: 개인 정보 보호 섹션에서 질문하고 토론에 참여할 수 있습니다. 샌드박스 개발자 지원 저장소를 참조하세요.

온라인 개인 정보 보호법 준수

FedCM을 IdP 또는 RP로 사용하면 사용자의 단말기 또는 이미 저장된 정보에 대한 액세스로부터 발생하며, 따라서 유럽 경제 지역의 온라인 개인 정보 보호법이 적용되는 활동은 (EEA) 및 일반적으로 사용자 동의가 필요한 영국의 경우 귀하의 책임입니다. FedCM 사용이 엄격히 필요하여 명시적으로 요청한 온라인 서비스 '서비스'를 사용할 수 있으며 있습니다. 자세한 내용은 Google의 개인 정보 보호 샌드박스 개인 정보 보호 관련 규정 준수 FAQ를 참조하세요.