На этой странице объясняются преимущества FedCM, кому следует рассмотреть возможность внедрения FedCM и как пользователи взаимодействуют с FedCM .
Федеративное управление учетными данными (FedCM) — это ориентированный на конфиденциальность и удобный для пользователя подход к федеративным службам идентификации (таким как вход с помощью поставщика идентификации ), который не зависит от сторонних файлов cookie или перенаправлений навигации.
FedCM предоставляет пользователю новый способ аутентификации на веб-сайте с помощью стороннего поставщика идентификационных данных.
Что такое федерация идентичностей?
Федерация идентификации делегирует аутентификацию или авторизацию отдельного лица (пользователя или организации) доверенному внешнему поставщику идентификационных данных (IdP). Затем IdP позволяет пользователю войти на веб-сайт зависимой стороны (RP). При федерации идентификации RP полагается на IdP для предоставления пользователю учетной записи без необходимости ввода нового имени пользователя и пароля.
Благодаря решениям на основе федеративной идентификации пользователю не нужно создавать отдельный набор учетных данных для каждого RP (Received Point). Это улучшает пользовательский опыт, снижает вероятность фишинга и помогает RP получать проверенную информацию о пользователе от надежных поставщиков идентификационных данных.
Традиционные решения и файлы cookie третьих сторон
Традиционные механизмы федерации идентификации основаны на использовании iframe, перенаправлений или сторонних файлов cookie, что вызывает опасения по поводу конфиденциальности. Эти решения могут быть использованы для отслеживания пользователей в интернете, а браузеры не способны отличить легитимные службы идентификации от нежелательного наблюдения.
Учитывая проблемы конфиденциальности, основные браузеры ограничивают использование сторонних файлов cookie. Это может повлиять на некоторые функции. Благодаря усилиям сообщества и нашим исследованиям мы выяснили, что некоторые интеграции, связанные с федерацией идентификации, затронуты ограничениями на использование сторонних файлов cookie.
Федерация идентификации с FedCM
FedCM не зависит от протокола: его можно реализовать как автономное решение или как дополнительный уровень, который может использовать различные протоколы. Например, функциональный OAuth- сервер может воспользоваться преимуществами удобного входа в систему одним касанием через браузер и интуитивно понятного пользовательского интерфейса FedCM, реализовав конечные точки FedCM и обменяв код авторизации, возвращаемый в ответе FedCM, на токен доступа OAuth.
Зачем нам нужен FedCM?
По сравнению с традиционными решениями, оно предлагает множество преимуществ для веб-экосистемы, разработанное с учетом потребностей пользователей, поставщиков услуг и разработчиков, предоставляющих идентификационные данные.
Поддержка решений для управления идентификацией без использования сторонних файлов cookie.
FedCM может помочь снизить зависимость от сторонних файлов cookie, которые часто используются для отслеживания пользователей в интернете. API предлагает персонализированный процесс входа в систему даже при отсутствии сторонних файлов cookie (например, в режиме инкогнито).
FedCM также интегрирован с другими API песочницы конфиденциальности. Например, API доступа к хранилищу использует аутентификацию FedCM в качестве сигнала доверия . Эта интеграция полезна для веб-сайтов, которые полагаются как на FedCM для аутентификации, так и на SAA для обеспечения доступа к необходимому хранилищу через iframe из разных источников.
Улучшенный пользовательский опыт
FedCM представляет диалоговое окно пользовательского интерфейса, управляемое браузером, для упрощения процесса входа в систему одним касанием. API также решает проблему перегруженных страниц входа в систему, которую иногда называют « проблемой NASCAR» .

Вместо огромного количества кнопок авторизации через социальные сети, FedCM предлагает более простой и удобный интерфейс .
Безопасность
Подход с использованием федеративной идентификации позволяет пользователям использовать доверенные учетные записи, управляемые поставщиками идентификации (IdP). При таком подходе пользователям не нужно добавлять учетные данные на каждый сайт. Это уменьшает поверхность для фишинговых атак. Кроме того, вместо внедрения собственных надежных мер безопасности, поставщики услуг могут полагаться на опыт поставщиков идентификации, специализирующихся на безопасном управлении идентификацией.
