이 페이지에서는 FedCM의 이점, FedCM 구현을 고려해야 하는 대상, 사용자가 FedCM과 상호작용하는 방법을 설명합니다.
Federated Credential Management (FedCM)는 서드 파티 쿠키나 탐색 리디렉션에 의존하지 않는 제휴 ID 서비스 (예: ID 공급업체로 로그인)에 대한 개인 정보 보호 중심의 사용자 친화적인 접근 방식입니다.
FedCM을 사용하면 사용자가 웹사이트에서 서드 파티 ID 공급업체를 사용하여 새로운 방식으로 인증할 수 있습니다.
ID 제휴란 무엇인가요?
ID 제휴는 개인(사용자 또는 엔티티)의 인증 또는 승인을 신뢰할 수 있는 외부 ID 공급업체 (IdP)에 위임합니다. 그러면 IdP에서 개인이 신뢰 당사자 웹사이트 (RP)에 로그인할 수 있도록 허용합니다. ID 페더레이션을 사용하면 RP는 IdP가 새 사용자 이름과 비밀번호를 요구하지 않고 사용자에게 계정을 제공하도록 합니다.
제휴 ID 솔루션을 사용하면 사용자가 모든 RP에 대해 사용자 인증 정보 집합을 추가로 만들지 않아도 됩니다. 이를 통해 사용자 환경이 개선되고 피싱 가능성이 줄어들며 RP가 신뢰할 수 있는 ID 제공업체로부터 인증된 사용자 정보를 획득할 수 있습니다.
기존 솔루션 및 서드 파티 쿠키
기존 ID 제휴 메커니즘은 iframe, 리디렉션 또는 서드 파티 쿠키를 사용하므로 개인 정보 보호 문제가 발생합니다. 이러한 솔루션은 웹 전반에서 사용자를 추적하는 데 악용될 수 있으며 브라우저는 합법적인 ID 서비스와 원치 않는 감시를 구분할 수 없습니다.
개인 정보 보호에 대한 우려로 주요 브라우저에서 서드 파티 쿠키를 제한하고 있습니다. 이로 인해 일부 기능이 영향을 받을 수 있습니다. 커뮤니티의 노력과 Google의 연구를 통해 서드 파티 쿠키 제한의 영향을 받는 몇 가지 ID 제휴 관련 통합이 있는 것으로 확인되었습니다.
FedCM을 사용한 ID 제휴
FedCM은 프로토콜에 구애받지 않습니다. 독립형 솔루션으로 구현하거나 다양한 프로토콜에서 활용할 수 있는 추가 레이어로 구현할 수 있습니다. 예를 들어 기능적인 OAuth 서버는 FedCM 엔드포인트를 구현한 다음 FedCM 응답에서 반환된 승인 코드를 OAuth 액세스 토큰으로 교환하여 FedCM의 브라우저 매개 원탭 로그인 환경과 직관적인 UI를 활용할 수 있습니다.
FedCM이 필요한 이유는 무엇인가요?
기존 솔루션과 비교할 때 사용자, RP, IdP 개발자를 염두에 두고 설계된 웹 생태계에 여러 이점을 제공합니다.
서드 파티 쿠키 없는 ID 솔루션 지원
FedCM은 웹 전반에서 사용자를 추적하는 데 자주 사용되는 서드 파티 쿠키에 대한 의존도를 줄이는 데 도움이 됩니다. 이 API는 서드 파티 쿠키를 사용할 수 없는 경우 (예: 시크릿 모드)에도 개인 맞춤 로그인 환경을 제공합니다.
FedCM은 다른 개인 정보 보호 샌드박스 API와도 통합됩니다. 예를 들어 Storage Access API는 FedCM 인증을 신뢰 신호로 사용합니다. 이 통합은 인증을 위해 FedCM과 SAA를 모두 사용하여 교차 출처 iframe이 필요한 저장소에 액세스하도록 지원하는 웹사이트에 유용합니다.
사용자 환경 개선
FedCM은 간소화된 원탭 로그인 프로세스를 위해 브라우저 매개 UI 대화상자를 도입합니다. 또한 이 API는 때때로 NASCAR 문제라고도 하는 어수선한 로그인 페이지 문제를 해결합니다.
FedCM은 압도적인 수의 소셜 로그인 버튼 대신 더 간단하고 사용자 친화적인 인터페이스를 제공합니다.
