Diese Seite wurde von der Cloud Translation API übersetzt.

Federated Credential Management API – Übersicht

Eine Web-API für die datenschutzfreundliche Identitätsföderation.

Was ist FedCM?

FedCM (Federated Credential Management) ist ein datenschutzfreundlicher Ansatz für föderierte Identitätsdienste (z. B. „Anmelden mit...“), der nicht auf Drittanbieter-Cookies oder Navigationsweiterleitungen basiert.

Implementierungsstatus

Status der Chrome-Plattform
FedCM wurde in Chrome 108 ausgeliefert.
Das FedCM-Angebot kann öffentlich diskutiert werden.
FedCM wird von anderen Browsern noch nicht unterstützt.
- Mozilla implementiert einen Prototyp für Firefox und Apple hat allgemeine Unterstützung und Interesse an der Zusammenarbeit am Vorschlag von FedCM zum Ausdruck gebracht.

Basierend auf dem Feedback von Identitätsanbietern, vertrauenden Seiten und Browseranbietern planen wir, eine Reihe neuer Funktionen einzuführen. Wir hoffen, dass Identitätsanbieter FedCM einführen werden. Beachten Sie jedoch, dass FedCM sich noch in der Entwicklungsphase befindet.

Um die Herausforderungen bei der Bereitstellung nicht abwärtskompatibler Änderungen zu minimieren, haben wir zwei Empfehlungen für Identitätsanbieter:

Abonnieren Sie unseren Newsletter, um über die Weiterentwicklung der API auf dem Laufenden zu bleiben.
Wir empfehlen Identitätsanbietern, die FedCM API mit JavaScript-SDKs zu verteilen, während die API weiterentwickelt wird, und RPs davon abzuhalten, SDKs selbst zu hosten. So können IdPs Änderungen vornehmen, wenn sich die API weiterentwickelt, ohne alle ihre vertrauenden Seiten zur Neubereitstellung auffordern zu müssen.

Warum benötigen wir FedCM?

Im Laufe der letzten zehn Jahre hat die Identitätsfederation eine zentrale Rolle bei der Verbesserung der Authentifizierung im Web gespielt, was Vertrauenswürdigkeit, Benutzerfreundlichkeit (z. B. die passwortlose Einmalanmeldung) und Sicherheit (z. B. verbesserte Widerstandsfähigkeit gegen Phishing- und Anmeldedaten-Füllungsangriffe) im Vergleich zu Website-spezifischen Nutzernamen und Passwörtern angeht.

Bei der Identitätsföderierung stützt sich eine vertrauende Partei (RP) auf einen Identitätsanbieter (IdP), um dem Nutzer ein Konto zur Verfügung zu stellen, ohne dass ein neuer Nutzername und ein neues Passwort erforderlich sind.

Leider werden die von der Identitätsföderation verwendeten Mechanismen (iFrames, Weiterleitungen und Cookies) aktiv missbraucht, um Nutzer im Web nachzuverfolgen. Da der User-Agent nicht zwischen Identitätsföderation und Tracking unterscheiden kann, erschweren die Maßnahmen zur Abschwächung der verschiedenen Arten von Missbrauch die Bereitstellung der Identitätsföderation.

Die Federated Credential Management API (FedCM) bietet eine nutzungsfallspezifische Abstraktion für föderierte Identitätsabläufe im Web. Dazu wird ein browserbasierter Dialogfeld angezeigt, in dem Nutzer Konten von Identitätsanbietern auswählen können, um sich auf Websites anzumelden.

FedCM umfasst mehrere Schritte, um die Identität im Web zu verbessern. Im ersten Schritt konzentrieren wir uns darauf, die Auswirkungen von Einschränkungen für Drittanbieter-Cookies auf die föderierte Identität zu verringern. Weitere Schritte finden Sie im Abschnitt zur Roadmap.

Ein Nutzer meldet sich mit FedCM bei einem RP an.

Was wird voraussichtlich betroffen sein?

