Migrer vers FedCM

Ce guide vous aide � comprendre les modifications apport�es � votre application Web introduite par API Federated Credentials Management (FedCM).

Lorsque FedCM est activ�, le navigateur affiche les invites des utilisateurs et aucun tiers sont utilis�s.

Pr�sentation

FedCM offre des flux de connexion plus priv�s sans n�cessiter l'utilisation aux cookies tiers. Le navigateur contr�le les param�tres utilisateur, affiche les invites et contacte un fournisseur d'identit� tel que Google uniquement le consentement est donn�.

Pour la plupart des sites Web, la migration s'effectue facilement gr�ce � la r�trocompatibilit� de la biblioth�que JavaScript Google Identity Services.

Informations sur la fonctionnalit� de connexion automatique

Version b�ta de la gestion des identifiants f�d�r�s (FedCM) pour Google Identity Services a �t� lanc�e en ao�t 2023. De nombreux d�veloppeurs ont test� l'API et ont fourni et de pr�cieux commentaires.

L'une des r�ponses que les d�veloppeurs Google nous ont fournies concerne la connexion automatique � FedCM l'exigence de geste de l'utilisateur du flux. Pour une confidentialit� renforc�e, Chrome demande aux utilisateurs confirmer de nouveau qu'ils souhaitent se connecter au site Web avec un compte Google une instance de Chrome, m�me si l'utilisateur a approuv� le site Web avant l'approbation de FedCM ; d�ploiement. Cette reconfirmation, ponctuelle, est obtenue en un seul clic Invite One Tap pour d�montrer l'intention de l'utilisateur � se connecter. Cette modification peut entra�ner perturbation initiale des taux de conversion de connexion automatique pour certains sites Web.

Dans M121, Chrome a r�cemment modifi� la connexion automatique � FedCM l'exp�rience utilisateur fluide. La reconfirmation n'est requise que lorsque les cookies tiers sont restreintes. Ainsi�:

  1. La connexion automatique � FedCM ne n�cessite pas de nouvelle confirmation pour les utilisateurs connus. Si les utilisateurs confirment de nouveau les donn�es via l'interface utilisateur de FedCM, Exigence des gestes de l'utilisateur � l'�re post-3PCD.

  2. La connexion automatique � FedCM permet de v�rifier l'�tat de reconfirmation lorsque le les cookies tiers sont limit�s manuellement par les utilisateurs aujourd'hui, ou par d�faut � venir dans Chrome.

Avec ce changement, nous recommandons � tous les d�veloppeurs avec connexion automatique de migrer vers FedCM. d�s que possible, afin de limiter la perturbation des taux de conversion de connexion automatique.

Pour le flux de connexion automatique, GIS JavaScript ne d�clenchera pas FedCM sur une version Chrome (ant�rieures � M121), m�me si votre site Web choisit d'activer FedCM.

Diff�rences du parcours utilisateur

Les exp�riences One Tap avec FedCM et sans FedCM ne sont similaires qu'avec de l�g�res diff�rences.

Nouvel utilisateur ayant effectu� une seule session

Avec FedCM, One Tap affiche le nom de domaine au lieu du nom d'application.

Utiliser FedCM Sans FedCM
Nouvel utilisateur qui n'a utilis� qu'une seule session FedCM Nouvel utilisateur ayant effectu� une seule session sans FedCM

Utilisateur connu ayant effectu� une seule session (avec connexion automatique d�sactiv�e)

Avec FedCM, One Tap affiche le nom de domaine au lieu du nom d'application.

Utiliser FedCM Sans FedCM
Parcours utilisateur connu en une seule session avec FedCM (avec connexion automatique d�sactiv�e) Parcours utilisateur connu en une seule session sans FedCM (avec connexion automatique d�sactiv�e)

Utilisateur connu ayant effectu� une seule session (avec connexion automatique activ�e)

Avec FedCM, les utilisateurs peuvent cliquer sur X pour annuler la connexion automatique dans un d�lai de secondes au lieu de cliquer sur le bouton Annuler.

Utiliser FedCM Sans FedCM
Parcours utilisateur connu en une seule session avec FedCM (avec connexion automatique activ�e) Parcours utilisateur connu en une seule session sans FedCM (avec connexion automatique activ�e)

Plusieurs sessions

Avec FedCM, One Tap affiche le nom de domaine au lieu du nom d'application.

Utiliser FedCM Sans FedCM
Utilisateur ayant effectu� plusieurs sessions � l'aide de FedCM Utilisateur ayant effectu� plusieurs sessions sans FedCM

Avant de commencer

V�rifiez que les param�tres et la version de votre navigateur sont compatibles avec l'API FedCM, il est recommand� d'installer la derni�re version.