보안
제휴 ID 방식을 사용하면 사용자가 IdP에서 관리하는 신뢰할 수 있는 계정을 사용할 수 있습니다. 이 방법을 사용하면 사용자가 모든 사이트에 사용자 인증 정보를 추가하지 않아도 됩니다. 이렇게 하면 피싱 공격의 표면이 줄어듭니다. 또한 RP는 자체적인 강력한 보안 조치를 구현하는 대신 안전한 ID 관리를 전문으로 하는 IdP의 전문성을 활용할 수 있습니다.
FedCM은 사용자가 제휴 ID 흐름을 더욱 편리하게 사용할 수 있도록 하여 보안이 낮은 ID 흐름보다 선호하도록 유도하는 것을 목표로 합니다.
더 많은 사용자를 위한 맞춤 환경
FedCM은 계정 가입 흐름 중에 UX 마찰을 줄입니다. Google ID 서비스의 케이스 스터디에 따르면 사용자는 다단계 로그인 옵션보다 FedCM의 원탭 흐름으로 계정을 만드는 것을 선호합니다.
FedCM을 사용하면 더 많은 IdP가 사용자에게 원탭 로그인 환경을 제공할 수 있습니다. 원탭 ID 흐름을 제공하는 IdP가 늘어남에 따라 사용자는 RP에서 더 다양한 IdP를 선택할 수 있습니다. FedCM은 사용자에게 가장 관련성 높은 계정을 표시하여 개선된 IdP 선택 메커니즘을 제공합니다.
가입률이 높을수록 RP는 더 많은 사용자에게 맞춤 환경을 제공할 수 있습니다.
다양한 ID 공급업체 지원
FedCM의 간소화된 UI는 사용자에게 관련 IdP의 맞춤 목록을 표시하는 것을 목표로 합니다. FedCM의 IdP 선택 메커니즘을 사용하면 IdP의 사용자 기반 크기에 따라 RP의 IdP 선택이 더 이상 제한되지 않습니다. 예를 들어 일부 사용자는 bigger-idp.example이 아닌 small-idp.example 계정만 있을 수 있습니다.
다중 IdP 기능을 사용하면 rp.example가 UI를 어지럽히지 않고 small-idp.example와 bigger-idp.example를 모두 지원할 수 있습니다. 이는 다음과 같은 모든 당사자에게 이점을 제공합니다.
- 사용자는 크고 작음에 관계없이 원하는 IdP를 선택할 수 있습니다.
- RP는 다양한 IdP 지원을 통해 더 많은 사용자에게 도달
- 사용자층이 작은 IdP는 더 많은 RP에서 사용할 수 있습니다.
FedCM은 누가 사용해야 하나요?
다음 조건이 적용되는 경우에만 FedCM이 유용할 것으로 예상됩니다.
- 서드 파티 RP가 있는 ID 공급업체 (IdP)입니다.
- 자체 ID 솔루션이 있고 이 솔루션을 사용하는 도메인이 여러 개 있습니다.
- 서드 파티 쿠키 없이 탐색하는 사용자의 경우에도 제휴 ID 흐름을 지원하려고 합니다.
IdP인 경우
FedCM에는 ID 공급업체의 지원이 필요합니다. 신뢰 당사자는 FedCM을 독립적으로 사용할 수 없습니다. RP인 경우 IdP에 안내를 제공해 달라고 요청할 수 있습니다.
여러 RP
RP가 서드 파티이거나 ID 솔루션을 사용하는 RP가 4개를 초과하는 경우 FedCM이 제휴 ID에 권장되는 API입니다.
쿠키 없는 ID 제휴 흐름을 지원하는 것을 목표로 합니다.
FedCM은 서드 파티 쿠키 없이 탐색하는 사용자에게도 필수적인 제휴 ID 흐름을 지원합니다. FedCM을 사용하면 사용자는 RP에서 제휴 계정으로 가입, 로그인, 로그아웃할 수 있습니다.
또한 FedCM은 Storage Access API의 신뢰 신호 역할을 하여 IdP에서 시작한 스토리지 액세스 요청의 마찰을 없애줍니다.
FedCM과의 사용자 상호작용
FedCM은 인증 프로토콜에 구애받지 않도록 설계되었으며 사용자에게 서드 파티 IdP로 RP를 인증하는 새로운 흐름을 제공합니다. 데모를 통해 FedCM을 사용해 보세요.
