این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

API مدیریت اعتبار فدرال در حال ارسال است

API مدیریت اعتبار فدرال (FedCM) در Chrome 108 ارسال می‌شود (در حال حاضر در کانال بتا). وقتی FedCM API در پایان نوامبر 2022 در Chrome Stable ارسال شود، بدون نیاز به پرچم یا نشانه آزمایشی اصلی در Chrome کار می‌کند.

FedCM یک API Sandbox Privacy است که یک انتزاع خاص مورد استفاده را برای جریان های هویت فدرال در وب ارائه می دهد. FedCM گفتگوهای با واسطه مرورگر را نشان می دهد که به کاربران امکان می دهد حساب هایی را از ارائه دهندگان هویت برای ورود به وب سایت ها انتخاب کنند.

آخرین تغییرات API را در صفحه به‌روزرسانی انباشته مرور کنید.

ما قصد داریم تعدادی ویژگی جدید را بر اساس بازخوردی که از ارائه دهندگان هویت (IdP)، احزاب متکی (RP) و فروشندگان مرورگر دریافت کردیم، معرفی کنیم. در حالی که امیدواریم ارائه دهندگان هویت FedCM را اتخاذ کنند، لطفاً توجه داشته باشید که FedCM هنوز یک API در حال توسعه فعال است و تا سه ماهه چهارم سال 2023 تغییرات ناسازگاری پیش بینی می شود.

برای به حداقل رساندن چالش‌های اعمال تغییرات ناسازگار به عقب، ما در حال حاضر دو توصیه برای ارائه‌دهندگان هویت داریم:

در خبرنامه ما مشترک شوید که در آن به‌روزرسانی‌هایی را با تکامل API ارائه خواهیم کرد.
ما قویاً IdP‌ها را تشویق می‌کنیم تا زمانی که API در حال بلوغ است، FedCM API را از طریق JavaScript SDK توزیع کنند و RP‌ها را از میزبانی SDK خود منصرف کنند. این تضمین می‌کند که IdPها می‌توانند با تکامل API تغییراتی ایجاد کنند، بدون اینکه از همه طرف‌های متکی خود بخواهند که دوباره مستقر شوند.

زمینه

در طول دهه گذشته، فدراسیون هویت از نظر قابلیت اعتماد، سهولت استفاده (به عنوان مثال، ورود به سیستم بدون رمز عبور) و امنیت (به عنوان مثال، مقاومت بهبود یافته) نقش اصلی را در بالا بردن سطح اعتبار در وب ایفا کرده است. به حملات فیشینگ و پر کردن اعتبار) در مقایسه با نام کاربری و رمز عبور هر سایت.

متأسفانه، مکانیسم‌هایی که فدراسیون هویت بر آنها تکیه کرده است (iframe، تغییر مسیرها و کوکی‌ها) به طور فعال برای ردیابی کاربران در سراسر وب مورد سوء استفاده قرار می‌گیرد. از آنجایی که عامل کاربر نمی تواند بین فدراسیون هویت و ردیابی تمایز قائل شود، اقدامات کاهشی برای انواع مختلف سوء استفاده، استقرار فدراسیون هویت را دشوارتر می کند.

FedCM یک سفر چند مرحله‌ای برای بهتر کردن هویت در وب است و در اولین گام آن بر کاهش تأثیر حذف تدریجی کوکی‌های شخص ثالث بر هویت فدرال متمرکز شده‌ایم (برای موارد بعدی به زیر مراجعه کنید).

کاربر با استفاده از FedCM در حال امضای RP است

Chrome از Chrome 101 با FedCM آزمایش کرده است.

تیم Google Identity Services در آزمایش اولیه شرکت کرد و نشان داد که تغییر به یک فرآیند ورود به سیستم خصوصی‌تر و ایمن‌تر که متکی به کوکی‌های شخص ثالث نیست، می‌تواند به‌طور شفاف از طریق به‌روزرسانی‌های سازگار با عقب در کتابخانه موجود آنها انجام شود. آن‌ها FedCM را در 20 حزب متکی مختلف فعال کردند و بیش از 300 هزار کاربر در طول آزمایش‌های اصلی به آن‌ها وارد شدند. درباره نحوه برنامه ریزی آنها برای حذف وابستگی خود به کوکی های شخص ثالث بیشتر بدانید.

ما هیجان زده هستیم که نقاط مشترک زیادی با موزیلا پیدا کنیم، که به طور فعال در بحث طراحی شرکت داشته و نمونه سازی FedCM را در فایرفاکس آغاز کرده است . اپل حمایت کلی خود را از مشخصات اعلام کرده است و شروع به شرکت در بحث در FedID CG کرده است.

بعدش چی

ما در حال کار بر روی ایجاد تعدادی تغییرات در FedCM هستیم.

چند چیز وجود دارد که می دانیم هنوز باید انجام شود، از جمله مسائلی که از IdP ها، RP ها و فروشندگان مرورگر شنیده ایم. ما معتقدیم که می دانیم چگونه این مسائل را حل کنیم:

پشتیبانی از iframe متقاطع : IdP ها می توانند FedCM را از داخل یک iframe متقاطع فراخوانی کنند.
دکمه شخصی سازی شده : IdP ها می توانند هویت کاربر بازگشتی را در دکمه ورود به سیستم از داخل یک iframe متقاطع نشان دهند.
نقطه پایانی متریک : معیارهای عملکرد را به IdP ها ارائه می دهد.

علاوه بر این، مسائل حل‌نشده‌ای وجود دارد که ما فعالانه در حال بررسی آن هستیم، از جمله پیشنهادات خاصی که در حال ارزیابی یا نمونه‌سازی اولیه هستیم:

CORS : ما در حال گفتگو با اپل و موزیلا هستیم تا از بهبود مشخصات واکشی FedCM اطمینان حاصل کنیم.
Multiple-IdP API : ما در حال بررسی راه‌هایی برای پشتیبانی از چندین IdP برای همزیستی در انتخابگر حساب FedCM هستیم.
IdP Sign-in Status API : Mozilla یک مشکل حمله زمان‌بندی را شناسایی کرده است و ما در حال بررسی راه‌هایی هستیم تا یک IdP به طور فعال وضعیت ورود کاربر را به مرورگر اطلاع دهد تا مشکل را کاهش دهد.
ورود به IdP API : برای پشتیبانی از سناریوهای مختلف ، زمانی که کاربر وارد IdP نشده است، مرورگر یک UI برای کاربر فراهم می‌کند تا بدون خروج از RP وارد سیستم شود.

در نهایت، کارهایی وجود دارد که ما معتقدیم هنوز باید انجام شود، بر اساس بازخورد موزیلا ، اپل و بازبینان TAG . ما در حال کار برای ارزیابی بهترین راه حل برای این سوالات باز هستیم:

بهبود درک کاربر و هدف تطبیق : همانطور که موزیلا اشاره کرد ، ما می‌خواهیم به بررسی فرمول‌بندی‌های مختلف UX و نواحی سطحی و همچنین معیارهای راه‌اندازی ادامه دهیم.
ویژگی‌های هویت و افشای انتخابی : همانطور که بازبینان TAG ما اشاره کردند ، ما می‌خواهیم مکانیزمی برای اشتراک‌گذاری انتخابی بیشتر یا کمتر ویژگی‌های هویت (مانند ایمیل‌ها، براکت‌های سنی، شماره تلفن و غیره) ارائه کنیم.
افزایش ویژگی‌های حریم خصوصی : همانطور که موزیلا در اینجا پیشنهاد کرد، مایلیم به بررسی مکانیسم‌هایی برای ارائه تضمین‌های حفظ حریم خصوصی بهتر، مانند نابینایی IdP و شناسه‌های هدایت‌شده ادامه دهیم.
ارتباط با WebAuthn : همانطور که توسط اپل پیشنهاد شده است، ما بسیار هیجان زده هستیم که پیشرفت رمز عبور را ببینیم و روی ارائه یک تجربه منسجم و منسجم بین FedCM، Passwords، WebAuthn و WebOTP کار کنیم.
وضعیت ورود : همانطور که اپل با API وضعیت ورود به سیستم Privacy CG پیشنهاد کرده است، ما این تصور را به اشتراک می گذاریم که وضعیت ورود به سیستم کاربر اطلاعات مفیدی است که می تواند به مرورگرها در تصمیم گیری آگاهانه کمک کند، و ما هیجان زده هستیم که ببینیم چه فرصت هایی از آن به وجود می آید.
شرکت ها و آموزش : همانطور که در FedID CG مشخص است، هنوز موارد استفاده زیادی وجود دارد که توسط FedCM به خوبی ارائه نمی شود و ما می خواهیم روی آنها کار کنیم، مانند خروج از کانال جلو (قابلیت ارسال یک IdP) سیگنالی به RP ها برای خروج از سیستم) و پشتیبانی از SAML.
ارتباط با mDLها، VCها و سایر موارد : برای درک اینکه چگونه اینها در FedCM مطابقت دارند، به کار خود ادامه دهید، به عنوان مثال با API درخواست سند موبایل .

منابع

نسخه ی نمایشی FedCM را امتحان کنید.
اگر یک IdP هستید که علاقه مند به پیاده سازی FedCM هستید، راهنمای توسعه دهنده را بخوانید. اگر شما یک RP هستید، از IdP خود بپرسید که آیا قصد پیاده سازی FedCM را دارند یا خیر.
به روز رسانی FedCM API را مرور کنید.
اگر درخواست ویژگی، بازخورد یا مشکلی دارید، آنها را در مخزن عمومی FedCM در GitHub ثبت کنید.