Federated Credential Management API'sine genel bakış

Gizliliği koruyan kimlik federasyonu için bir web API'si.

FedCM nedir?

FedCM (Birleşik Kimlik Bilgisi Yönetimi), gizliliği korumaya yönelik bir (ör. "... ile oturum aç" gibi) kabul ederek Kullanıcılar, kişisel bilgilerini kimlik hizmeti veya site.

Uygulama durumu

• Chrome Platformunun Durumu
• FedCM, Chrome 108 ile gönderildi.
• FedCM teklifi herkese açık tartışmaya açık.
• FedCM henüz diğer tarayıcılarda desteklenmemektedir.
  • Mozilla, Firefox için bir prototip uyguluyor ve Apple, FedCM teklifi üzerinde birlikte çalışmak gerektiğini genel olarak desteklediğini belirtti.

İleride çeşitli yeni özellikleri kullanıma sunmayı planlıyoruz. Kimlik sağlayıcılardan (IdP) aldığımız geri bildirimler, bağlı taraflardan (RP) tarayıcı tedarikçi firmaları. Kimlik sağlayıcıların FedCM'yi benimsemesini ümit etsek de FedCM'nin hâlâ aktif geliştirme aşamasında olan bir API olduğunu belirtmek isterim.

Geriye dönük uyumsuz değişiklikleri dağıtmanın zorluklarını en aza indirmek için kimlik sağlayıcılara yönelik iki önerimiz var:

• Şuna abone olun: bültene API geliştikçe güncellemeler gönderir.
• IdP'lerin, API olgunlaşıyor. Bu nedenle, RP'leri kendi kendine barındıran SDK'lardan caydırmak için API'nin olgunlaşmasını bekliyoruz. Bu, IdP'lerin, API geliştikçe tüm onayları istemek zorunda kalmadan değişiklik yapabilmelerini sağlamak. diğer tarafların yeniden dağıtım yapmasına izin verebilir.

FedCM'ye neden ihtiyacımız var?

Geçtiğimiz on yıl içinde kimlik federasyonu, STK'ların güvenilirlik ve kullanım kolaylığı açısından web'de kimlik doğrulama çıtasını (örneğin, şifresiz tek oturum açma) ve güvenlik (örneğin, (kimlik avı ve kimlik bilgisi doldurma saldırılarına karşı direnç) (site başına), kullanıcı adları ve şifreler.

Kimlik federasyonu ile birlikte kısıtlanmış taraf (bağımlı taraf), IdP'den (kimlik) yararlanır. sağlayıcı) ile yeni bir kullanıcı adına gerek kalmadan kullanıcıya hesap sağlaması ve şifre.

Maalesef kimlik federasyonunun dayandığı mekanizmalar (iframe'ler, yönlendirmeleri ve çerezler) web'de kullanıcıları izlemek amacıyla aktif olarak kötüye kullanılıyor. Kullanıcı aracısı, kimlik federasyonu ve tespit edilen çeşitli kötüye kullanım türlerine yönelik çözümler, daha zor hale getirir.

Federated Credential Management API (FedCM), kullanım alanına özel bir web'de birleşik kimlik akışlarına yönelik soyutlama, bir tarayıcı göstererek Kullanıcıların IdP'lerden giriş yapacağı hesapları seçmesine olanak tanıyan uyumlulaştırılmış iletişim kutusu bulabilirsiniz.

FedCM, web'deki kimliği daha iyi hale getirecek çok adımlı bir yolculuktur. Ayrıca üçüncü taraf çerezlerine yönelik kısıtlamaların etkisini azaltmaya odaklanıyoruz. birleşik kimlik üzerinde (birkaç adım için Yol haritası bölümüne bakın) daha fazla).

Nelerin etkilenmesini bekliyoruz?

Topluluk aracılığıyla çaba ve araştırmamız sırasında, özellikle çok sayıda kimlik federasyonu Üçüncü taraf çerezi kısıtlamalarından etkilenen entegrasyonlar:

• OpenID Connect Ön Kanalı Çıkış yap
• COPPA Connect Oturumu Yönetim
• iframe tabanlı arka plan jetonu yenileme
• iframe tabanlı giriş widget'lar

FedCM'nin ilk hedefi, üçüncü taraf çerezi kısıtlamalarının söz konusu alanlar ve bunların etkilenmesini beklediğimiz alanlardır. Eğer Listelenmeyen başka kullanım alanları da vardır. Etkileşim kurup geri bildirim paylaşabilirsiniz.

FedCM'yi kimler kullanmalı?

FedCM'nin yalnızca aşağıdaki koşulların tümünün geçerli olması durumunda sizin için yararlı olmasını bekleriz:

1. Kimlik sağlayıcı (IdP) olmalısınız.
2. Üçüncü taraf çerezi kısıtlamalarından etkileniyorsunuz.
3. Kısıtlanmış taraflarınız üçüncü taraf siteleridir. Kısıtlanmış taraflarınız anlamlı şekilde alakalı sitelerse size daha iyi hizmet sunulabilir. İlgili Web Sitesi Setler.

