Webinar sem custo financeiro em 4 de novembro de 2025: O futuro da identidade na Web. Inscreva-se agora.

Esta página foi traduzida pela API Cloud Translation.

FedCM: uma API de federação de identidade que preserva a privacidade

Nesta página, explicamos os benefícios da FedCM, quem deve considerar a implementação da FedCM e como os usuários interagem com a FedCM.

O gerenciamento de credenciais federadas (FedCM) é uma abordagem centrada na privacidade e fácil de usar para serviços de identidade federada (como Fazer login com o provedor de identidade) que não depende de cookies de terceiros ou redirecionamentos de navegação.

Com a FedCM, o usuário tem uma nova maneira de autenticar com um provedor de identidade de terceiros em um site.

O que é a federação de identidade

A federação de identidades delega a autenticação ou autorização de um indivíduo (usuário ou entidade) a um provedor de identidade (IdP) externo confiável. Em seguida, o IdP permite que a pessoa faça login em um site de parte confiável (RP). Com a federação de identidades, um RP depende de um IdP para fornecer ao usuário uma conta sem exigir um novo nome de usuário e senha.

Com as soluções de identidade federada, o usuário não precisa criar outro conjunto de credenciais para cada RP. Isso melhora a experiência do usuário, reduz as chances de phishing e ajuda o RP a adquirir informações verificadas do usuário de provedores de identidade confiáveis.

Soluções convencionais e cookies de terceiros

Os mecanismos convencionais de federação de identidade dependem de iframes, redirecionamentos ou cookies de terceiros, causando problemas de privacidade. Essas soluções podem ser usadas para rastrear usuários na Web, e os navegadores não conseguem distinguir entre serviços de identidade legítimos e vigilância indesejada.

Pensando na privacidade, os principais navegadores estão restringindo os cookies de terceiros. Isso pode afetar algumas funcionalidades. Com o esforço da comunidade e nossa pesquisa, descobrimos que há algumas integrações relacionadas à federação de identidades afetadas pelas restrições de cookies de terceiros.

Federação de identidade com FedCM

A FedCM é independente de protocolo: ela pode ser implementada como uma solução independente ou como uma camada adicional que diferentes protocolos podem aproveitar. Por exemplo, um servidor OAuth funcional pode se beneficiar da experiência de login com um toque mediada pelo navegador da FedCM e da interface intuitiva implementando endpoints da FedCM e trocando o código de autorização retornado na resposta da FedCM por um token de acesso do OAuth.

Por que precisamos do FedCM?

Em comparação com as soluções convencionais, ela oferece vários benefícios para o ecossistema da Web, projetada pensando no usuário e nos desenvolvedores de RPs e IdPs.

Suporte para soluções de identidade sem cookies de terceiros

A FedCM pode ajudar a reduzir a dependência de cookies de terceiros, que geralmente são usados para rastrear usuários na Web. A API oferece uma experiência de login personalizada mesmo quando os cookies de terceiros não estão disponíveis (por exemplo, no modo de navegação anônima).

A FedCM também é integrada a outras APIs do Sandbox de privacidade. Por exemplo, a API Storage Access usa a autenticação do FedCM como um indicador de confiança. Essa integração é útil para sites que dependem da FedCM para autenticação e da SAA para permitir que iframes de origem cruzada acessem o armazenamento necessário.

Experiência do usuário aprimorada

A FedCM apresenta uma caixa de diálogo da interface do usuário mediada pelo navegador para um processo de login simplificado com um toque. A API também resolve o problema de páginas de login confusas, às vezes chamado de problema da NASCAR.

Exemplo do problema da NASCAR: um site com uma interface confusa causada por uma seleção de sete opções de login diferentes. — Exemplo do problema da NASCAR: um site com uma interface desordenada causada por uma seleção de IdP muito ampla.

Em vez de um número excessivo de botões de login social, a API FedCM oferece uma interface mais simples e fácil de usar.

Segurança

Com a abordagem de identidade federada, os usuários podem usar contas confiáveis gerenciadas por IdPs. Com essa abordagem, os usuários não precisam adicionar credenciais a todos os sites. Isso reduz a superfície para ataques de phishing. Além disso, em vez de implementar medidas de segurança robustas, os RPs podem contar com a experiência dos IdPs, que são especializados em gerenciamento seguro de identidades.

A FedCM tem como objetivo tornar o fluxo de identidade federada ainda mais conveniente para os usuários, incentivando-os a preferir esse método em vez de fluxos de identidade menos seguros.

Experiência personalizada para mais usuários

O FedCM reduz a fricção da UX durante o fluxo de inscrição da conta. Os estudos de caso do Google Identity Service mostram que os usuários preferem criar contas com o fluxo de um toque da FedCM em vez de opções de login em várias etapas.

Com a FedCM, mais IdPs podem oferecer aos usuários uma experiência de login com um toque. Com mais IdPs oferecendo um fluxo de identidade com um toque, os usuários podem escolher entre uma seleção maior de IdPs em RPs. O FedCM oferece um mecanismo de seleção de IdP aprimorado ao apresentar aos usuários as contas mais relevantes.

Com taxas de inscrição mais altas, as RPs podem oferecer uma experiência personalizada para mais usuários.

Suporte a diversos provedores de identidade

A interface simplificada do FedCM tem como objetivo apresentar aos usuários uma lista personalizada dos IdPs relevantes. Com o mecanismo de seleção de IdP da FedCM, a escolha de IdPs da RP não é mais restrita pelo tamanho da base de usuários do IdP. Por exemplo, uma parte dos usuários pode ter uma conta apenas com small-idp.example e não com bigger-idp.example.