신뢰 당사자에 로그인
사용자는 RP에서 지원하는 IdP 집합에서 계정을 선택할 수 있습니다. 사용자가 여러 IdP로 로그인한 경우 IdP 중 하나를 사용하여 RP에 로그인하라는 메시지가 표시됩니다.
사용자의 계정은 다음 순서로 표시됩니다.
- 사용자의 기기에서 액세스한 계정이 먼저 표시되며, 가장 최근에 액세스한 계정이 먼저 표시됩니다.
- IdP에 따라 RP에서 사용자가 액세스한 계정이 다음에 표시됩니다. 액세스한 계정에 관한 정보는
approved_clients계정 엔드포인트 속성 값에서 추출됩니다. - 이전에 RP에서 사용되지 않은 계정은 마지막에 표시됩니다.
이러한 우선순위 등급 내에 계정이 여러 개 있는 경우 이러한 계정은 RP가 get() 호출에서 제공한 IDP 순서에 따라 추가로 정렬됩니다.
FedCM UI 모드
FedCM에는 수동과 활성의 두 가지 UI 모드가 있습니다.
수동 모드 수동 모드에서는 FedCM 프롬프트가 표시되기 위해 사용자 상호작용이 필요하지 않습니다. 사용자가 신뢰 당사자 (RP) 웹사이트를 방문하면 다음 조건을 충족하는 경우 navigator.credentials.get()가 호출될 때 FedCM 로그인 대화상자가 표시됩니다.
- 사용자가 지원되는 IdP 중 하나에 로그인되어 있습니다. 사용자의 상태가 사용 가능한 모든 IdP에 대해 로그아웃된 경우 FedCM 로그인 프롬프트가 자동으로 표시되지 않습니다.
- 사용자의 브라우저에 FedCM 쿨다운 설정이 설정되어 있지 않습니다.
- 사용자가 브라우저 설정에서 FedCM을 사용 중지하지 않았습니다. 사용자가 FedCM을 선택 해제하는 방법을 자세히 알아보세요.
활성 모드 활성 모드에서는 FedCM 프롬프트를 트리거하기 위해 일시적인 사용자 활성화 (예: …으로 로그인 버튼 클릭)가 필요합니다.
사용자는 사용자로 계속하기를 탭하여 로그인을 완료할 수 있습니다. 성공하면 브라우저가 사용자가 IdP를 사용하여 RP에 제휴 계정을 만들었다는 사실을 저장합니다.
사용자가 IdP를 사용하여 RP에 계정이 없는 경우 RP의 서비스 약관 및 개인정보처리방침과 같은 추가 공개 텍스트가 포함된 가입 대화상자가 표시됩니다.
ePrivacy 법규 준수
IdP 또는 RP로 FedCM을 사용하는 경우 사용자의 터미널 장비에 정보를 저장하거나 이미 저장된 정보에 액세스해야 하므로 유럽 경제 지역(EEA) 및 영국의 ePrivacy 법률이 적용되는 활동이며 일반적으로 사용자 동의가 필요합니다. 사용자가 명시적으로 요청한 온라인 서비스를 제공하는 데 FedCM 사용이 엄격하게 필요한지, 따라서 동의 요건에서 제외되는지 여부를 판단하는 것은 귀하의 책임입니다.
Vision
Google에서는 현재의 제한사항을 해결하고 더 나은 사용자 환경을 제공하기 위해 새로운 기능을 적극적으로 개발하고 있습니다.
- Google에서는 사용자에게 원활하고 직관적이며 덜 방해적인 인증 절차를 제공하기 위해 더 조용한 UX 공식을 모색하고 있습니다.
- Google은 사용자 개인 정보 보호를 개선하기 위해 노력하고 있습니다. Google은 IdP 추적 문제를 완화하는 위임 지향 차세대 FedCM 모델로 전환할 계획입니다. 차세대에서는 사용자가 IdP를 따르지 않고 RP에 로그인할 수 있습니다.
- FedCM은 RP의 선택에 따라 사용자에게 더 다양한 IdP를 제공하는 것을 목표로 합니다. 이를 위해 Google에서는 Multi-IdP 및 IdP 등록 API를 개발하고 있습니다.
- Google은 통합 인증 환경을 도입하기 위해 FedCM을 비밀번호와 같은 다른 인증 방법과 자동 완성 같은 추가 수단과 통합하기 위해 적극적으로 노력하고 있습니다.
자세한 내용은 로드맵을 참고하세요.