IdP'siniz

FedCM, bir kimlik sağlayıcıdan destek gerektirir. Bağlı bir taraf, FedCM'yi ayrı ayrı düzenleyebilirsiniz. Kısıtlanmış tarafsanız IdP'nizden bakın.

Üçüncü taraf çerezi kısıtlamalarından etkileniyorsunuz

FedCM'yi yalnızca mevcut entegrasyonunuz üçüncü taraf çerezi kısıtlamaları.

Kimlik federasyonunuzun aşağıdaki işlemler sırasında çalışmaya devam edip etmeyeceğinden emin değilseniz, üçüncü taraf çerezleri kullanılamadığından, çerezin web sitesi üzerindeki etkisini test etmek için Chrome'da üçüncü taraf çerezlerini engelleyin.

Kimlik federasyonunuz üzerinde keşfedilebilir bir etkisi yoksa olmadan da mevcut entegrasyonunuzu kullanmaya devam edebilirsiniz. FedCM.

Neye bakacağınızdan emin değilseniz bilinen özellikler üçüncü taraf çerezi kısıtlamalarının etkilenmesinin beklendiğini unutmayın.

Kısıtlanmış taraflarınız üçüncü taraf

Kısıtlanmış tarafları IdP ile birinci taraf ilişkisi olan bir kimlik sağlayıcıysanız İlgili Web Sitesi Grupları bekleriz. daha iyi bir seçenek olabilir. İlişkili Websitesi Grupları (RWS), bir kuruluşun siteler arasındaki ilişkileri bildirmesine olanak tanır. Böylece tarayıcılar, belirli amaçlar için sınırlı üçüncü taraf çerezlerine erişim izni verebilir. Bu sayede, üçüncü taraf çerezleri başka bir şekilde kısıtlanmış olsa bile, üçüncü taraf çerezlerinin, anlamlı bir şekilde birbiriyle alakalı site grupları arasında çalışmasına olanak tanır.

Kullanıcılar FedCM ile nasıl etkileşimde bulunacak?

FedCM'nin birincil odak noktası, üçüncü taraf çerezlerinin etkisini azaltmaktır. kısıtlamalar. Kullanıcılar, Chrome'un kullanıcı bölümünde FedCM'yi etkinleştirebilir veya devre dışı bırakabilir Ayarlar'da bulabilirsiniz.

FedCM, protokolden bağımsız olacak şekilde tasarlanmıştır ve şunları sunar: kimlik doğrulamayla ilgili işlevler.

• Bağlı tarafta oturum açmak için kimlik sağlayıcı kullanma

İşleyiş şeklini öğrenmek için demomuza göz atın.

Bağlı tarafta oturum açın

Kullanıcı bağlı tarafın (RP) web sitesine geldiğinde, bir FedCM oturum açma iletişim kutusu kullanıcı IdP'de oturum açtıysa görünür.

Kullanıcının IdP ile RP'de hesabı yoksa kaydolma iletişim kutusu Kısıtlanmış Taraf'ın hizmet şartları ve açıklama metni gibi ek açıklama metniyle birlikte gizlilik politikasına tabi tutulması gerekir.

Kullanıcı, Şu kullanıcı olarak devam et...'e dokunarak oturum açma işlemini tamamlayabilir. Başarılı olursa kullanıcının RP'de birleşik bir hesap oluşturduğu gerçeğini saklar. IdP ile değiştir.

Kısıtlanmış tarafların FedCM'yi desteklemeyen tarayıcılarda çalışması beklenir. Kullanıcılar: FedCM dışı mevcut bir oturum açma işlemi kullanabilirsiniz. Google Ads'in oturum açmanın FedCM'de nasıl çalıştığına bakın.

FedCM'yi etkinleştirme veya devre dışı bırakma ayarları

Kullanıcılar, Android cihazlardaki Chrome ayarlarından FedCM'yi etkinleştirebilir veya devre dışı bırakabilir. Git Ayarlar > Site ayarları > Üçüncü taraf oturum açma, ardından aç/kapat.

Aynı işlemi masaüstündeki Chrome için de chrome://settings/content/federatedIdentityApi

Yol Haritası

FedCM'de çeşitli değişiklikler yapmak için çalışıyoruz. Görüntüleyin Ayrıntılı bilgi için güncellemeler başlıklı makaleyi inceleyin.

• Değişiklik Günlüğü: Federated Credential Management API güncellemeleri.

Halen yapılması gerektiğini bildiğimiz birkaç şey var. Bunlar arasında, ve tarayıcı satıcılarından haberler. Bildiğimize inanıyoruz. şu sorunları çözün:

• Kaynaklar arası iframe desteği: IdP'ler, FedCM'yi kaynaklar arası iframe'dir (güncelleme).
• Kişiselleştirilmiş düğme: IdP'ler, geri gelen kullanıcının kimliğini IdP'ye ait kaynaklar arası iframe'deki oturum açma düğmesi (güncelleme).
• Metrikler uç noktası: IdP'lere performans metrikleri sağlar.

