يقدّم Chrome تجربة جديدة تتيح للمستخدمين اختيار استخدام ملفات تعريف الارتباط التابعة لجهات خارجية. عليك إعداد موقعك الإلكتروني للمستخدمين الذين يختارون التصفُّح بدون ملفات تعريف الارتباط التابعة لجهات خارجية.
في هذه الصفحة، ستجد معلومات عن سيناريوهات الهوية التي يُرجّح أن تتعرّض للتأثّر، بالإضافة إلى إشارات إلى الحلول المحتملة.
إذا كان موقعك الإلكتروني يعالج عمليات تسجيل الدخول ضمن النطاق والنطاقات الفرعية نفسها فقط، مثل
publisher.example وlogin.publisher.example، لن يستخدم ملفّات تعريف الارتباط
على مستوى الموقع الإلكتروني، ومن المتوقّع ألا تتأثّر عملية تسجيل الدخول بتغييرات ملفّات تعريف الارتباط
التابعة لجهات خارجية.
ومع ذلك، إذا كان موقعك الإلكتروني يستخدم نطاقًا منفصلاً لتسجيل الدخول، مثل تسجيل الدخول باستخدام حساب Google أو تسجيل الدخول باستخدام حساب Facebook، أو إذا كان موقعك الإلكتروني يحتاج إلى مشاركة مصادقة المستخدم على نطاقات أو نطاقات فرعية متعددة، من المحتمل أن تحتاج إلى إجراء تغييرات على موقعك الإلكتروني لضمان عملية انتقال سلسة بعيدًا عن ملفات تعريف الارتباط على جميع المواقع الإلكترونية.
رحلات المستخدِمين الشائعة
في السابق، كانت العديد من عمليات سير العمل المتعلّقة بالهوية تعتمد على ملفات تعريف الارتباط التابعة لجهات خارجية. يسرد الجدول بعض رحلات المستخدِمين الشائعة والحلول المحتملة لكلّ منها والتي لا تعتمد على ملفات تعريف الارتباط التابعة لجهات خارجية. ستوضّح الأقسام التالية أسباب هذه الاقتراحات.
واجهات برمجة التطبيقات البديلة المقترَحة لحالات الاستخدام الشائعة
في الجدول لا تزال في مراحلها الأولى من التطوير. إنّ ملاحظاتك مهمة جدًا وستساعدنا في تحسين هذه الميزة. شارِك أفكارك حول هذين المكوّنَين من واجهة برمجة التطبيقات: Popins المقسّمة.
| رحلة المستخدِم | واجهات برمجة التطبيقات المقترَحة |
|---|---|
| تسجيل الدخول باستخدام حساب على وسائل التواصل الاجتماعي |
بالنسبة إلى موفّري الهوية: تنفيذ FedCM بالنسبة إلى الجهات الموثوق بها: التواصل مع موفّر الهوية |
|
بالنسبة إلى موفّري الهوية أو الحلول المخصّصة: مجموعات المواقع الإلكترونية ذات الصلة |
|
| إدارة الملف الشخصي للمستخدم |
Storage Access API Related Website Sets CHIPS FedCM + SAA |
|
Storage Access API Related Website Sets CHIPS FedCM + SAA |
|
| المصادقة |
Storage Access API FedCM Web Authentication API scienceمكوّنات Popins المقسّمة |
| لا تعتمد هذه السيناريوهات بشكل عام على ملفات تعريف الارتباط التابعة لجهات خارجية، ومن غير المتوقّع أن تتأثّر بها. |
اختبار تجارب المستخدمين المتعلّقة بالهوية
إنّ أفضل طريقة لاختبار ما إذا كان مسار تسجيل الدخول يتأثّر بتغيُّرات ملفّات تعريف الارتباط التابعة لجهات خارجية هي اتّباع مسارات التسجيل واسترداد كلمة المرور وتسجيل الدخول وتسجيل الخروج مع تفعيل علامة اختبار ملفّات تعريف الارتباط التابعة لجهات خارجية.
في ما يلي قائمة تحقّق بالنقاط التي يجب التحقّق منها بعد حظر ملفّات تعريف الارتباط التابعة لجهات خارجية:
- تسجيل المستخدمين: يعمل إنشاء حساب جديد على النحو المتوقّع. في حال استخدام موفّري هوية تابعين لجهات خارجية، تأكَّد من أنّ تسجيل الحسابات الجديدة يعمل مع كل عملية دمج.
- استرداد كلمة المرور: تعمل ميزة استرداد كلمة المرور على النحو المتوقّع، بدءًا من واجهة مستخدِم الويب، ومرورًا بـ رموز CAPTCHA، ووصولاً إلى تلقّي الرسالة الإلكترونية لاسترداد كلمة المرور.
