API Web pour la fédération d'identité protégeant la confidentialité.
Qu'est-ce que FedCM ?
FedCM (Federated Credential Management) est un service approche des services d'identité fédérée (tels que "Se connecter avec..."), les utilisateurs peuvent se connecter à des sites sans partager leurs informations personnelles avec le le service d'identité ou le site.
État d'implémentation
- État de la plate-forme Chrome
- FedCM est disponible dans Chrome 108.
- La proposition FedCM est ouverte à une discussion publique.
- FedCM n'est pas encore compatible avec d'autres navigateurs.
- Mozilla implémente un prototype pour Firefox. Apple a exprimé son intérêt général pour une collaboration sur la proposition FedCM.
Nous prévoyons d'ajouter un certain nombre de nouvelles fonctionnalités sur les commentaires que nous avons reçus des fournisseurs d'identité, des tiers de confiance et les fournisseurs de navigateurs. Nous espérons que les fournisseurs d'identité adopteront FedCM, que FedCM est encore une API en cours de développement.
Afin de limiter les problèmes liés au déploiement de modifications incompatibles avec les versions antérieures, nous avons deux recommandations pour les fournisseurs d'identité:
- Abonnez-vous à notre newsletter envoient des mises à jour à mesure que l'API évolue.
- Nous encourageons les fournisseurs d'identité à distribuer l'API FedCM à l'aide de SDK JavaScript pendant L'API gagne en maturité et vise à dissuader les tiers assujettis à des restrictions d'héberger des SDK en auto-hébergement. Cela permettra s'assurer que les IdP peuvent apporter des modifications à mesure que l'API évolue, sans avoir à demander à tous leurs parties de confiance à redéployer.
Pourquoi avons-nous besoin de FedCM ?
Ces dix dernières années, la fédération des identités a joué un rôle central dans la promotion les critères d'authentification sur le Web en termes de fiabilité, de facilité d'utilisation (authentification unique sans mot de passe, par exemple) et la sécurité (amélioration des aux attaques par hameçonnage et par accumulation d'identifiants) par rapport à un site individuel noms d'utilisateur et mots de passe.
Avec la fédération d'identité, un tiers assujetti à des restrictions s'appuie sur un IdP fournisseur) afin de fournir un compte à l'utilisateur sans lui demander de saisir un nouveau nom d'utilisateur. et un mot de passe.
Malheureusement, les mécanismes utilisés par la fédération d'identité (iFrame, et les cookies) sont activement utilisés de manière abusive pour suivre les internautes sur le Web. Comme le user-agent n'est pas en mesure de faire la différence entre la fédération d'identité et de sécurité, les mesures d'atténuation des différents types d'abus facilitent la fédération d'identité est plus difficile.
API Federated Credential Management (FedCM) fournit un modèle adapté à chaque cas d'utilisation pour les flux d'identité fédérée sur le Web, en exposant un navigateur boîte de dialogue par médiation permettant aux utilisateurs de choisir des comptes à partir de fournisseurs d'identité auxquels se connecter sites Web.
FedCM est un processus en plusieurs étapes visant à améliorer l'identité sur le Web. Dans sa Nous nous efforçons d'abord de réduire l'impact des restrictions liées aux cookies tiers. sur l'identité fédérée (consultez la section Feuille de route pour en savoir plus plus loin).
<ph type="x-smartling-placeholder">Selon nos estimations, qu'est-ce qui sera affecté ?
Via la communauté d'effort lors de notre recherche, nous avons découvert qu'il existe quelques problèmes liés à la fédération Intégrations concernées par les restrictions concernant les cookies tiers:
- Canal frontal OpenID Connect Se déconnecter
- Session OpenID Connect Gestion
- Jeton d'arrière-plan basé sur iFrame renouvellement
- Connexion basée sur des tags iFrame Widgets
L'objectif premier de FedCM est de réduire l'impact des restrictions liées aux cookies tiers la fédération des identités et des domaines que nous nous attendons à être affectés. Si que d'autres cas d'utilisation ne sont pas listés, vous pouvez interagir avec les autres utilisateurs et partager vos commentaires.
À qui s'adresse FedCM ?
FedCM ne devrait vous être utile que si toutes les conditions suivantes s'appliquent:
- Vous êtes un fournisseur d'identité (IdP).
- Vous êtes concerné par les restrictions concernant les cookies tiers.
- Vos tiers assujettis à des restrictions sont des sites tiers. Si vos tiers assujettis à des restrictions sont des sites étroitement liés, vous pouvez être mieux servi par Site Web associé Ensembles.
