FedCM: Pendekatan Identitas Terfederasi yang Menjaga Privasi

Di dunia digital yang saling terhubung saat ini, pengguna semakin bergantung pada solusi identitas terfederasi untuk mengakses berbagai layanan online. Identitas terfederasi memungkinkan pengguna untuk masuk ke beberapa situs web menggunakan satu penyedia identitas (IdP), seperti Google, Facebook, atau sistem internal organisasi. Meskipun nyaman, mekanisme identitas terfederasi tradisional dapat menimbulkan risiko privasi dengan mengekspos informasi pengguna ke situs web bahkan sebelum mereka secara eksplisit memberikan persetujuan. FedCM, atau Federated Credential Management, adalah API browser yang dirancang untuk mengatasi masalah privasi ini dan memungkinkan identitas terfederasi dengan cara yang lebih menjaga privasi.

Apa itu Federated Credential Management (FedCM)?

FedCM adalah API browser yang bertindak sebagai perantara antara pengguna, pihak yang mengandalkan (RP) atau situs web, dan penyedia identitas (IdP). Ini memungkinkan pengguna untuk memilih IdP mana yang akan digunakan untuk masuk ke situs web, dan kemudian memediasi pertukaran informasi antara IdP dan RP. Yang penting, FedCM memberi pengguna kontrol yang lebih besar atas data mereka dan meminimalkan jumlah informasi yang dibagikan dengan situs web sebelum mereka secara eksplisit memberikan persetujuan. Pendekatan ini secara signifikan meningkatkan privasi pengguna dibandingkan dengan alur identitas terfederasi tradisional.

Cara Kerja FedCM

FedCM beroperasi melalui serangkaian langkah yang melibatkan agen pengguna (browser), pihak yang mengandalkan (situs web), dan penyedia identitas (IdP). Berikut rincian prosesnya:

1. Penemuan Situs Web: Ketika pengguna mengunjungi situs web (RP), kode JavaScript situs web tersebut menggunakan API FedCM untuk memberi sinyal bahwa ia mendukung proses masuk terfederasi. Browser kemudian menanyakan IdP yang tersedia yang pernah digunakan atau dikonfigurasi oleh pengguna sebelumnya.
2. Konfigurasi IdP: Browser memperoleh informasi konfigurasi IdP, yang menentukan titik akhir (endpoint) yang diperlukan untuk alur masuk. Konfigurasi ini diambil dari titik akhir terkenal di domain IdP (misalnya, /.well-known/fedcm.json). File ini berisi informasi penting seperti titik akhir otorisasi dan titik akhir token.
3. Pilihan Pengguna: Browser menyajikan daftar IdP yang tersedia kepada pengguna. Pengguna memilih IdP yang ingin mereka gunakan untuk masuk. Pilihan ini adalah pilihan yang eksplisit dan terinformasi yang dibuat oleh pengguna.
4. Persetujuan: Sebelum membagikan informasi apa pun dengan situs web, FedCM menampilkan dialog persetujuan kepada pengguna. Dialog ini dengan jelas memberi tahu pengguna tentang informasi yang akan dibagikan dan meminta izin eksplisit dari mereka. Dialog persetujuan biasanya menunjukkan nama IdP, nama situs web, dan data spesifik yang diminta.
5. Pertukaran Kredensial: Jika pengguna memberikan persetujuan, FedCM mengambil kredensial yang diperlukan (misalnya, token ID) dari IdP. Pertukaran ini terjadi langsung antara agen pengguna dan IdP, meminimalkan paparan data pengguna ke situs web sebelum persetujuan.
6. Masuk: Agen pengguna kemudian secara aman meneruskan kredensial ke situs web. Situs web memverifikasi kredensial tersebut dan memasukkan pengguna.

Manfaat Utama FedCM

FedCM menawarkan beberapa keuntungan signifikan dibandingkan solusi identitas terfederasi tradisional:

