واجهة برمجة تطبيقات ويب للحفاظ على الخصوصية من خلال ميزة اتحاد الهوية.
ما هو FedCM؟
نظام FedCM (إدارة بيانات الاعتماد الموحّدة) هو برنامج للحفاظ على الخصوصية لخدمات الهوية الموحّدة (مثل "تسجيل الدخول باستخدام...") حيث يمكن للمستخدمين تسجيل الدخول إلى المواقع الإلكترونية بدون مشاركة معلوماتهم الشخصية مع خدمة الهوية أو موقع الويب.
حالة التنفيذ
- حالة النظام الأساسي Chrome
- تم شحن خدمة FedCM في الإصدار Chrome 108.
- إنّ اقتراح FedCM مفتوح للمناقشة العامة.
- ميزة FedCM غير متاحة في المتصفحات الأخرى حتى الآن.
- تعمل Mozilla على تنفيذ نموذج أولي لمتصفِّح Firefox، وأبدت شركة Apple دعمها العام واهتمامها بالعمل معًا على اقتراح FedCM.
من الآن فصاعدًا، نخطّط لتقديم عدد من الميزات الجديدة استنادًا إلى استنادًا إلى الملاحظات التي تلقّيناها من موفِّري الهوية (IdP) والجهات الاعتمادية (RP) ومورّدي المتصفحات. وعلى الرغم من أننا نأمل أن يتبّع موفِّرو الهوية بروتوكول FedCM، يُرجى العلم أن FedCM لا تزال واجهة برمجة تطبيقات قيد التطوير.
للحدّ من التحديات الناتجة عن نشر التغييرات غير المتوافقة على الإصدارات القديمة، لدينا اقتراحان لموفِّري الهوية:
- الاشتراك في النشرة الإخبارية حيث سيتم إرسال التحديثات مع تطور واجهة برمجة التطبيقات.
- وننصح موفِّري الهوية بتوزيع واجهة برمجة تطبيقات FedCM باستخدام حِزم تطوير البرامج (SDK) بلغة JavaScript مع واجهة برمجة التطبيقات في مرحلة النضج ويجب منع الجهات المحظورة من استخدام حِزم تطوير البرامج (SDK) الذاتية الاستضافة سيؤدي هذا إلى ضمان قدرة موفِّري الهوية على إجراء التغييرات مع تطوُّر واجهة برمجة التطبيقات، بدون الحاجة إلى طلب الأطراف المعتمدة لإعادة نشرها.
لماذا نحتاج إلى بروتوكول FedCM؟
على مدى العقد الماضي، لعب اتحاد الهوية دورًا محوريًا في زيادة مستوى المصادقة على الويب، من حيث الموثوقية وسهولة الاستخدام (مثل الدخول الموحّد بدون كلمة مرور) والأمان (مثل، ومقاومتها لهجمات التصيّد الاحتيالي وازدحام بيانات الاعتماد) مقارنةً بكلّ موقع إلكتروني. أسماء المستخدمين وكلمات المرور.
من خلال ميزة اتحاد الهوية، تعتمد الجهة المحظورة (الجهة الموثوقة) على موفِّر الهوية (الهوية). Google) لتزويد المستخدم بحساب دون طلب اسم مستخدم جديد وكلمة المرور.
للأسف، اعتمدت الآليات التي اعتمدت عليها ميزة توحيد الهوية (إطارات iframe، عمليات إعادة التوجيه وملفات تعريف الارتباط) بشكل نشط لتتبع المستخدمين عبر الويب. بما أنّ وكيل المستخدم غير قادر على التمييز بين توحيد الهوية والتخفيف من حدة الأنواع المختلفة من إساءة الاستخدام إلى نشر وهوية اتحاد الهوية أكثر صعوبة.
واجهة برمجة التطبيقات Fedeated Credential Management (FedCM) يشير إلى حالة استخدام خاصة التجريد لتدفقات الهوية الموحدة على الويب، من خلال الكشف عن متصفح مربّع حوار توسّط يتيح للمستخدمين اختيار الحسابات من موفِّري الهوية (IdP) لتسجيل الدخول مواقع الويب.
يقدّم FedCM رحلة متعدّدة الخطوات لتحسين الهوية على الويب. في نركّز في الخطوة الأولى على الحدّ من تأثير القيود المفروضة على ملفات تعريف الارتباط التابعة لجهات خارجية. حول الهوية الموحّدة (راجِع قسم "خارطة الطريق" للاطّلاع على بضع خطوات أخرى).