Цель FedCM — сделать федеративный поток идентификации еще более удобным для пользователей, побуждая их отдавать ему предпочтение перед менее безопасными потоками идентификации.
Персонализированный опыт для большего числа пользователей
FedCM снижает неудобства для пользователя в процессе регистрации аккаунта. Исследования Google Identity Service показывают, что пользователи предпочитают создавать аккаунты с помощью функции One Tap в FedCM, а не с помощью многоэтапных вариантов входа в систему.
Благодаря FedCM, больше поставщиков идентификации (IdP) могут предложить своим пользователям вход в систему в одно касание. Увеличение числа IdP, предлагающих вход в систему в одно касание, позволяет пользователям выбирать из более широкого ассортимента IdP на RP. FedCM обеспечивает улучшенный механизм выбора IdP, предоставляя пользователям наиболее подходящие учетные записи .
Благодаря более высоким показателям регистрации, RP-платформы могут предлагать персонализированный сервис большему числу пользователей.
Поддержка различных поставщиков идентификационных данных
Упрощенный пользовательский интерфейс FedCM призван предоставлять пользователям персонализированный список соответствующих поставщиков идентификации (IdP) . Благодаря механизму выбора IdP в FedCM, выбор поставщиков идентификации (RP) больше не ограничен размером пользовательской базы IdP. Например, часть пользователей может иметь учетную запись только у small-idp.example , а не у bigger-idp.example .
Благодаря функции Multi-IdP, rp.example может поддерживать как small-idp.example , так и bigger-idp.example не перегружая пользовательский интерфейс. Это выгодно всем сторонам:
- Пользователи могут выбрать предпочтительного поставщика идентификации (IdP) независимо от его размера.
- Благодаря разнообразной поддержке поставщиков идентификации, RP-системы охватывают больше пользователей.
- Поставщики идентификационных данных с меньшей пользовательской базой доступны на большем количестве RP.
Кому следует использовать FedCM?
Мы ожидаем, что FedCM будет вам полезен только при соблюдении следующих условий:
- Вы являетесь поставщиком идентификационных данных (IdP) и взаимодействуете с сторонними поставщиками услуг (RP).
- У вас есть собственное решение для управления идентификацией, и от него зависят несколько доменов.
- Ваша цель — поддерживать федеративные потоки идентификации даже для пользователей, которые предпочитают просматривать веб-страницы без использования сторонних файлов cookie.
Вы — поставщик идентификационных данных.
Для работы FedCM требуется поддержка со стороны поставщика идентификационных данных. Сторона, полагающаяся на идентификационные данные, не может использовать FedCM самостоятельно. Если вы являетесь такой стороной, вы можете запросить у своего поставщика идентификационных данных инструкции.
Множественные RP
Если ваши поставщики услуг (RP) являются сторонними компаниями или ваше решение для управления идентификацией используют более четырех поставщиков услуг, то FedCM — это рекомендуемый API для федеративной идентификации.
Ваша цель — обеспечить поддержку процесса федерации идентификации без использования cookie-файлов.
FedCM поддерживает основные потоки федеративной идентификации даже для пользователей, которые просматривают сайты без сторонних файлов cookie. С помощью FedCM пользователи по-прежнему могут регистрироваться, входить и выходить из системы, используя свои федеративные учетные записи на RP.
Кроме того, FedCM служит сигналом доверия для API доступа к хранилищу, устраняя препятствия для запросов на доступ к хранилищу, инициированных поставщиком идентификации.
Взаимодействие пользователя с FedCM
FedCM разработан таким образом, чтобы быть независимым от протокола аутентификации и предлагать пользователю новый способ аутентификации у поставщика идентификации (IdP) в точке принятия решения (RP). Попробуйте FedCM в нашей демо-версии .
Войти в систему зависимой стороны
Пользователи могут выбрать учетную запись из набора поставщиков идентификации (IdP), поддерживаемых RP. Если пользователь авторизован с использованием нескольких IdP, ему будет предложено войти в RP, используя один из них.