Durch Communitybeiträge und unsere Recherche haben wir festgestellt, dass einige Integrationen im Zusammenhang mit der Identitätsfederation von den Einschränkungen für Drittanbieter-Cookies betroffen sind:

Das erste Ziel von FedCM besteht darin, die Auswirkungen von Einschränkungen durch Drittanbieter-Cookies auf die Identitätsföderation zu reduzieren. In diesen Bereichen erwarten wir, dass sie betroffen sein werden. Wenn es weitere Anwendungsfälle gibt, die nicht aufgeführt sind, können Sie Feedback geben und Feedback geben.

Für wen ist FedCM geeignet?

FedCM ist nur dann für Sie geeignet, wenn alle folgenden Bedingungen erfüllt sind:

Sie sind ein Identitätsanbieter (Identity Provider, IdP).
Sie sind von den Einschränkungen für Drittanbieter-Cookies betroffen.
Ihre Verweisquellen sind Websites von Drittanbietern. Wenn Ihre RPs sinnvoll miteinander verknüpfte Websites sind, sind ähnliche Website-Sets möglicherweise besser geeignet.

Sie sind ein Identitätsanbieter

Für FedCM ist die Unterstützung eines Identitätsanbieters erforderlich. Eine vertrauende Partei kann FedCM nicht unabhängig verwenden. Wenn Sie ein RP sind, können Sie Ihren IdP nach einer Anleitung fragen.

Sie sind von den Einschränkungen für Drittanbieter-Cookies betroffen

Sie sollten FedCM nur verwenden, wenn Ihre aktuelle Integration von den Einschränkungen für Drittanbieter-Cookies betroffen ist.

Wenn Sie sich nicht sicher sind, ob Ihre Identitätsfederation weiterhin funktioniert, wenn Drittanbieter-Cookies nicht verfügbar sind, können Sie die Auswirkungen auf einer Website testen, indem Sie Drittanbieter-Cookies in Chrome blockieren.

Wenn keine erkennbaren Auswirkungen auf Ihre Identitätsföderation ohne Drittanbieter-Cookies erkennbar sind, können Sie Ihre aktuelle Einbindung ohne FedCM weiter verwenden.

Wenn Sie sich nicht sicher sind, worauf Sie achten müssen, lesen Sie mehr über die bekannten Funktionen, auf die sich die Einschränkungen für Drittanbieter-Cookies voraussichtlich auswirken werden.

Ihre RPs sind Drittanbieter

Wenn Sie ein Identitätsanbieter sind, dessen RPs eine direkte Beziehung zum IdP haben, sind ähnliche Website-Sets möglicherweise die bessere Option. Mithilfe von Sets ähnlicher Websites (Related Website Sets, RWS) können Organisationen Beziehungen zwischen Websites deklarieren, damit Browser den Zugriff von Drittanbieter-Cookies für bestimmte Zwecke einschränken. Dadurch können Drittanbieter-Cookies zwischen Gruppen von sinnvoll verbundenen Websites funktionieren, auch wenn Drittanbieter-Cookies anderweitig eingeschränkt sind.

Wie interagieren Nutzer mit FedCM?

FedCM soll vor allem die Auswirkungen der Einschränkungen für Drittanbieter-Cookies abmildern. Nutzer können FedCM in den Nutzereinstellungen von Chrome aktivieren oder deaktivieren.

FedCM ist protokollunabhängig und bietet die folgenden authentifizierungsbezogenen Funktionen.

Über einen Identitätsanbieter bei einer vertrauenden Partei anmelden

In dieser Demo zeigen wir Ihnen, wie das funktioniert.

Ein Nutzer meldet sich mit FedCM bei einem RP an.

Wenn der Nutzer die Website der vertrauenden Partei (RP) aufruft, wird ein FedCM-Anmeldedialogfeld angezeigt, wenn er beim IdP angemeldet ist.

Wenn der Nutzer kein Konto beim RP mit dem Identitätsanbieter hat, wird ein Anmeldedialogfeld mit zusätzlichen Offenlegungstexten wie den Nutzungsbedingungen des RP und einer Datenschutzerklärung angezeigt, sofern diese vorhanden sind.

Der Nutzer kann die Anmeldung abschließen, indem er auf Als… fortfahren tippt. Bei Erfolg speichert der Browser, dass der Nutzer ein föderiertes Konto beim RP mit dem IdP erstellt hat.

RPs sollten in Browsern funktionieren, die FedCM nicht unterstützen. Nutzer sollten einen bestehenden Anmeldeprozess ohne FedCM verwenden können. Weitere Informationen zur Anmeldung in der FedCM

Einstellungen zum Aktivieren oder Deaktivieren von FedCM

Nutzer können FedCM in den Einstellungen von Chrome auf Android aktivieren oder deaktivieren. Gehen Sie zu Einstellungen > Websiteeinstellungen > Drittanbieter-Anmeldung und ändern Sie die Ein/Aus-Schaltfläche.

Aktivieren Sie FedCM in den Chrome-Einstellungen auf Mobilgeräten, indem Sie die Option „Anmeldung in Drittanbieter-Apps und ‑Diensten“ aktivieren.

Auf dem Computer können sie das unter chrome://settings/content/federatedIdentityApi tun.

Aktivieren Sie FedCM in den Chrome-Einstellungen auf dem Computer, indem Sie die Option „Anmeldung in Drittanbieter-Apps und ‑Diensten“ aktivieren.

Wartezeit für Aufforderung

Wenn der Nutzer die Benutzeroberfläche manuell schließt, wird der Benutzeroberfläche für die Einstellungen vorübergehend ein Eintrag hinzugefügt und die Benutzeroberfläche wird für einen bestimmten Zeitraum nicht mehr auf derselben Website angezeigt. Die Benutzeroberfläche wird nach Ablauf der Zeit wieder aktiviert. Bei aufeinanderfolgenden Schließungen wird die Dauer jedoch exponentiell verlängert. Zum Beispiel in Chrome:

Anzahl der aufeinanderfolgenden Schließungen	Zeitraum, in dem der FedCM-Prompt unterdrückt wird
1	Zwei Stunden
2	Ein Tag
3	Eine Woche
4+	Vier Wochen

Andere Browser können eigene, abweichende Wartezeiten definieren.

Nutzer können FedCM auf der RP manuell wieder aktivieren, indem sie entweder die Einstellungsseite aufrufen oder auf die PageInfo-Benutzeroberfläche (ein Schlosssymbol neben der URL-Leiste) klicken und die Berechtigung zurücksetzen.

Roadmap

Wir arbeiten an einer Reihe von Änderungen an FedCM. Weitere Informationen finden Sie unter Aktualisierungen.

Änderungsprotokoll: Aktualisierungen der Federated Credential Management API.

Es gibt noch einige Dinge, die wir tun müssen, einschließlich Probleme, die uns von Identitätsanbietern, RPs und Browseranbietern gemeldet wurden. Wir glauben, dass wir diese Probleme beheben können:

Unterstützung von iframes mit unterschiedlichen Ursprüngen: IdPs können FedCM über einen iframe mit unterschiedlichen Ursprüngen aufrufen (Update).
Personalisierte Schaltfläche: IdPs können die Identität eines wiederkehrenden Nutzers auf der Anmeldeschaltfläche innerhalb eines ursprungsübergreifenden iFrames anzeigen, der dem Identitätsanbieter gehört (Aktualisieren).
Messwert-Endpunkt: Stellt IdPs Leistungsmesswerte zur Verfügung.

Außerdem gibt es noch ungelöste Probleme, die wir aktiv untersuchen, darunter bestimmte Vorschläge, die wir derzeit bewerten oder als Prototyp entwickeln:

CORS: Wir besprechen mit Apple und Mozilla, wie wir die Spezifikation von FedCM-Abrufen verbessern können.
API für mehrere IdPs: Wir prüfen, wie wir mehrere IdPs in der FedCM-Kontoauswahl unterstützen können.
IdP Sign-in Status API: Mozilla hat ein Problem mit Timing-Angriffen festgestellt. Wir prüfen derzeit, wie ein IdP proaktiv den Browser über den Anmeldestatus des Nutzers informieren kann, um das Problem zu beheben. (Aktualisierung)
Sign in to IdP API (In der IdP API anmelden): Zur Unterstützung verschiedener Szenarien bietet der Browser eine UI, über die sich Nutzer anmelden können, ohne das RP zu verlassen, wenn ein Nutzer nicht beim IdP angemeldet ist.

