FedCM: Un enfoque de preservación de la privacidad para la identidad federada

En el mundo digital interconectado de hoy, los usuarios confían cada vez más en las soluciones de identidad federada para acceder a diversos servicios en línea. La identidad federada permite a los usuarios iniciar sesión en múltiples sitios web utilizando un único proveedor de identidad (IdP), como Google, Facebook o el sistema interno de una organización. Si bien es conveniente, los mecanismos tradicionales de identidad federada pueden plantear riesgos para la privacidad al exponer la información del usuario a los sitios web incluso antes de que estos den su consentimiento explícito. FedCM, o Gestión federada de credenciales, es una API de navegador diseñada para abordar estos problemas de privacidad y habilitar la identidad federada de una manera que preserve mejor la privacidad.

¿Qué es la gestión federada de credenciales (FedCM)?

FedCM es una API de navegador que actúa como intermediario entre el usuario, la parte que confía (RP) o el sitio web, y el proveedor de identidad (IdP). Permite a los usuarios elegir qué IdP utilizar para iniciar sesión en un sitio web y, a continuación, media en el intercambio de información entre el IdP y la RP. Es importante destacar que FedCM ofrece a los usuarios un mayor control sobre sus datos y minimiza la cantidad de información compartida con el sitio web antes de que den su consentimiento explícito. Este enfoque mejora significativamente la privacidad del usuario en comparación con los flujos de identidad federada tradicionales.

Cómo funciona FedCM

FedCM opera a través de una serie de pasos que involucran al agente de usuario (navegador), la parte que confía (sitio web) y el proveedor de identidad (IdP). Aquí hay un desglose del proceso:

1. Descubrimiento del sitio web: Cuando un usuario visita un sitio web (RP), el código JavaScript del sitio web utiliza la API de FedCM para indicar que admite el inicio de sesión federado. A continuación, el navegador consulta los IdP disponibles que el usuario ha utilizado o configurado previamente.
2. Configuración del IdP: El navegador obtiene la información de configuración del IdP, que especifica los puntos finales necesarios para el flujo de inicio de sesión. Esta configuración se obtiene de un punto final conocido en el dominio del IdP (por ejemplo, /.well-known/fedcm.json). Este archivo contiene información vital como el punto final de autorización y el punto final de token.
3. Elección del usuario: El navegador presenta al usuario una lista de IdP disponibles. El usuario selecciona el IdP que desea utilizar para iniciar sesión. Esta selección es una elección explícita e informada realizada por el usuario.
4. Consentimiento: Antes de compartir cualquier información con el sitio web, FedCM muestra un diálogo de consentimiento al usuario. Este diálogo informa claramente al usuario sobre la información que se compartirá y solicita su permiso explícito. El diálogo de consentimiento suele mostrar el nombre del IdP, el nombre del sitio web y los datos específicos que se solicitan.
5. Intercambio de credenciales: Si el usuario otorga su consentimiento, FedCM recupera las credenciales necesarias (por ejemplo, un token de ID) del IdP. Este intercambio se produce directamente entre el agente de usuario y el IdP, lo que minimiza la exposición de los datos del usuario al sitio web antes de dar su consentimiento.
6. Inicio de sesión: A continuación, el agente de usuario pasa de forma segura la credencial al sitio web. El sitio web verifica la credencial e inicia sesión en el usuario.

Beneficios clave de FedCM

FedCM ofrece varias ventajas significativas sobre las soluciones de identidad federada tradicionales:

• Privacidad mejorada del usuario: FedCM permite a los usuarios tener un mayor control sobre sus datos. Los sitios web reciben información del usuario solo después de obtener su consentimiento explícito, lo que reduce el riesgo de seguimiento y creación de perfiles no deseados.
• Seguimiento reducido: Al mediar en la interacción entre el sitio web y el IdP, FedCM minimiza la capacidad de los sitios web para rastrear a los usuarios en diferentes sitios. Esto ayuda a evitar la creación de perfiles de usuario completos sin el consentimiento del usuario.
• Seguridad mejorada: FedCM aprovecha las funciones de seguridad del navegador para proteger las credenciales del usuario. El intercambio de credenciales entre el agente de usuario y el IdP se gestiona de forma segura, lo que reduce el riesgo de ataques de intermediario.
• Desarrollo simplificado: FedCM proporciona una API estandarizada para la identidad federada, lo que facilita a los desarrolladores la integración del inicio de sesión federado en sus sitios web. Esta estandarización puede reducir la complejidad y el costo de la implementación de soluciones de identidad federada.
• Compatibilidad entre navegadores: Aunque inicialmente fue desarrollado por Google e implementado en Chrome, FedCM está diseñado para ser un estándar entre navegadores. Otros proveedores de navegadores están considerando la adopción de FedCM, lo que promovería la interoperabilidad y garantizaría una experiencia de usuario coherente en diferentes navegadores.
• Lucha contra el fraude: Al proporcionar una comprensión más clara de qué proveedor de identidad está en uso, FedCM dificulta que los actores maliciosos se hagan pasar por un proveedor de identidad legítimo y engañen a un usuario para que proporcione credenciales.