Учетные записи пользователей отображаются в следующем порядке:
- В первую очередь отображаются учетные записи, к которым пользователь обращался на своем устройстве, при этом сначала идут учетные записи, к которым обращались недавно.
- Далее отображаются учетные записи, к которым пользователь обращался в RP в соответствии с IdP. Информация о том, к каким учетным записям осуществлялся доступ, извлекается из значения свойства конечной точки учетной записи
approved_clients. - Учетные записи, которые ранее не использовались на RP, отображаются в конце списка.
Если в любом из этих уровней приоритета имеется несколько учетных записей, то их порядок определяется в соответствии с порядком поставщиков идентификации (IdP), предоставленным участником процесса обработки (RP) в вызове функции get() .
Режимы пользовательского интерфейса FedCM
FedCM имеет два режима пользовательского интерфейса: пассивный и активный .
Пассивный режим . В пассивном режиме для появления запроса FedCM не требуется взаимодействие с пользователем. Когда пользователь попадает на веб-сайт зависимой стороны (RP), при вызове метода navigator.credentials.get() появится диалоговое окно входа в FedCM, если выполняются следующие условия:
- Пользователь авторизован как минимум в одном из поддерживаемых поставщиков идентификации (IdP). Если статус пользователя указан как «Вышел из системы» для всех доступных IdP, запрос на вход в FedCM автоматически не отображается.
- Параметр задержки FedCM не задан в браузере пользователя.
- Пользователь не отключил FedCM в настройках своего браузера . Узнайте больше о том, как пользователи могут отказаться от использования FedCM.
Активный режим . В активном режиме для запуска запроса FedCM требуется временная активация пользователя (например, нажатие кнопки «Войти с помощью… »).
Пользователь может завершить вход в систему, нажав кнопку «Продолжить как пользователь» . В случае успеха браузер сохранит информацию о том, что пользователь создал федеративную учетную запись на стороне поставщика услуг (RP) у поставщика идентификации (IdP).
Если у пользователя нет учетной записи в RP у IdP, появляется диалоговое окно регистрации с дополнительным текстом, содержащим условия обслуживания и политику конфиденциальности RP.
Соблюдение законов о защите персональных данных в электронных коммуникациях.
Использование FedCM, будь то в качестве поставщика идентификации (IdP) или поставщика услуг (RP), предполагает хранение информации на терминальном оборудовании пользователя или доступ к информации, уже хранящейся в нем, и, следовательно, является деятельностью, подпадающей под действие законов о защите конфиденциальности в электронных коммуникациях (ePrivacy) в Европейской экономической зоне (ЕЭЗ) и Великобритании, требующих согласия пользователя. Вы несете ответственность за определение того, является ли использование FedCM строго необходимым для предоставления онлайн-услуги, явно запрошенной пользователем, и, следовательно, освобождает ли оно от требования получения согласия.
Зрение
Мы активно разрабатываем новые функции для устранения существующих ограничений и улучшения пользовательского опыта.
- Мы изучаем более тихие варианты пользовательского интерфейса, чтобы обеспечить плавный, интуитивно понятный и менее навязчивый процесс аутентификации для пользователей.
- Мы стремимся к повышению конфиденциальности пользователей. Мы планируем перейти к ориентированной на делегирование модели NextGen FedCM, которая решает проблему отслеживания со стороны поставщиков идентификации (IdP). С NextGen пользователи смогут входить в систему RP без отслеживания со стороны IdP.
- Цель FedCM — предоставить пользователям более широкий выбор поставщиков идентификации (IdP) в зависимости от выбора поставщика услуг (RP). Для достижения этой цели мы работаем над API для работы с несколькими поставщиками идентификации (Multi-IdP) и API для регистрации поставщиков идентификации (IdP Registration).
- Мы активно работаем над интеграцией FedCM с другими методами аутентификации, такими как Passkeys, а также с дополнительными средствами, например, автозаполнением, чтобы обеспечить единый интерфейс аутентификации.
Более подробную информацию смотрите в нашем плане развития .