• Peningkatan Privasi Pengguna: FedCM memberdayakan pengguna dengan kontrol yang lebih besar atas data mereka. Situs web menerima informasi pengguna hanya setelah persetujuan eksplisit, mengurangi risiko pelacakan dan pembuatan profil yang tidak diinginkan.
• Mengurangi Pelacakan: Dengan memediasi interaksi antara situs web dan IdP, FedCM meminimalkan kemampuan situs web untuk melacak pengguna di berbagai situs. Ini membantu mencegah pembuatan profil pengguna yang komprehensif tanpa persetujuan pengguna.
• Peningkatan Keamanan: FedCM memanfaatkan fitur keamanan browser untuk melindungi kredensial pengguna. Pertukaran kredensial antara agen pengguna dan IdP ditangani dengan aman, mengurangi risiko serangan man-in-the-middle.
• Pengembangan yang Disederhanakan: FedCM menyediakan API standar untuk identitas terfederasi, membuatnya lebih mudah bagi pengembang untuk mengintegrasikan proses masuk terfederasi ke dalam situs web mereka. Standardisasi ini dapat mengurangi kompleksitas dan biaya implementasi solusi identitas terfederasi.
• Kompatibilitas Lintas Browser: Meskipun awalnya dikembangkan oleh Google dan diimplementasikan di Chrome, FedCM dirancang untuk menjadi standar lintas browser. Vendor browser lain sedang mempertimbangkan untuk mengadopsi FedCM, yang akan mempromosikan interoperabilitas dan memastikan pengalaman pengguna yang konsisten di berbagai browser.
• Memerangi Penipuan: Dengan memberikan pemahaman yang lebih jelas tentang Penyedia Identitas mana yang digunakan, FedCM membuat pelaku jahat lebih sulit untuk meniru Penyedia Identitas yang sah dan menipu pengguna agar memberikan kredensial.

FedCM vs. Identitas Terfederasi Tradisional

Solusi identitas terfederasi tradisional, seperti OAuth 2.0 dan OpenID Connect, sering kali mengandalkan cookie pihak ketiga dan mekanisme lain yang dapat membahayakan privasi pengguna. Mekanisme ini memungkinkan situs web untuk melacak pengguna di berbagai situs dan membangun profil pengguna yang komprehensif tanpa persetujuan eksplisit. FedCM mengatasi masalah privasi ini dengan memperkenalkan pendekatan baru yang menjaga privasi untuk identitas terfederasi.

Berikut adalah tabel yang membandingkan FedCM dengan solusi identitas terfederasi tradisional:

Mengimplementasikan FedCM

Mengimplementasikan FedCM melibatkan perubahan pada pihak yang mengandalkan (situs web) dan penyedia identitas (IdP). Berikut adalah gambaran tingkat tinggi dari langkah-langkah yang terlibat:

Implementasi Pihak yang Mengandalkan (Situs Web)

1. Deteksi Dukungan FedCM: Periksa apakah browser mendukung API FedCM menggunakan JavaScript.
2. Panggil API FedCM: Gunakan API FedCM untuk memulai alur masuk terfederasi. Ini melibatkan pemanggilan metode navigator.credentials.get() dengan parameter yang sesuai.
3. Tangani Kredensial: Jika pengguna memberikan persetujuan dan kredensial disediakan, verifikasi kredensial tersebut dan masukkan pengguna.
4. Penanganan Kesalahan: Implementasikan penanganan kesalahan untuk menangani situasi dengan baik di mana pengguna menolak persetujuan atau terjadi kesalahan selama alur masuk.

Implementasi Penyedia Identitas (IdP)

1. Implementasikan Titik Akhir Konfigurasi FedCM: Buat titik akhir terkenal (/.well-known/fedcm.json) yang menyediakan informasi konfigurasi IdP, termasuk titik akhir otorisasi, titik akhir token, dan metadata relevan lainnya.
2. Tangani Permintaan Otorisasi: Implementasikan titik akhir otorisasi untuk menangani permintaan otorisasi dari browser. Ini melibatkan autentikasi pengguna dan mendapatkan persetujuan mereka untuk membagikan informasi mereka dengan situs web.
3. Terbitkan Kredensial: Jika pengguna memberikan persetujuan, terbitkan kredensial yang diperlukan (misalnya, token ID) ke browser.
4. Manajemen Metadata: Sediakan metadata yang diperlukan seperti ikon IdP, nama layanan, dan URL kebijakan privasi agar browser dapat menampilkannya dalam permintaan izin.

Contoh: Alur Masuk FedCM

Berikut adalah contoh sederhana bagaimana alur masuk FedCM mungkin terlihat dalam JavaScript:

            
// Periksa apakah FedCM didukung
if ('credentials' in navigator && 'get' in navigator.credentials) {
  // Mulai alur masuk FedCM
  navigator.credentials.get({
    identity: {
      providers: [
        {
          configURL: 'https://example.com/.well-known/fedcm.json',
          clientId: 'YOUR_CLIENT_ID',
          nonce: 'YOUR_NONCE',
          domains: ['example.com']
        },
      ],
    },
  }).then((credential) => {
    // Tangani kredensial
    console.log('Kredensial:', credential);
    // Verifikasi kredensial dan masukkan pengguna
  }).catch((error) => {
    // Tangani kesalahan
    console.error('Kesalahan:', error);
  });
} else {
  console.log('FedCM tidak didukung di browser ini.');
}

            

              
                Copy
              
            
          

Kasus Penggunaan untuk FedCM

FedCM dapat diterapkan pada berbagai kasus penggunaan di mana identitas terfederasi digunakan, termasuk:

• Login Sosial: Memungkinkan pengguna untuk masuk ke situs web menggunakan akun media sosial mereka (misalnya, Google, Facebook).
• Identitas Perusahaan: Memungkinkan karyawan untuk mengakses sumber daya perusahaan menggunakan kredensial korporat mereka. Ini dapat memfasilitasi Single Sign-On (SSO) di berbagai aplikasi dan layanan.
• Layanan Pemerintah: Memberikan warga negara akses aman ke layanan pemerintah menggunakan kredensial identitas nasional mereka. Contoh: Menggunakan identitas digital nasional (seperti di Estonia atau India dengan Aadhaar) untuk masuk ke portal e-government.
• E-commerce: Memperlancar proses checkout dengan memungkinkan pengguna masuk dengan penyedia identitas pilihan mereka.
• Platform Pendidikan: Memfasilitasi akses ke sumber belajar online menggunakan kredensial institusi pendidikan. Contoh: Mahasiswa masuk ke sistem manajemen pembelajaran universitas menggunakan akun universitas mereka.

Tantangan dan Pertimbangan

Meskipun FedCM menawarkan manfaat yang signifikan, ada juga beberapa tantangan dan pertimbangan yang perlu diingat:

• Adopsi: Adopsi FedCM secara luas bergantung pada vendor browser yang mengimplementasikan API dan situs web serta IdP yang mengadopsi standar tersebut.
• Pengalaman Pengguna: Sangat penting untuk merancang alur persetujuan yang ramah pengguna yang dengan jelas memberi tahu pengguna tentang informasi yang dibagikan dan implikasi dari pemberian persetujuan.
• Pertimbangan Keamanan: Terapkan langkah-langkah keamanan yang kuat untuk melindungi kredensial pengguna dan mencegah akses yang tidak sah. Validasi dan sanitasi dengan benar setiap data yang diterima dari IdP.
• Kompleksitas Implementasi IdP: Mengimplementasikan titik akhir konfigurasi FedCM dan menangani permintaan otorisasi bisa jadi rumit, memerlukan perencanaan dan eksekusi yang cermat.
• Kompatibilitas Browser: Awalnya, FedCM kemungkinan akan memiliki dukungan browser yang terbatas. Pengembang perlu mempertimbangkan mekanisme fallback untuk browser yang belum mendukung API tersebut.
• Kepatuhan Regulasi: Pastikan kepatuhan terhadap peraturan privasi yang relevan, seperti GDPR dan CCPA, saat mengimplementasikan FedCM.

Masa Depan FedCM

FedCM merupakan langkah maju yang signifikan dalam memungkinkan identitas terfederasi yang menjaga privasi di web. Seiring vendor browser dan situs web mengadopsi API ini, ia berpotensi mengubah cara pengguna masuk ke situs web dan layanan. Pengembangan dan standardisasi FedCM yang sedang berlangsung kemungkinan akan mengatasi tantangan saat ini dan lebih lanjut meningkatkan kemampuannya.

Pengembangan di masa depan mungkin termasuk:

• Dukungan Browser yang Diperluas: Peningkatan adopsi oleh vendor browser utama lainnya selain Chrome.
• Fitur Lanjutan: Dukungan untuk skenario autentikasi yang lebih kompleks, seperti autentikasi multi-faktor (MFA) dan autentikasi step-up.
• Pengalaman Pengguna yang Ditingkatkan: Penyempurnaan alur persetujuan untuk membuatnya lebih ramah pengguna dan informatif.
• Peningkatan Keamanan: Upaya berkelanjutan untuk meningkatkan keamanan protokol FedCM dan mencegah potensi serangan.
• Standardisasi: Standardisasi penuh oleh organisasi seperti W3C untuk memastikan interoperabilitas dan stabilitas jangka panjang.

Kesimpulan

FedCM adalah teknologi yang menjanjikan yang berpotensi merevolusi identitas terfederasi dengan memprioritaskan privasi dan keamanan pengguna. Dengan memberikan kontrol yang lebih besar kepada pengguna atas data mereka dan meminimalkan risiko pelacakan yang tidak diinginkan, FedCM dapat membantu membangun web yang lebih dapat dipercaya dan menghargai privasi. Seiring pertumbuhan adopsi dan kematangan teknologi, FedCM siap menjadi landasan autentikasi web di tahun-tahun mendatang.

Pengembang situs web dan penyedia identitas harus mulai menjelajahi FedCM sekarang untuk mempersiapkan adopsi yang meluas dan memanfaatkan manfaatnya. Dengan merangkul teknologi yang menjaga privasi seperti FedCM, kita dapat menciptakan pengalaman online yang lebih baik bagi pengguna di seluruh dunia.

Sumber Daya

• Dokumentasi FedCM - Google Privacy Sandbox
• Repositori GitHub WICG FedCM
• Blog Chromium: Pembaruan FedCM