Ayrıca, Google Arama Ağı'nda da dahil olmak üzere aktif olarak incelediğimiz hazırladığımız veya prototipini oluşturduğumuz teklifler:

• CORS: Apple ve Google'ın Mozilla'yı geliştirmesini ve özellikleri için de geçerlidir.
• Multiple-IdP API: Birden çok IdP'yi desteklemenin yollarını araştırıyoruz IdP'lerin iş birliği yaparak hesap seçicide görünür.
• IdP Sign-in Status API: Mozilla, bir zamanlama saldırısı tanımladı ve bu sorunun cevabını Tarayıcıya kullanıcının oturum açma işlemini proaktif olarak bildirmesi için IdP'nin durumu bir çözüm bulmanız gerekir. (güncelleme)
• IdP API'de oturum açın: Çeşitli belirli senaryolarda IdP'de oturum açmışsa, tarayıcı, kullanıcının oturum açması için bir kullanıcı arayüzü sağlar kolay bir yoludur.

Son olarak, geri bildirimlere dayanarak hâlâ yapılması gerektiğini düşündüğümüz şeyler var. DÜŞEYARA'yı Mozilla, Apple ve TAG incelemecileri ziyaret edin. Şu açık sorulara yönelik en iyi çözümleri değerlendirmeye çalışıyoruz:

• Kullanıcı anlama ve eşleme amacını iyileştirme: Mozilla dikkat ediyorum farklı kullanıcı deneyimi formüllerini ve yüzey alanlarını keşfetmeye devam etmek istiyoruz. ve tetikleme ölçütlerini seçin.
• Kimlik Özellikleri ve Seçmeli Açıklama: TAG İncelemecilerimiz olarak dikkat ediyorum seçmeli olarak daha fazla veya daha az kimliği paylaşabileceğimiz bir mekanizma sağlamak istiyoruz. özellikleri (ör. e-postalar, yaş grupları, telefon numaraları vs.).
• Gizlilik Mülklerini Artırma: Mozilla'nın önerdiği gibi standart konumunda, kullanıcılarımızın deneyimini iyileştirecek mekanizmalarını ve gizliliklerini (IdP körlüğü, yönlendirilmiş tanımlayıcılar gibi) garantiler.
• WebAuthn ile ilişki: Önerildiği şekilde Apple proje yaşam döngüsü boyunca geçiş anahtarlarını kullanarak tutarlı ve tutarlı bir FedCM, Şifreler, WebAuthn ve WebOTP arasında tutarlı bir deneyim.
• Giriş Durumu: Apple'ın, Gizlilik CG'sinin Giriş Durumunda belirttiği gibi API'lerin kullanıma sunulmasından sonra kullanıcının oturum açma durumu, tarayıcılara yardımcı olabilecek yararlı bir bilgidir. Biz de bilinçli kararlar veriyoruz ve hangi fırsatların ortaya çıkacağını görmeyi heyecanla bekliyoruz. inceleyeceğiz. (güncelleme)
• Kuruluşlar ve Eğitim: FedID CG'de açıkça görüldüğü gibi, hâlâ bir alan çok fazla kullanılıyor destek kayıtları bu tür sorunlar gibi (örneğin, ön kanal oturumunu kapatma (IdP'nin, kısıtlanmış kullanıcı gruplarına oturumu kapatma) ve SAML desteğinden yararlanın.
• mDL'ler/VC'ler/vb. ile ilişki: Bunların nasıl FedCM'ye sığdırılabilir (örneğin, Mobil Belge İsteği) API.

FedCM API'yi kullanma

FedCM'yi kullanmak için hem IdP'de hem de Chrome'daki RP'de güvenli bir bağlama (HTTPS veya localhost) ihtiyacınız vardır.

FedCM ile entegrasyon yapmak için iyi bilinen bir dosya, yapılandırma dosyası, hesap listesi, onay verme ve (isteğe bağlı olarak) istemci meta verileri için uç noktalar oluşturmanız gerekir. Ardından FedCM, RP'lerin IdP ile oturum açmak için kullanabileceği JavaScript API'lerini sunar.

FedCM API'yi nasıl kullanacağınızı öğrenmek için FedCM geliştirici kılavuzuna göz atın.

Etkileşimde bulunun ve geri bildirim paylaşın

• GitHub: açıklayıcı, yükseltme ve tartışmayı takip edin.
• Geliştirici desteği: Gizlilik Korumalı Alan Geliştirici Desteği depo.

eGizlilik yasalarına uygunluk

FedCM, IdP veya RP olarak kullanıldığında, bilgilerin terminal ekipmanı veya halihazırda depolanan bilgilere erişimi ile dolayısıyla Avrupa Ekonomik Alanı'nda eGizlilik yasalarına tabi olan bir etkinlik (AEA) ve Birleşik Krallık'ta genellikle kullanıcı izni gerekir. Projeyi yönetme, sağlamak için FedCM kullanımınızın kesinlikle gerekli olup olmadığını ve bu nedenle de izin şartı. Daha fazla bilgi için Gizlilik sayfamızı okumanızı öneririz Korumalı Alan Gizlilikle İlgili Uygunluk SSS.