FedCM frente a la identidad federada tradicional

Las soluciones de identidad federada tradicionales, como OAuth 2.0 y OpenID Connect, a menudo se basan en cookies de terceros y otros mecanismos que pueden comprometer la privacidad del usuario. Estos mecanismos permiten a los sitios web rastrear a los usuarios en diferentes sitios y crear perfiles de usuario completos sin consentimiento explícito. FedCM aborda estos problemas de privacidad introduciendo un nuevo enfoque de preservación de la privacidad para la identidad federada.

Aquí hay una tabla que compara FedCM con las soluciones de identidad federada tradicionales:

Implementación de FedCM

La implementación de FedCM implica cambios tanto en la parte que confía (sitio web) como en el proveedor de identidad (IdP). Aquí hay una descripción general de alto nivel de los pasos involucrados:

Implementación de la parte que confía (sitio web)

1. Detectar la compatibilidad con FedCM: Compruebe si el navegador es compatible con la API de FedCM mediante JavaScript.
2. Invocar la API de FedCM: Utilice la API de FedCM para iniciar el flujo de inicio de sesión federado. Esto implica llamar al método navigator.credentials.get() con los parámetros adecuados.
3. Manejar la credencial: Si el usuario otorga su consentimiento y se proporciona una credencial, verifique la credencial e inicie sesión en el usuario.
4. Manejo de errores: Implemente el manejo de errores para manejar con elegancia las situaciones en las que el usuario niega el consentimiento o se produce un error durante el flujo de inicio de sesión.

Implementación del proveedor de identidad (IdP)

1. Implementar el punto final de configuración de FedCM: Cree un punto final conocido (/.well-known/fedcm.json) que proporcione la información de configuración del IdP, incluido el punto final de autorización, el punto final de token y otros metadatos relevantes.
2. Manejar la solicitud de autorización: Implemente el punto final de autorización para manejar las solicitudes de autorización del navegador. Esto implica autenticar al usuario y obtener su consentimiento para compartir su información con el sitio web.
3. Emitir credenciales: Si el usuario otorga su consentimiento, emita las credenciales necesarias (por ejemplo, un token de ID) al navegador.
4. Gestión de metadatos: Proporcione los metadatos necesarios, como el icono del IdP, el nombre del servicio y la URL de la política de privacidad, para que el navegador pueda presentarlos en el mensaje de permiso.

Ejemplo: Flujo de inicio de sesión de FedCM

Aquí hay un ejemplo simplificado de cómo podría ser un flujo de inicio de sesión de FedCM en JavaScript:

            
// Comprobar si FedCM es compatible
if (' FedCM ' in navigator.credentials) {
  // Iniciar el flujo de inicio de sesión de FedCM
  navigator.credentials.get({
    identity: {
      providers: [
        {
          configURL: 'https://example.com/.well-known/fedcm.json',
          clientId: 'YOUR_CLIENT_ID',
          nonce: 'YOUR_NONCE',
          domains: ['example.com']
        },
      ],
    },
  }).then((credential) => {
    // Manejar la credencial
    console.log('Credential:', credential);
    // Verificar la credencial e iniciar sesión en el usuario
  }).catch((error) => {
    // Manejar el error
    console.error('Error:', error);
  });
} else {
  console.log('FedCM no es compatible con este navegador.');
}

            

              
                Copy
              
            
          

Casos de uso de FedCM

FedCM se puede aplicar a una amplia gama de casos de uso en los que se utiliza la identidad federada, entre ellos:

• Inicio de sesión social: Permitir a los usuarios iniciar sesión en sitios web utilizando sus cuentas de redes sociales (por ejemplo, Google, Facebook).
• Identidad empresarial: Permitir a los empleados acceder a los recursos de la empresa utilizando sus credenciales corporativas. Esto puede facilitar el inicio de sesión único (SSO) en varias aplicaciones y servicios.
• Servicios gubernamentales: Proporcionar a los ciudadanos acceso seguro a los servicios gubernamentales utilizando sus credenciales de identidad nacional. Ejemplo: Utilizar la identidad digital nacional (como en Estonia o la India con Aadhaar) para iniciar sesión en portales de gobierno electrónico.
• Comercio electrónico: Agilizar el proceso de pago permitiendo a los usuarios iniciar sesión con su proveedor de identidad preferido.
• Plataformas educativas: Facilitar el acceso a los recursos de aprendizaje en línea utilizando las credenciales de la institución educativa. Ejemplo: Estudiantes que inician sesión en los sistemas de gestión del aprendizaje de la universidad utilizando sus cuentas universitarias.

Desafíos y consideraciones

Si bien FedCM ofrece importantes beneficios, también hay algunos desafíos y consideraciones a tener en cuenta:

• Adopción: La adopción generalizada de FedCM depende de que los proveedores de navegadores implementen la API y de que los sitios web y los IdP adopten el estándar.
• Experiencia del usuario: Es fundamental diseñar un flujo de consentimiento fácil de usar que informe claramente a los usuarios sobre la información que se comparte y las implicaciones de otorgar el consentimiento.
• Consideraciones de seguridad: Implemente medidas de seguridad sólidas para proteger las credenciales del usuario y evitar el acceso no autorizado. Valide y desinfecte adecuadamente cualquier dato recibido del IdP.
• Complejidad de la implementación del IdP: La implementación del punto final de configuración de FedCM y el manejo de las solicitudes de autorización pueden ser complejos, lo que requiere una planificación y ejecución cuidadosas.
• Compatibilidad del navegador: Inicialmente, FedCM probablemente tendrá soporte de navegador limitado. Los desarrolladores deben considerar mecanismos de reserva para los navegadores que aún no son compatibles con la API.
• Cumplimiento normativo: Asegúrese de cumplir con las normativas de privacidad pertinentes, como GDPR y CCPA, al implementar FedCM.

El futuro de FedCM

FedCM representa un importante paso adelante para habilitar la identidad federada que preserva la privacidad en la web. A medida que los proveedores de navegadores y los sitios web adoptan la API, tiene el potencial de transformar la forma en que los usuarios inician sesión en sitios web y servicios. El desarrollo y la estandarización continuos de FedCM probablemente abordarán los desafíos actuales y mejorarán aún más sus capacidades.

Los desarrollos futuros podrían incluir:

• Soporte ampliado del navegador: Mayor adopción por parte de otros proveedores de navegadores importantes más allá de Chrome.
• Funciones avanzadas: Soporte para escenarios de autenticación más complejos, como la autenticación multifactor (MFA) y la autenticación gradual.
• Experiencia de usuario mejorada: Perfeccionamiento del flujo de consentimiento para que sea aún más fácil de usar e informativo.
• Seguridad mejorada: Esfuerzos continuos para mejorar la seguridad del protocolo FedCM y prevenir posibles ataques.
• Estandarización: Estandarización completa por parte de organizaciones como el W3C para garantizar la interoperabilidad y la estabilidad a largo plazo.

Conclusión

FedCM es una tecnología prometedora que tiene el potencial de revolucionar la identidad federada al priorizar la privacidad y la seguridad del usuario. Al brindar a los usuarios un mayor control sobre sus datos y minimizar el riesgo de seguimiento no deseado, FedCM puede ayudar a construir una web más confiable y respetuosa con la privacidad. A medida que la adopción crece y la tecnología madura, FedCM está a punto de convertirse en una piedra angular de la autenticación web en los años venideros.

Los desarrolladores de sitios web y los proveedores de identidad deberían comenzar a explorar FedCM ahora para prepararse para su adopción generalizada y aprovechar sus beneficios. Al adoptar tecnologías de preservación de la privacidad como FedCM, podemos crear una mejor experiencia en línea para los usuarios de todo el mundo.

Recursos

• Documentación de Google Privacy Sandbox - FedCM
• Repositorio de GitHub de WICG FedCM
• Blog de Chromium: Actualizaciones de FedCM