Basierend auf dem Feedback von Mozilla, Apple und TAG-Prüfern gibt es noch einige Dinge, die wir Ihrer Meinung nach erledigen müssen. Wir arbeiten daran, die besten Lösungen für diese offenen Fragen zu finden:

Verbesserung der Nutzerfreundlichkeit und der Übereinstimmung der Suchanfrage: Wie Mozilla angemerkt hat, möchten wir weiterhin verschiedene UX-Formulierungen und Oberflächen sowie Triggerkriterien untersuchen.
Identitätsattribute und selektive Offenlegung: Wie unsere TAG-Rezensenten bereits bemerkt haben, möchten wir einen Mechanismus bereitstellen, mit dem mehr oder weniger Identitätsattribute (z. B. E-Mail-Adressen, Altersgruppen, Telefonnummern usw.) selektiv freigegeben werden können.
Verbesserung der Datenschutzeigenschaften: Wie Mozilla in seiner Standardsposition vorgeschlagen hat, möchten wir weiterhin nach Mechanismen suchen, die bessere Datenschutzgarantien bieten, z. B. IdP-Blindheit und gerichtete IDs.
Beziehung zu WebAuthn: Wie von Apple vorgeschlagen, freuen wir uns sehr über die Fortschritte bei Passkeys und arbeiten daran, eine einheitliche und zusammenhängende Umgebung zwischen FedCM, Passwörtern, WebAuthn und WebOTP zu schaffen.
Anmeldestatus: Wie Apple mit der Login Status API der Privacy CG vorgeschlagen hat, gehen wir davon aus, dass der Anmeldestatus des Nutzers eine nützliche Information ist, die Browsern bei fundierten Entscheidungen helfen kann. Wir sind gespannt, welche Möglichkeiten sich daraus ergeben. (Aktualisierung)
Unternehmen und Bildung: Wie bei FedID CG klar ersichtlich ist, gibt es immer noch viele Anwendungsfälle, die von FedCM nicht optimal abgedeckt werden, an denen wir arbeiten möchten, z. B. die Abmeldung über den Frontkanal (die Möglichkeit eines IdP, ein Signal an RPs zu senden, um sich abzumelden) und die Unterstützung für SAML.
Beziehung zu mDLs/VCs usw.: Ermitteln Sie weiter, wie diese in FedCM passen, z. B. mit der Mobile Document Request API.

FedCM API verwenden

Für die Verwendung von FedCM ist sowohl beim IdP als auch beim RP in Chrome ein sicherer Kontext (HTTPS oder localhost) erforderlich.

Für die Integration mit FedCM müssen Sie eine bekannte Datei, eine Konfigurationsdatei und Endpunkte für die Kontoliste, die Ausstellung von Bescheinigungen und (optional) Clientmetadaten erstellen. Über FedCM werden JavaScript APIs bereitgestellt, mit denen sich RPs beim IdP anmelden können.

Weitere Informationen zur Verwendung der FedCM API findest du im FedCM-Entwicklerleitfaden.

GitHub: Lesen Sie den Erläuterungsartikel, erheben Sie Probleme und verfolgen Sie die Diskussion.
Entwicklersupport: Im Privacy Sandbox Developer Support-Repository können Sie Fragen stellen und an Diskussionen teilnehmen.

Einhaltung der E-Privacy-Gesetze

Die Verwendung von FedCM, entweder als Identitätsanbieter oder als Reseller, beinhaltet das Speichern von Informationen auf dem Endgerät eines Nutzers oder den Zugriff auf bereits dort gespeicherte Informationen. Daher unterliegt sie den Gesetzen zum Schutz der Privatsphäre im Internet im Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich, die in der Regel die Einwilligung des Nutzers erfordern. Sie müssen selbst entscheiden, ob die Verwendung von FedCM unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich angeforderten Onlinedienst bereitzustellen, und daher von der Einwilligungspflicht ausgenommen ist. Weitere Informationen finden Sie in den häufig gestellten Fragen zur datenschutzkonformen Nutzung der Privacy Sandbox.