ما الذي نتوقع أن يتأثر به؟
عبر المنتدى جهد وأبحاثنا، عرفنا أن هناك بعض الوحدات المرتبطة بتوحيد الهوية عمليات الدمج المتأثرة بقيود ملفات تعريف الارتباط التابعة لجهات خارجية:
- ربط OpenID بالقناة الأمامية تسجيل الخروج
- جلسة ربط OpenID الإدارة
- رمز مميز للخلفية مستند إلى إطار Iframe التجديد
- تسجيل الدخول المستنِد إلى Iframe تطبيقات مصغّرة
يتمثّل الهدف الأول لـ FedCM في تقليل تأثير القيود المفروضة على ملفات تعريف الارتباط التابعة لجهات خارجية في الهوية، وهذه هي المناطق التي نتوقع أن نتأثر بها. في حال حذف إذا كانت هناك حالات استخدام إضافية غير مدرَجة، يمكنك التفاعل ومشاركة الملاحظات
مَن يجب أن يستخدم FedCM؟
نتوقّع أن يكون برنامج FedCM مفيدًا لك فقط في حال انطباق جميع الشروط التالية:
- إذا كنت موفّر هوية (IdP)
- تنطبق عليك القيود المفروضة على ملفات تعريف الارتباط التابعة لجهات خارجية.
- الجهات المحظورة هي مواقع إلكترونية تابعة لجهات خارجية. إذا كانت الجهات المحظورة مواقع إلكترونية مرتبطة بشكل وثيق، قد تحصل على خدمة أفضل بواسطة موقع إلكتروني ذو صلة المجموعات:
أنت موفِّر هوية (idP)
يتطلب FedCM الدعم من موفّر الهوية. لا يمكن لأي طرف معتمِد استخدام FedCM بشكل مستقل في حال كنت جهة محظورة، يمكنك أن تطلب من موفِّر الهوية تقديم. على التعليمات
تأثُّر جهازك بالقيود المفروضة على ملفات تعريف الارتباط التابعة لجهات خارجية
يجب عدم استخدام FedCM إلا إذا تأثّر الدمج الحالي قيود ملفات تعريف الارتباط التابعة لجهات خارجية.
إذا لم تكن متأكّدًا من استمرار عمل ميزة توحيد الهوية عند ملفات تعريف ارتباط الجهات الخارجية، يمكنك اختبار تأثيرها على موقع إلكتروني من خلال حظر ملفات تعريف الارتباط التابعة لجهات خارجية على Chrome
إذا لم يكن هناك تأثير قابل للاكتشاف في اتحاد الهوية بدون التابعة لجهات خارجية، يمكنك مواصلة استخدام عملية الدمج الحالية بدون FedCM
إذا لم تكن متأكدًا مما يجب التحقق منه، فاقرأ المزيد حول طريقة الميزات التي يُتوقع أن تؤثر فيها قيود ملفات تعريف الارتباط التابعة لجهات خارجية.
الجهات الخارجية المحظورة
إذا كنت موفّرًا للهوية لديه علاقة بالطرف الأول بموفِّر الهوية، نتوقّع أن تكون مجموعات المواقع الإلكترونية ذات الصلة. قد تكون خيارًا أفضل. "مجموعات المواقع الإلكترونية المرتبطة" (RWS) هي طريقة تستخدمها المؤسسات للإعلان عن العلاقات بين المواقع الإلكترونية، لكي تسمح المتصفحات بالوصول المحدود إلى ملفات تعريف الارتباط التابعة لجهات خارجية لأغراض معيّنة. ويسمح ذلك لملفات تعريف الارتباط التابعة لجهات خارجية بالعمل بين مجموعات من المواقع الإلكترونية ذات الصلة المفيدة، حتى عندما تكون ملفات تعريف الارتباط التابعة لجهات خارجية محظورة.
كيف سيتفاعل المستخدمون مع FedCM؟
ينصبّ تركيز FedCM بشكل أساسي على الحدّ من تأثير ملفات تعريف الارتباط التابعة لجهات خارجية. القيود. يمكن للمستخدمين تفعيل FedCM أو إيقافه في صفحة مستخدم Chrome الإعدادات.
تم تصميم برنامج FedCM ليكون متوافقًا مع البروتوكولات ويقدّم ما يلي: المتعلقة بالوظائف المتعلقة بالمصادقة.
يمكنك الاطّلاع على العرض التوضيحي للتعرّف على طريقة عملها.