,На этой странице объясняются преимущества FedCM, кому следует рассмотреть возможность внедрения FedCM и как пользователи взаимодействуют с FedCM .
Федеративное управление учетными данными (FedCM) — это ориентированный на конфиденциальность и удобный для пользователя подход к федеративным службам идентификации (таким как вход с помощью поставщика идентификации ), который не зависит от сторонних файлов cookie или перенаправлений навигации.
FedCM предоставляет пользователю новый способ аутентификации на веб-сайте с помощью стороннего поставщика идентификационных данных.
Что такое федерация идентичностей?
Федерация идентификации делегирует аутентификацию или авторизацию отдельного лица (пользователя или организации) доверенному внешнему поставщику идентификационных данных (IdP). Затем IdP позволяет пользователю войти на веб-сайт зависимой стороны (RP). При федерации идентификации RP полагается на IdP для предоставления пользователю учетной записи без необходимости ввода нового имени пользователя и пароля.
Благодаря решениям на основе федеративной идентификации пользователю не нужно создавать отдельный набор учетных данных для каждого RP (Received Point). Это улучшает пользовательский опыт, снижает вероятность фишинга и помогает RP получать проверенную информацию о пользователе от надежных поставщиков идентификационных данных.
Традиционные решения и файлы cookie третьих сторон
Традиционные механизмы федерации идентификации основаны на использовании iframe, перенаправлений или сторонних файлов cookie, что вызывает опасения по поводу конфиденциальности. Эти решения могут быть использованы для отслеживания пользователей в интернете, а браузеры не способны отличить легитимные службы идентификации от нежелательного наблюдения.
Учитывая проблемы конфиденциальности, основные браузеры ограничивают использование сторонних файлов cookie. Это может повлиять на некоторые функции. Благодаря усилиям сообщества и нашим исследованиям мы выяснили, что некоторые интеграции, связанные с федерацией идентификации, затронуты ограничениями на использование сторонних файлов cookie.
Федерация идентификации с FedCM
FedCM не зависит от протокола: его можно реализовать как автономное решение или как дополнительный уровень, который может использовать различные протоколы. Например, функциональный OAuth- сервер может воспользоваться преимуществами удобного входа в систему одним касанием через браузер и интуитивно понятного пользовательского интерфейса FedCM, реализовав конечные точки FedCM и обменяв код авторизации, возвращаемый в ответе FedCM, на токен доступа OAuth.
Зачем нам нужен FedCM?
По сравнению с традиционными решениями, оно предлагает множество преимуществ для веб-экосистемы, разработанное с учетом потребностей пользователей, поставщиков услуг и разработчиков, предоставляющих идентификационные данные.
Поддержка решений для управления идентификацией без использования сторонних файлов cookie.
FedCM может помочь снизить зависимость от сторонних файлов cookie, которые часто используются для отслеживания пользователей в интернете. API предлагает персонализированный процесс входа в систему даже при отсутствии сторонних файлов cookie (например, в режиме инкогнито).
FedCM также интегрирован с другими API песочницы конфиденциальности. Например, API доступа к хранилищу использует аутентификацию FedCM в качестве сигнала доверия . Эта интеграция полезна для веб-сайтов, которые полагаются как на FedCM для аутентификации, так и на SAA для обеспечения доступа к необходимому хранилищу через iframe из разных источников.
Улучшенный пользовательский опыт
FedCM представляет диалоговое окно пользовательского интерфейса, управляемое браузером, для упрощения процесса входа в систему одним касанием. API также решает проблему перегруженных страниц входа в систему, которую иногда называют « проблемой NASCAR» .

Вместо огромного количества кнопок авторизации через социальные сети, FedCM предлагает более простой и удобный интерфейс .
Безопасность
Подход с использованием федеративной идентификации позволяет пользователям использовать доверенные учетные записи, управляемые поставщиками идентификации (IdP). При таком подходе пользователям не нужно добавлять учетные данные на каждый сайт. Это уменьшает поверхность для фишинговых атак. Кроме того, вместо внедрения собственных надежных мер безопасности, поставщики услуг могут полагаться на опыт поставщиков идентификации, специализирующихся на безопасном управлении идентификацией.
Цель FedCM — сделать федеративный поток идентификации еще более удобным для пользователей, побуждая их отдавать ему предпочтение перед менее безопасными потоками идентификации.
Персонализированный опыт для большего числа пользователей
FedCM снижает неудобства для пользователя в процессе регистрации аккаунта. Исследования Google Identity Service показывают, что пользователи предпочитают создавать аккаунты с помощью функции One Tap в FedCM, а не с помощью многоэтапных вариантов входа в систему.
Благодаря FedCM, больше поставщиков идентификации (IdP) могут предложить своим пользователям вход в систему в одно касание. Увеличение числа IdP, предлагающих вход в систему в одно касание, позволяет пользователям выбирать из более широкого ассортимента IdP на RP. FedCM обеспечивает улучшенный механизм выбора IdP, предоставляя пользователям наиболее подходящие учетные записи .
Благодаря более высоким показателям регистрации, RP-платформы могут предлагать персонализированный сервис большему числу пользователей.
Поддержка различных поставщиков идентификационных данных
Упрощенный пользовательский интерфейс FedCM призван предоставлять пользователям персонализированный список соответствующих поставщиков идентификации (IdP) . Благодаря механизму выбора IdP в FedCM, выбор поставщиков идентификации (RP) больше не ограничен размером пользовательской базы IdP. Например, часть пользователей может иметь учетную запись только у small-idp.example , а не у bigger-idp.example .
Благодаря функции Multi-IdP, rp.example может поддерживать как small-idp.example , так и bigger-idp.example не перегружая пользовательский интерфейс. Это выгодно всем сторонам:
- Пользователи могут выбрать предпочтительного поставщика идентификации (IdP) независимо от его размера.
- Благодаря разнообразной поддержке поставщиков идентификации, RP-системы охватывают больше пользователей.
- Поставщики идентификационных данных с меньшей пользовательской базой доступны на большем количестве RP.
Кому следует использовать FedCM?
Мы ожидаем, что FedCM будет вам полезен только при соблюдении следующих условий:
- Вы являетесь поставщиком идентификационных данных (IdP) и взаимодействуете с сторонними поставщиками услуг (RP).
- У вас есть собственное решение для управления идентификацией, и от него зависят несколько доменов.
- Ваша цель — поддерживать федеративные потоки идентификации даже для пользователей, которые предпочитают просматривать веб-страницы без использования сторонних файлов cookie.
Вы — поставщик идентификационных данных.
Для работы FedCM требуется поддержка со стороны поставщика идентификационных данных. Сторона, полагающаяся на идентификационные данные, не может использовать FedCM самостоятельно. Если вы являетесь такой стороной, вы можете запросить у своего поставщика идентификационных данных инструкции.
Множественные RP
Если ваши поставщики услуг (RP) являются сторонними компаниями или ваше решение для управления идентификацией используют более четырех поставщиков услуг, то FedCM — это рекомендуемый API для федеративной идентификации.
Ваша цель — обеспечить поддержку процесса федерации идентификации без использования cookie-файлов.
FedCM поддерживает основные потоки федеративной идентификации даже для пользователей, которые просматривают сайты без сторонних файлов cookie. С помощью FedCM пользователи по-прежнему могут регистрироваться, входить и выходить из системы, используя свои федеративные учетные записи на RP.
Кроме того, FedCM служит сигналом доверия для API доступа к хранилищу, устраняя препятствия для запросов на доступ к хранилищу, инициированных поставщиком идентификации.
Взаимодействие пользователя с FedCM
FedCM разработан таким образом, чтобы быть независимым от протокола аутентификации и предлагать пользователю новый способ аутентификации у поставщика идентификации (IdP) в точке принятия решения (RP). Попробуйте FedCM в нашей демо-версии .
Войти в систему зависимой стороны
Пользователи могут выбрать учетную запись из набора поставщиков идентификации (IdP), поддерживаемых RP. Если пользователь авторизован с использованием нескольких IdP, ему будет предложено войти в RP, используя один из них.
Учетные записи пользователей отображаются в следующем порядке:
- В первую очередь отображаются учетные записи, к которым пользователь обращался на своем устройстве, при этом сначала идут учетные записи, к которым обращались недавно.
- Далее отображаются учетные записи, к которым пользователь обращался в RP в соответствии с IdP. Информация о том, к каким учетным записям осуществлялся доступ, извлекается из значения свойства конечной точки учетной записи
approved_clients. - Учетные записи, которые ранее не использовались на RP, отображаются в конце списка.
Если в любом из этих уровней приоритета имеется несколько учетных записей, то их порядок определяется в соответствии с порядком поставщиков идентификации (IdP), предоставленным участником процесса обработки (RP) в вызове функции get() .
Режимы пользовательского интерфейса FedCM
FedCM имеет два режима пользовательского интерфейса: пассивный и активный .
Пассивный режим . В пассивном режиме для появления запроса FedCM не требуется взаимодействие с пользователем. Когда пользователь попадает на веб-сайт зависимой стороны (RP), при вызове метода navigator.credentials.get() появится диалоговое окно входа в FedCM, если выполняются следующие условия:
- Пользователь авторизован как минимум в одном из поддерживаемых поставщиков идентификации (IdP). Если статус пользователя указан как «Вышел из системы» для всех доступных IdP, запрос на вход в FedCM автоматически не отображается.
- Параметр задержки FedCM не задан в браузере пользователя.
- Пользователь не отключил FedCM в настройках своего браузера . Узнайте больше о том, как пользователи могут отказаться от использования FedCM.
Активный режим . В активном режиме для запуска запроса FedCM требуется временная активация пользователя (например, нажатие кнопки «Войти с помощью… »).
Пользователь может завершить вход в систему, нажав кнопку «Продолжить как пользователь» . В случае успеха браузер сохранит информацию о том, что пользователь создал федеративную учетную запись на стороне поставщика услуг (RP) у поставщика идентификации (IdP).
Если у пользователя нет учетной записи в RP у IdP, появляется диалоговое окно регистрации с дополнительным текстом, содержащим условия обслуживания и политику конфиденциальности RP.
Соблюдение законов о защите персональных данных в электронных коммуникациях.
Использование FedCM, будь то в качестве поставщика идентификации (IdP) или поставщика услуг (RP), предполагает хранение информации на терминальном оборудовании пользователя или доступ к информации, уже хранящейся в нем, и, следовательно, является деятельностью, подпадающей под действие законов о защите конфиденциальности в электронных коммуникациях (ePrivacy) в Европейской экономической зоне (ЕЭЗ) и Великобритании, требующих согласия пользователя. Вы несете ответственность за определение того, является ли использование FedCM строго необходимым для предоставления онлайн-услуги, явно запрошенной пользователем, и, следовательно, освобождает ли оно от требования получения согласия.
Зрение
Мы активно разрабатываем новые функции для устранения существующих ограничений и улучшения пользовательского опыта.
- Мы изучаем более тихие варианты пользовательского интерфейса, чтобы обеспечить плавный, интуитивно понятный и менее навязчивый процесс аутентификации для пользователей.
- Мы стремимся к повышению конфиденциальности пользователей. Мы планируем перейти к ориентированной на делегирование модели NextGen FedCM, которая решает проблему отслеживания со стороны поставщиков идентификации (IdP). С NextGen пользователи смогут входить в систему RP без отслеживания со стороны IdP.
- Цель FedCM — предоставить пользователям более широкий выбор поставщиков идентификации (IdP) в зависимости от выбора поставщика услуг (RP). Для достижения этой цели мы работаем над API для работы с несколькими поставщиками идентификации (Multi-IdP) и API для регистрации поставщиков идентификации (IdP Registration).
- Мы активно работаем над интеграцией FedCM с другими методами аутентификации, такими как Passkeys, а также с дополнительными средствами, например, автозаполнением, чтобы обеспечить единый интерфейс аутентификации.
Более подробную информацию смотрите в нашем плане развития .