Com o recurso Multi-IdP, o rp.example pode oferecer suporte a small-idp.example e bigger-idp.example sem poluir a interface. Isso beneficia todas as partes:

Os usuários podem escolher o IdP preferido, seja ele grande ou pequeno.
Os RPs alcançam mais usuários com suporte a vários IdPs
Os IdPs com uma base de usuários menor estão disponíveis em mais RPs.

Quem deve usar a FedCM?

Esperamos que a FedCM seja útil para você somente se estas condições forem válidas:

Você é um provedor de identidade (IdP) com RPs de terceiros.
Você tem sua própria solução de identidade e vários domínios dependem dela.
Você quer oferecer suporte a fluxos de identidade federada mesmo para usuários que optam por navegar sem cookies de terceiros.

Você é um IdP

A FedCM exige suporte de um provedor de identidade. Uma parte confiável não pode usar a FedCM de forma independente. Se você for um RP, peça instruções ao seu IdP.

Vários RPs

Se os RPs forem de terceiros ou se você tiver mais de quatro RPs usando sua solução de identidade, a FedCM será a API recomendada para identidade federada.

Você quer oferecer suporte ao fluxo de federação de identidade sem cookies

A FedCM oferece suporte a fluxos essenciais de identidade federada, mesmo para usuários que navegam sem cookies de terceiros. Com a FedCM, os usuários ainda podem se inscrever, fazer login e sair das contas federadas em RPs.

Além disso, a FedCM serve como um indicador de confiança para a API Storage Access, eliminando a fricção para solicitações de acesso ao armazenamento iniciadas pelo IdP.

Interação do usuário com a FedCM

A FedCM foi projetada para ser independente de protocolos de autenticação e oferece ao usuário um novo fluxo para autenticar um RP com um IdP de terceiros. Teste o FedCM com nossa demonstração.

Fazer login em uma parte confiável

Os usuários podem escolher uma conta em um conjunto de IdPs compatíveis com o RP. Se o usuário fizer login com vários IdPs, ele vai precisar fazer login no RP usando um deles.

As contas do usuário são mostradas na seguinte ordem:

As contas acessadas no dispositivo do usuário são mostradas primeiro, com as mais recentemente acessadas aparecendo primeiro.
Em seguida, são mostradas as contas acessadas pelo usuário no RP de acordo com o IdP. As informações sobre quais contas foram acessadas são extraídas do valor da propriedade approved_clients endpoint da conta.
As contas que não foram usadas no RP antes são mostradas por último.

Se houver várias contas em qualquer um desses níveis de prioridade, elas serão ordenadas com base na ordem dos IdPs fornecidos pelo RP na chamada get().

Modos da interface da FedCM

A FedCM tem dois modos de interface: Passivo e Ativo.

Modo passivo. O modo passivo não exige interação do usuário para que o comando do FedCM apareça. Quando o usuário acessa o site da parte confiável (RP), uma caixa de diálogo de login da FedCM aparece quando navigator.credentials.get() é chamado se as condições a seguir forem atendidas:

O usuário fez login em pelo menos um dos IdPs compatíveis. Se o status do usuário for desconectado para todos os IdPs disponíveis, o aviso de login da FedCM não será mostrado automaticamente.
A configuração de tempo de espera do FedCM não está definida no navegador do usuário.
O usuário não desativou o FedCM nas configurações do navegador. Saiba mais sobre como os usuários podem desativar a FedCM.

O usuário se autentica sequencialmente com diferentes IdPs no modo passivo: faz login e logout com um e depois se autentica com o próximo.

Modo ativo. No modo ativo, é necessária uma ativação transitória do usuário (como um clique no botão Fazer login com…) para acionar uma solicitação da FedCM.

Um usuário faz login em um RP usando o FedCM no modo ativo.

O usuário pode concluir o login tocando em Continuar como usuário. Se a operação for bem-sucedida, o navegador vai armazenar o fato de que o usuário criou uma conta federada no RP com o IdP.

Se o usuário não tiver uma conta no RP com o IdP, uma caixa de diálogo de inscrição vai aparecer com um texto de divulgação adicional, como os termos de serviço e a política de privacidade do RP.

Conformidade com as leis de privacidade eletrônica

O uso da FedCM, como IdP ou RP, envolve o armazenamento de informações no equipamento terminal de um usuário ou o acesso a informações já armazenadas nele. Portanto, é uma atividade sujeita às leis de privacidade eletrônica no Espaço Econômico Europeu (EEE) e no Reino Unido, que geralmente exigem o consentimento do usuário. É sua responsabilidade determinar se o uso da FedCM é estritamente necessário para fornecer um serviço on-line explicitamente solicitado pelo usuário e, portanto, isento da exigência de consentimento.

Vision

Estamos desenvolvendo novos recursos para resolver as limitações atuais e oferecer uma experiência do usuário melhor.

Estamos explorando formulações de UX mais discretas para garantir um processo de autenticação tranquilo, intuitivo e menos intrusivo para os usuários.
Nosso compromisso é melhorar a privacidade do usuário. Planejamos fazer a transição para o modelo NextGen FedCM orientado à delegação, que reduz o problema de rastreamento do IdP. Com o NextGen, os usuários podem fazer login em RPs sem que o IdP siga o usuário.
O FedCM tem como objetivo apresentar aos usuários uma seleção mais ampla de IdPs, com base na escolha da RP. Para isso, estamos trabalhando nas APIs Multi-IdP e IdP Registration.
Estamos trabalhando ativamente para integrar a FedCM a outros métodos de autenticação, como chaves de acesso, com outros meios, como o preenchimento automático, para oferecer uma experiência de autenticação unificada.

Consulte nosso roteiro para mais detalhes.