تسجيل الدخول إلى جهة اعتماد
عندما يصل المستخدم إلى الموقع الإلكتروني الخاص بالجهة الموثوقة (RP)، سيظهر مربّع حوار لتسجيل الدخول في FedCM. إذا سجَّل المستخدم الدخول إلى موفِّر الهوية (idP).
في حال لم يكن المستخدم يملك حسابًا على الجهة المحظورة مع موفِّر الهوية، سيظهر مربّع حوار للاشتراك. يظهر مع نص إفصاح إضافي، مثل بنود الخدمة لدى الجهة المحظورة وسياسة الخصوصية إذا تم تقديمها.
يمكن للمستخدم إكمال عملية تسجيل الدخول من خلال النقر على متابعة باسم.... في حال نجاح ذلك، يخزِّن المتصفّح حقيقة أنّ المستخدم قد أنشأ حسابًا موحّدًا على الجهة المحظورة باستخدام موفِّر الهوية (idP).
من المتوقّع أن تعمل نقاط البيع على المتصفّحات التي لا تتوافق مع بروتوكول FedCM. يجب أن يكون المستخدمون قادرًا على استخدام عملية تسجيل دخول حالية غير تابعة لـ FedCM. مزيد من المعلومات حول كيفية تسجيل الدخول في "المراسلة عبر السحابة الإلكترونية من Firebase".
إعدادات تفعيل FedCM أو إيقافها
يمكن للمستخدمين تفعيل FedCM أو إيقافه من خلال الإعدادات على Chrome على أجهزة Android. الانتقال إلى الإعدادات > إعدادات الموقع > تسجيل الدخول إلى الخدمات التابعة لجهات خارجية، ثم تغيير مفتاح التبديل.
ويمكنهم فعل الشيء نفسه بالنسبة إلى Chrome على سطح المكتب من خلال الانتقال إلى
chrome://settings/content/federatedIdentityApi
خارطة الطريق
ونحن نعمل على إجراء عدد من التغييرات على FedCM. عرض التحديثات لمزيد من التفاصيل.
- سجلّ التغييرات: تعديلات Federated Credential Management API.
هناك بعض الأشياء التي نعرف أنها لا تزال بحاجة إلى القيام بها، بما في ذلك المشكلات التي سمعت عنها من موفِّري الهوية والجهات المحظورة ومورِّدي المتصفِّح. نعتقد أننا نعرف كيفية لحل هذه المشكلات:
- دعم iframe من مصادر متعددة: يمكن لموفِّري الهوية الاتصال بـ FedCM من داخل إطار iframe من مصادر متعددة (تعديل).
- الزر المخصّص: يمكن لموفِّري الهوية عرض هوية المستخدم المكرّر الزيارة على زر تسجيل الدخول من داخل إطار iframe من مصادر متعددة يملكه موفِّر الهوية (تحديث).
- نقطة نهاية المقاييس: تقدِّم مقاييس الأداء لموفِّري الهوية.
بالإضافة إلى ذلك، هناك مشكلات لم يتم حلها ونستكشفها بنشاط، بما في ذلك الاقتراحات المحددة التي نقوم بتقييمها أو وضع نماذج أولية لها:
- CORS: نحن نناقش مع Apple Mozilla لضمان تحسين مواصفات عمليات الجلب بواسطة FedCM.
- واجهة برمجة تطبيقات لموفّري الهوية المتعددين: نستكشف طرقًا لإتاحة خيارات متعددة موفِّري الهوية للتعاون بشكل تعاوني من أجل محدد الحساب في FedCM
- واجهة برمجة تطبيقات حالة تسجيل الدخول لموفِّر الهوية: رصدت Mozilla هجومًا زمنيًا المشكلة، ونستكشف طرقًا جديدة لموفِّر الهوية (idP) من أجل إشعار المتصفّح مسبقًا بتسجيل دخول المستخدم الحالة إلى والتخفيف من المشكلة. (تحديث)
- تسجيل الدخول إلى واجهة برمجة تطبيقات موفر الهوية: لإتاحة العديد من ، عندما لا يكون المستخدم تم تسجيل الدخول إلى موفِّر الهوية، سيوفّر المتصفِّح واجهة مستخدم يمكن للمستخدم من خلالها تسجيل الدخول بدون مغادرة الجهة المحظورة
وأخيرًا، هناك إجراءات نعتقد أنها لا تزال بحاجة إلى القيام بها، وذلك استنادًا إلى الملاحظات من Mozilla، Apple وTAG المراجعين نعمل على تقييم أفضل الحلول لهذه الأسئلة المفتوحة:
- تحسين فهم المستخدم ونية المطابقة: وفقًا لـ Mozilla ملاحظة، نود مواصلة استكشاف صيغ مختلفة لتجربة المستخدم ومساحات عرضها، بالإضافة إلى معايير التشغيل.