  • L'API FedCM est disponible dans Chrome 117 ou version ult�rieure.

  • Le param�tre Connexion tierce est activ� dans Chrome.

  • Si vous disposez de la version 119 ou d'une version ant�rieure du navigateur Chrome, ouvrez chrome://flags et activer la fonctionnalit� exp�rimentale FedCmWithoutThirdPartyCookies ; Cette �tape n'est pas n�cessaire avec la version 120 ou une version ult�rieure du navigateur Chrome.

Migrer votre application Web

Suivez ces �tapes pour activer FedCM, �valuer l'impact potentiel de la migration et si n�cessaire pour modifier votre application Web existante:

1. Ajoutez un indicateur bool�en pour activer FedCM lors de l'initialisation � l'aide de la commande suivante:

2. Supprimez l'utilisation des m�thodes isDisplayMoment(), isDisplayed(), isNotDisplayed() et getNotDisplayedReason() dans votre code.

Pour am�liorer la confidentialit� des utilisateurs, le rappel google.accounts.id.prompt "no" renvoie une notification de moment d'affichage dans le objet PromptMomentNotication. Supprimez tout code qui d�pend de la d'afficher des m�thodes li�es au moment. Il s'agit de isDisplayMoment(), isDisplayed(), isNotDisplayed() et getNotDisplayedReason().

3. Supprimez l'utilisation de la m�thode getSkippedReason() dans votre code.

Bien que le moment de d�sactivation, isSkippedMoment(), soit toujours appel� � partir de la Rappel google.accounts.id.prompt dans PromptMomentNotication , la raison d�taill�e ne serait pas fournie. Supprimez tout code qui d�pend de la m�thode getSkippedReason() de votre code.

Notez que la notification indiquant que le moment a �t� ignor�, isDismissedMoment() et la m�thode de motif d�taill� associ�e, getDismissedReason(), reste inchang�e lorsque FedCM est activ�.

4. Supprimez les attributs de style position de data-prompt_parent_id et de intermediate_iframes.

Le navigateur contr�le la taille et la position des invites utilisateur, les positions personnalis�es pour One Tap sur ordinateur ne sont pas pris en charge.

5. Mettez � jour la mise en page si n�cessaire.

Le navigateur contr�le la taille et la position des invites utilisateur. En fonction de la mise en page de pages individuelles, une partie du contenu peut �tre superpos�e pour One Tap sur ordinateur ne sont en aucun cas compatibles : attribut de style, data-prompt_parent_id, intermediate_iframes, le cadre iFrame personnalis� et d'autres m�thodes cr�atives.

Modifiez la mise en page pour am�liorer l'exp�rience utilisateur lorsque des informations importantes est masqu�e. Ne d�veloppez pas votre exp�rience utilisateur autour de l'invite One Tap, m�me si vous supposez elle est � la position par d�faut. �tant donn� que l'API FedCM utilise la m�diation du navigateur, les diff�rents fournisseurs de navigateurs peuvent placer la position de l'invite l�g�rement diff�remment.

6. Ajoutez l'attribut allow="identity-credentials-get" au cadre parent si votre application Web appelle l'API One Tap � partir d'iFrames multi-origines.

Un iFrame est consid�r� comme multi-origine s'il origin n'est pas exactement identique � la valeur l'origine parente. Par exemple�:

  • Domaines diff�rents: https://example1.com et https://example2.com
  • Diff�rents domaines de premier niveau: https://example.uk et https://example.jp

  • Sous-domaines: https://example.com et https://login.example.com

    Pour am�liorer la confidentialit� des utilisateurs, lorsque l'API One Tap est appel�e � partir d'iFrames multi-origines, vous devez ajouter allow="identity-credentials-get" dans chaque balise iframe du cadre parent:

    <iframe src="https://your.cross-origin/onetap.page" allow="identity-credentials-get"></iframe>

    Si votre application utilise un iFrame qui en contient un autre, vous devez Assurez-vous que l'attribut est ajout� � chaque iFrame, y compris � tous les sous-iFrames.

    Prenons le sc�nario suivant:

  • Le document du haut (https://www.example.uk) contient un iFrame nomm� "Iframe". A", qui int�gre une page (https://logins.example.com).

  • Cette page int�gr�e (https://logins.example.com) contient �galement un iFrame nomm� � iFrame B �, qui int�gre une page suppl�mentaire (https://onetap.example2.com) qui h�berge One Tap.

    Pour que One Tap puisse s'afficher correctement, l'attribut doit �tre ajout� aux tags iFrame A et B.

    Pr�parez-vous aux demandes concernant l'invite One Tap qui ne s'affiche pas. D'autres sites, d'origines diff�rentes, peuvent int�grer vos pages h�bergeant One Tap. dans leurs cadres iFrame. Il se peut que vous receviez plus de demandes d'assistance li�s au probl�me de One Tap des utilisateurs finaux ou d'autres propri�taires du site. Alors que les mises � jour ne peuvent �tre effectu�es que par les propri�taires du site, vous pouvez suivantes pour en att�nuer l'impact:

  • Mettre � jour la documentation destin�e aux d�veloppeurs afin d'inclure la proc�dure de configuration de l'iFrame correctement pour appeler votre site. Vous trouverez un lien vers cette page dans la documentation.

  • Le cas �ch�ant, mettez � jour la page des questions fr�quentes pour les d�veloppeurs.

  • Informez votre �quipe d'assistance de ce changement � venir et pr�parez-vous � y r�pondre � l'enqu�te � l'avance.

  • Contactez de mani�re proactive les partenaires, les clients ou les propri�taires de sites concern�s pour obtenir une transition fluide avec FedCM.

7. Ajoutez ces instructions � votre Content Security Policy (CSP).

Cette �tape est facultative, car tous les sites Web ne choisissent pas de d�finir une CSP.

  • Si CSP n'est pas utilis� sur votre site Web, aucune modification n'est requise.

  • Si votre CSP fonctionne avec One Tap actuel et que vous n'utilisez pas connect-src, frame-src, script-src, style-src ou default-src ne subissent aucune modification n�cessaires.

  • Sinon, suivez ce guide pour configurer votre CSP. Sans CSP appropri�e l'application FedCM One Tap n'appara�tra pas sur le site.

8. Suppression de la compatibilit� avec le format AMP (Accelerated Mobile Pages) pour la connexion

La prise en charge de la connexion utilisateur pour AMP est une fonctionnalit� facultative des SIG de votre application Web. que vous avez pu mettre en œuvre. Dans ce cas,

Supprimez toutes les références aux éléments suivants:

  • l'élément personnalisé amp-onetap-google et

  • <script async custom-element="amp-onetap-google" src="https://cdn.ampproject.org/v0/amp-onetap-google-0.1.js"></script>

    Envisagez de rediriger les demandes de connexion des pages AMP vers la page de connexion HTML de votre site Web le flux de travail. Notez que le Intermediate Iframe Support API associé est non concernées.

Tester et vérifier votre migration

Après avoir effectué les modifications nécessaires en suivant les étapes précédentes, vous pouvez vérifier la migration a réussi.

  1. Vérifiez que votre navigateur est compatible avec FedCM et que vous disposez déjà d'un compte Session du compte.

  2. Accédez à la ou aux pages One Tap de votre application.

  3. Vérifiez que l'invite One Tap s'affiche et se superpose en toute sécurité sous-jacente contenus.

  4. Confirmer que des identifiants corrects sont renvoyés à votre point de terminaison ou à votre méthode de rappel lorsque vous vous connectez à votre application avec One Tap.

  5. Si la connexion automatique est activée, vérifiez que l'annulation fonctionne et qu'elle est correcte les identifiants corrects sont renvoyés à votre point de terminaison ou à votre méthode de rappel.

Période d'attente de One Tap

Cliquez sur One Tap . (situé dans l'angle supérieur droit), ferme l'invite et entre dans la période de stabilisation empêche l'affichage temporaire de l'invite One Tap. Dans Chrome, si vous que l'invite One Tap s'affiche à nouveau avant la fin de la période d'attente, vous pouvez réinitialiser l'état de la période d'attente en cliquant sur l'icône en forme de cadenas dans la barre d'adresse et en cliquant sur le bouton Réinitialiser l'autorisation.

Connexion automatique en période silencieuse

Lorsque vous testez la connexion automatique à One Tap à l'aide de FedCM, un délai de 10 minutes une période silencieuse entre chaque tentative de connexion automatique. La période silencieuse ne peut pas être réinitialisés. Vous devrez patienter 10 minutes ou utiliser un autre compte Google. � des fins de test afin de d�clencher � nouveau la connexion automatique.

Ressources utiles

Privacy Sandbox Analysis Tool (PSAT) est une extension des outils pour les d�veloppeurs Chrome pour faciliter l'adoption d'autres API telles que FedCM. Elle fonctionne par recherche les fonctionnalit�s affect�es sur votre site, et fournit une liste des recommandations des modifications.