Vous êtes un IdP
FedCM nécessite l'assistance d'un fournisseur d'identité. Un tiers de confiance ne peut pas utiliser entre FedCM et FedCM. Si vous êtes un tiers assujetti à des restrictions, vous pouvez demander à votre IdP de fournir instructions.
Vous êtes concerné par les restrictions concernant les cookies tiers
N'utilisez FedCM que si votre intégration actuelle est affectée par le les restrictions liées aux cookies tiers.
Si vous n'êtes pas sûr que votre fédération d'identité continuera de fonctionner les cookies tiers ne sont pas disponibles, vous pouvez en tester l'effet sur un site Web en le blocage des cookies tiers sur Chrome.
S'il n'y a pas d'impact visible sur votre fédération d'identité sans tiers, vous pouvez continuer à utiliser votre intégration actuelle sans FedCM.
Si vous n'êtes pas sûr des éléments à vérifier, consultez les caractéristiques sur lesquelles les restrictions liées aux cookies tiers sont susceptibles d'affecter.
Vos tiers assujettis à des restrictions sont des tiers
Si vous êtes un fournisseur d'identité et que les tiers assujettis à des restrictions ont une relation de propriétaire avec un fournisseur d'identité, nous attendons des ensembles de sites Web associés peut être une meilleure option. Les ensembles de sites Web associés (RWS) permettent à une organisation de déclarer des relations entre des sites, afin que les navigateurs autorisent un accès limité aux cookies tiers à des fins spécifiques. Cela permet aux cookies tiers de fonctionner entre des ensembles de sites étroitement liés, même lorsque les cookies tiers sont autrement restreints.
Comment les utilisateurs interagiront-ils avec FedCM ?
L'objectif principal de FedCM est de limiter l'impact des cookies tiers de restrictions. Les utilisateurs peuvent activer ou désactiver FedCM dans l'interface utilisateur de Chrome paramètres.
FedCM est conçu pour être indépendant du protocole et offre les fonctionnalités suivantes : les fonctionnalités liées à l'authentification.
Regardez notre démonstration pour en savoir plus.
Se connecter à un tiers de confiance
<ph type="x-smartling-placeholder">Lorsque l'utilisateur accède au site Web d'un tiers de confiance, une boîte de dialogue de connexion à FedCM s'ouvre. apparaît si l'utilisateur est connecté au fournisseur d'identité.
Si l'utilisateur ne possède pas de compte sur le tiers assujetti à des restrictions auprès du fournisseur d'identité, une boîte de dialogue d'inscription apparaît avec une mention supplémentaire, comme les conditions d'utilisation du tiers assujetti à des restrictions et une règles de confidentialité, le cas échéant.
L'utilisateur peut se connecter en appuyant sur Continuer en tant que. Si l'opération réussit, la le navigateur enregistre le fait que l'utilisateur a créé un compte fédéré sur la RP avec le fournisseur d'identité.
Les tiers assujettis à des restrictions doivent fonctionner sur les navigateurs qui ne prennent pas en charge FedCM. Les utilisateurs doivent être ne puisse pas utiliser un processus de connexion existant, autre que FedCM. Découvrez comment fonctionne dans FedCM.
Paramètres d'activation ou de désactivation de FedCM
Les utilisateurs peuvent activer ou désactiver FedCM dans les paramètres de Chrome sur Android. Accéder à Paramètres > Paramètres des sites > Connexion tierce, puis modifiez le bouton.
Il peut faire la même chose pour Chrome sur ordinateur de bureau en accédant à
chrome://settings/content/federatedIdentityApi
Feuille de route
Nous mettons tout en œuvre pour apporter un certain nombre de modifications à FedCM. Voir Mises à jour pour en savoir plus.
- Journal des modifications: mises à jour de l'API Federated Credential Management.
Nous savons qu'il reste quelques éléments à régler, y compris concernant les problèmes que nous ont entendu parler des IdP, des tiers assujettis à des restrictions et des fournisseurs de navigateurs. Nous pensons savoir comment résoudre ces problèmes:
- Compatibilité avec les iFrame d'origines multiples: les fournisseurs d'identité peuvent appeler FedCM depuis un iFrame multi-origine (update)
- Bouton personnalisé: les fournisseurs d'identité peuvent afficher l'identité d'un utilisateur connu sur le depuis un iFrame multi-origine appartenant à un fournisseur d'identité (mettre à jour).
- Point de terminaison des métriques: fournit des métriques de performances aux fournisseurs d'identité.
Par ailleurs, il existe des problèmes non résolus que nous explorons activement, y compris des propositions spécifiques que nous évaluons ou prototypons:
- CORS: Nous discutons avec Apple et Mozilla pour améliorer spécifique des récupérations FedCM.
- API Multiple-IdP: nous étudions des moyens de prendre en charge plusieurs des fournisseurs d'identité de coexister le sélecteur de compte FedCM.
- API IdP Sign-in Status: Mozilla a identifié une attaque par temporisation. , et nous étudions des moyens pour qu'un IdP informe le navigateur de la connexion de l'utilisateur de manière proactive sur pour atténuer le problème. (mise à jour)
- Connectez-vous à l'API IdP: pour prendre en charge divers dans certains cas, lorsqu'un utilisateur connecté à l'IdP, le navigateur fournit une UI permettant à l'utilisateur de se connecter sans quitter le tiers assujetti à des restrictions.
Enfin, nous pensons qu'il reste des choses à faire, sur la base des commentaires de Mozilla Apple et TAG évaluateurs. Nous nous efforçons d'évaluer les meilleures solutions à ces questions ouvertes:
- Améliorer la compréhension des utilisateurs et l'intention de mise en correspondance: comme Mozilla noté, nous aimerions continuer à explorer différentes formulations et surfaces d'expérience utilisateur, et les critères de déclenchement.
- Attributs d'identité et divulgation sélectif: en tant que examinateurs des balises noté, nous aimerions fournir un mécanisme permettant de partager de façon sélective plus ou moins d'informations (adresses e-mail, tranches d'âge, numéros de téléphone, etc.).
- Élever les propriétés de confidentialité: comme l'a suggéré Mozilla à sa position standard, nous aimerions continuer à étudier des moyens d'améliorer la confidentialité telles que la cécité IdP et les identifiants dirigés.
- Relation avec WebAuthn: conformément à la suggestion de Apple, nous avons hâte de voir les progrès clés d'accès et à fournir un environnement une expérience cohérente entre FedCM, Passwords, WebAuthn et WebOTP.
- État de la connexion: comme l'a suggéré Apple dans l'article Login Status (État de connexion) du Privacy CG de l'API, nous partageons l'intuition selon laquelle l'état de connexion de l'utilisateur est une information utile qui peut aider les navigateurs à prendre des décisions éclairées. Nous avons hâte de voir les opportunités qui s'offrent à nous à partir de là. (mise à jour)
- Entreprises et éducation: comme l'indique le FedID CG, il existe toujours un beaucoup d'utilisation cas qui ne sont pas bien desservis par FedCM et sur lesquels nous aimerions travailler, la déconnexion du canal front-channel (la possibilité pour un IdP d'envoyer un signal aux RP la déconnexion) et la compatibilité SAML.
- Relation avec les mDL, les VC, etc.: continuez à chercher à comprendre comment ces s'adaptent à FedCM, par exemple avec le formulaire Mobile Document Request API.
Utiliser l'API FedCM
Pour utiliser FedCM, vous avez besoin d'un contexte sécurisé (HTTPS ou localhost) à la fois sur l'IdP et la RP dans Chrome.
Pour intégrer FedCM à FedCM, vous devez créer un fichier connu, un fichier de configuration et des points de terminaison pour la liste des comptes, l'émission des assertions et (éventuellement) les métadonnées client. À partir de là, FedCM présente des API JavaScript que les tiers peuvent utiliser pour se connecter avec le fournisseur d'identité.
Pour découvrir comment utiliser l'API FedCM, consultez le guide du développeur FedCM.
Interagir et partager des commentaires
- GitHub: consultez les explainer, raison problèmes et suivre la discussion.
- Assistance aux développeurs: posez des questions et participez à des discussions sur l'Avis de confidentialité Assistance pour les développeurs de bac à sable .
Respect des lois sur la vie privée et les communications électroniques
L'utilisation de FedCM, que ce soit en tant que fournisseur d'identité ou tiers assujetti à des restrictions, implique le stockage d'informations sur un de l'équipement du terminal de l'utilisateur ou à l'accès à des informations qui y sont déjà stockées, et est donc une activité soumise aux lois sur la vie privée et les communications électroniques dans l'Espace économique européen (EEE) et au Royaume-Uni, exigent généralement le consentement de l'utilisateur. Il vous incombe déterminez si votre utilisation de FedCM est strictement nécessaire pour fournir service en ligne explicitement demandé par l'utilisateur, et donc exempté du l'obligation de consentement. Pour plus d'informations, nous vous invitons à lire nos Règles de confidentialité Conformité à la confidentialité des données du bac à sable Questions fréquentes.