- سمات الهوية والإفصاح الانتقائي: بصفتنا مراجعي TAG لدينا ملاحظة، نودّ توفير آلية تتيح لنا مشاركة هوية أكثر أو أقلّ (مثل عناوين البريد الإلكتروني والفئات العمرية وأرقام الهواتف وما إلى ذلك).
- تعزيز خصائص الخصوصية: وفقًا لما اقترحته Mozilla في وضع معاييرها نودّ مواصلة استكشاف آليات تهدف إلى توفير خصوصية أفضل جميع البيانات، مثل تجاهل موفِّر الهوية والمعرّفات الموجّهة.
- العلاقة مع WebAuthn: وفقًا لما اقترحه Apple، نحن متحمسون جدًا لرؤية التقدم المحرز في مفاتيح المرور والعمل على توفير واجهة تجربة مترابطة بين FedCM وكلمات المرور وWebAuthn وWebOTP.
- حالة تسجيل الدخول: وفقًا لما اقترحته Apple من خلال حالة تسجيل الدخول الخاصة بـ Privacy CG (حالة تسجيل الدخول) واجهة برمجة التطبيقات، نتشارك فكرة أن تُعد حالة تسجيل دخول المستخدم معلومات مفيدة يمكن أن تساعد المتصفحات واتخاذ قرارات مستنيرة، ونحن متحمسون لمعرفة الفرص التي تظهر من ذلك. (تحديث)
- الشركات والمؤسسات التعليمية: كما هو واضح في قانون FedID CG، لا تزال هناك كثرة الاستخدام الحالات التي لا يوفرها فريق FedCM بشكل جيد ونرغب في العمل عليها، مثل تسجيل الخروج من القناة الأمامية (قدرة موفِّر الهوية على إرسال إشارة إلى الجهات المحظورة إلى تسجيل الخروج) ودعم SAML.
- العلاقة مع رخصة "mDL" أو "VC" أو غير ذلك: ننصحك بمواصلة العمل لفهم كيفية تتناسب مع FedCM، على سبيل المثال مع طلب مستندات الجوّال API.
استخدام واجهة برمجة تطبيقات FedCM
تحتاج إلى سياق آمن (HTTPS أو مضيف محلي) على كلٍّ من موفِّر الهوية والجهة المحظورة في Chrome لاستخدام برنامج FedCM.
للدمج مع FedCM، يجب إنشاء ملف معروف وملف إعداد ونقاط نهاية لقائمة الحسابات وإصدار التأكيد والبيانات الوصفية للعميل (اختياري). ومن ثم، يعرض FedCM واجهات برمجة تطبيقات JavaScript التي يمكن للجهات المحظورة استخدامها لتسجيل الدخول من خلال موفِّر الهوية.
للتعرّف على كيفية استخدام واجهة برمجة تطبيقات FedCM، يمكنك الاطّلاع على دليل المطوِّر في FedCM.
التفاعل مع الملاحظات ومشاركتها
- GitHub: اطّلِع على موضح، رفع ومتابعة المناقشة.
- فريق دعم المطوّرين: يمكنك طرح الأسئلة والانضمام إلى المناقشات حول قسم الخصوصية. دعم مطوّري برامج Sandbox المستودع.
الامتثال لقوانين الخصوصية الإلكترونية
يتضمن استخدام FedCM، سواء كموفِّر هوية أو جهة محظورة، تخزين المعلومات على المعدات الطرفية للمستخدم أو إمكانية الوصول إلى المعلومات المخزنة بها بالفعل، وبالتالي، يكون نشاطًا خاضعًا لقوانين الخصوصية الإلكترونية في المنطقة الاقتصادية الأوروبية (المنطقة الاقتصادية الأوروبية) والمملكة المتحدة تتطلّب بشكل عام موافقة المستخدم. تقع على عاتقك مسئولية ما إذا كان استخدامك لـ FedCM ضروريًا بشدة لتوفير الخدمات الإلكترونية التي طلبها المستخدم صراحةً، وبالتالي يتم استثناؤها من متطلبات الموافقة. لمزيد من المعلومات، ننصحك بقراءة الامتثال المتعلق بالخصوصية في وضع الحماية الأسئلة الشائعة: