L'API Federated Credential Management (FedCM) viene fornita in Chrome 108 (attualmente sul canale beta). Quando verrà spedita nella versione stabile di Chrome alla fine di novembre 2022, l'API FedCM funzionerà in Chrome senza richiedere un flag o un token di prova dell'origine.
FedCM è un'API Privacy Sandbox che fornisce un'astrazione specifica per caso d'uso per i flussi di identità federate sul web. FedCM espone finestre di dialogo mediate dal browser che consentono agli utenti di scegliere account dai provider di identità per accedere ai siti web.
Esamina le ultime modifiche all'API nella pagina di aggiornamento accumulato.
Prevediamo di introdurre una serie di nuove funzionalità in base ai feedback che abbiamo ricevuto dai provider di identità (IdP), dalle parti affidabili e dai fornitori di browser. Anche se ci auguriamo che i provider di identità adottino FedCM, tieni presente che FedCM è ancora un'API in fase di sviluppo attivo e che sono previste modifiche incompatibili con le versioni precedenti fino al quarto trimestre del 2023.
Per ridurre al minimo le sfide legate al deployment di modifiche incompatibili con le versioni precedenti, al momento proponiamo due suggerimenti per i provider di identità:
- Iscriviti alla nostra newsletter, dove ti forniremo aggiornamenti man mano che l'API si evolve.
- Consigliamo vivamente agli IdP di distribuire l'API FedCM tramite SDK JavaScript mentre l'API è in fase di sviluppo, e di scoraggiare gli RP dall'hosting degli SDK. In questo modo, gli IdP possono apportare modifiche man mano che l'API si evolve, senza dover chiedere a tutte le parti dipendenti di eseguire nuovamente il deployment.
Contesto
Negli ultimi dieci anni, la federazione delle identità ha svolto un ruolo centrale nell'alzare il livello dell'autenticazione sul web in termini di affidabilità, facilità d'uso (ad esempio accesso Single Sign-On senza password) e sicurezza (ad esempio, migliore resistenza agli attacchi di phishing e credential stuffing) rispetto a nomi utente e password dei singoli siti.
Sfortunatamente, i meccanismi utilizzati dalla federazione delle identità (iframe, reindirizzamenti e cookie) vengono attivamente utilizzati in modo illecito per monitorare gli utenti sul web. Poiché lo user agent non è in grado di distinguere tra la federazione delle identità e il monitoraggio, le mitigazioni per i vari tipi di abuso rendono più difficile il deployment della federazione delle identità.
FedCM è un percorso in più fasi per migliorare l'identità sul web e nella sua prima fase ci siamo concentrati sulla riduzione dell'impatto del ritiro graduale dei cookie di terze parti sull'identità federata (vedi di seguito i passaggi successivi).
Chrome sta sperimentando con FedCM da Chrome 101.
Il team dei servizi di identità Google ha partecipato alla prova dell'origine e ha dimostrato che il passaggio a una procedura di accesso più privata e sicura che non si basa su cookie di terze parti può avvenire in modo trasparente tramite aggiornamenti compatibili con le versioni precedenti alla libreria esistente. Ha abilitato FedCM per 20 diversi parti affidabili e più di 300.000 utenti hanno eseguito l'accesso durante le prove dell'origine. Scopri di più su come hanno intenzione di eliminare la dipendenza dai cookie di terze parti.
Siamo entusiasti di trovare molto spazio in comune con Mozilla, che si è impegnata attivamente in dibattiti sulla progettazione e ha avviato la prototipazione di FedCM in Firefox. Apple ha espresso il suo supporto generale per la specifica e sta iniziando a partecipare alle discussioni presso FedID CG.
Passaggi successivi
Stiamo lavorando per far arrivare una serie di modifiche a FedCM.
Ci sono alcune cose che sappiamo che devono ancora essere fatte, inclusi i problemi che abbiamo sentito da IdP, RP e fornitori di browser. Crediamo di sapere come risolvere questi problemi:
- Supporto per iframe multiorigine: gli IdP possono chiamare FedCM da un iframe multiorigine.
- Pulsante personalizzato: gli IdP possono visualizzare l'identità di un utente di ritorno sul pulsante di accesso da un iframe multiorigine.
- Endpoints metriche: fornisce metriche sulle prestazioni agli IdP.
Inoltre, stiamo esplorando attivamente problemi irrisolti, tra cui proposte specifiche che stiamo valutando o prototipando:
- CORS: stiamo discutendo con Apple e Mozilla per assicurarci di migliorare le specifiche dei recuperi FedCM.
- API IdP: stiamo valutando nuovi modi per supportare più IdP per la coesistenza nel Selettore account FedCM.
- API IdP Sign-in Status: Mozilla ha identificato un problema di attacco a tempo e stiamo esplorando dei modi per consentire a un IdP di avvisare proattivamente al browser lo stato di accesso dell'utente per mitigare il problema.
- Accedi all'API IdP: per supportare vari scenari, quando un utente non ha eseguito l'accesso all'IdP, il browser fornisce un'interfaccia utente con cui l'utente può accedere senza uscire dalla parte soggetta a limitazioni.
Infine, ci sono cose che crediamo ancora da fare, in base al feedback dei revisori di Mozilla, Apple e TAG. Stiamo lavorando per valutare la soluzione migliore per queste domande aperte:
- Migliorare la comprensione degli utenti e l'intenzione di corrispondenza: come notato da Mozilla, vorremmo continuare a esplorare diverse formule e aree di superficie dell'esperienza utente, nonché criteri di attivazione.
- Attributi dell'identità e informativa selettiva: come notato dai nostri revisori di tag, vorremmo fornire un meccanismo per condividere in modo selettivo più o meno attributi di identità (come email, fasce di età, numeri di telefono e così via).
- Aumento delle proprietà relative alla privacy: come suggerito da Mozilla qui, vorremmo continuare a esaminare meccanismi per offrire migliori garanzie in materia di privacy, come l'invisibilità degli IdP e gli identificatori diretti.
- Relazione con WebAuthn: come suggerito da Apple, siamo entusiasti di vedere i progressi relativi alle passkey e di lavorare per offrire un'esperienza coerente e coesa tra FedCM, Passwords, WebAuthn e WebOTP.
- Stato accesso: come suggerito da Apple con l'API Login Status di Privacy CG, condividiamo l'intuito che lo stato di accesso dell'utente è un'informazione utile che può aiutare i browser a prendere decisioni informate, pertanto non vediamo l'ora di scoprire le opportunità che ne derivano.
- Aziende ed istruzione: come è chiaro in FedID CG, ci sono ancora molti casi d'uso che non sono ben gestiti da FedCM su cui vorremmo lavorare, come la disconnessione front-channel (la possibilità per un IdP di inviare un segnale alle RP per uscire) e il supporto per SAML.
- Relazione con patente di guida digitale, VC e altro: continua a lavorare per comprendere come si adattano a FedCM, ad esempio con l'API Mobile Document Request.
Risorse
- Prova la demo di FedCM.
- Se sei un IdP interessato a implementare FedCM, leggi la guida per gli sviluppatori. Se sei un RP, chiedi al tuo IdP se ha intenzione di implementare FedCM.
- Esamina gli aggiornamenti dell'API FedCM.
- Se hai richieste di funzionalità, feedback o problemi, inviali nel repository pubblico FedCM su GitHub.