- تسجيل الدخول: يعمل سير عمل تسجيل الدخول داخل النطاق نفسه وعند الانتقال إلى نطاقات أخرى. تذكَّر اختبار كل عملية دمج لتسجيل الدخول.
- تسجيل الخروج: تعمل عملية تسجيل الخروج على النحو المتوقّع، ويظلّ المستخدم خارج التطبيق بعد اكتمال عملية تسجيل الخروج.
يجب أيضًا اختبار ميزات الموقع الإلكتروني الأخرى التي تتطلّب تسجيل دخول المستخدمين للتأكد من أنّها تظل عاملة بدون ملفات تعريف الارتباط على مستوى المواقع الإلكترونية المختلفة، خاصةً إذا كانت تتضمن تحميل موارد على مستوى مواقع إلكترونية مختلفة. على سبيل المثال، إذا كنت تستخدم شبكة توصيل المحتوى (CDN) لتحميل صور الملفات الشخصية للمستخدمين، تأكّد من أنّ هذا الإجراء لا يزال يعمل. إذا كانت لديك رحلات مستخدِمين مهمّة، مثل الدفع، والتي تتطلّب تسجيل الدخول، تأكَّد من أنّها لا تزال تعمل.
حلول تسجيل الدخول
في هذا القسم، ستجد معلومات أكثر تحديدًا حول كيفية تأثير هذه التدفقات.
الدخول المُوحَّد (SSO) التابع لجهة خارجية
تتيح خدمة الدخول المُوحَّد (SSO) التابعة لجهة خارجية للمستخدم المصادقة باستخدام مجموعة واحدة من بيانات الاعتماد على نظام أساسي واحد، ثم الوصول إلى تطبيقات ومواقع إلكترونية متعددة بدون الحاجة إلى إعادة إدخال معلومات تسجيل الدخول. بسبب تعقيد تنفيذ حلّ الدخول المُوحَّد، تختار العديد من الشركات استخدام مقدّم حلّ تابع لجهة خارجية، وذلك لمشاركة حالة تسجيل الدخول بين مصادر متعدّدة. تشمل أمثلة موفّري الخدمة Okta أو Ping Identity أو Google Cloud IAM أو Microsoft Entra ID.
إذا كان الحلّ يعتمد على مقدّم خدمة تابع لجهة خارجية، قد يكون من الضروري إجراء بعض التغييرات البسيطة، مثل ترقية المكتبة. إنّ أفضل طريقة هي طلب إرشادات من مقدّم الخدمة حول كيفية تأثير الاعتماد على ملفات تعريف الارتباط التابعة لجهات خارجية في الحلّ والطريقة التي ينصح بها لخدمة مقدّم الخدمة. سيتوقف بعض الموفّرين نهائيًا عن استخدام ملفات تعريف الارتباط التابعة لجهات خارجية بدون إشعار، وفي هذه الحالة، لن يحتاج الطرفان المعنيّان إلى إجراء أي تعديلات.
نطاقات متعددة
تستخدم بعض المواقع الإلكترونية نطاقًا مختلفًا فقط لمصادقة المستخدمين الذين لا يصنّفون ضمن المواقع التي تتيح استخدام ملفات تعريف الارتباط على الموقع نفسه، مثل موقع إلكتروني يستخدم example.com للموقع الإلكتروني الرئيسي وlogin.example لمرحلة تسجيل الدخول، ما قد يتطلّب الوصول إلى ملفات تعريف الارتباط التابعة لجهات خارجية لضمان مصادقة المستخدم على كلا النطاقَين.
يمكن أن يكون لبعض الأنشطة التجارية منتجات متعددة مستضافة على نطاقات أو نطاقات فرعية مختلفة. قد تحتاج هذه الحلول إلى مشاركة جلسة المستخدم على مستوى هذه المنتجات، وهو سيناريو قد يتطلّب الوصول إلى ملفات تعريف الارتباط التابعة لجهات خارجية بين نطاقات متعددة.
في ما يلي مسارات نقل البيانات المحتمَلة لهذا السيناريو:
- التحديث لاستخدام ملفّات تعريف ارتباط الطرف الأول (ملفّات تعريف ارتباط الموقع الإلكتروني نفسه): تغيير البنية الأساسية للموقع الإلكتروني لكي يتم استضافة عملية تسجيل الدخول على النطاق نفسه (أو نطاق فرعي) للموقع الإلكتروني الرئيسي، والذي لن يستخدم سوى ملفّات تعريف ارتباط الطرف الأول قد يتطلّب ذلك بذل المزيد من الجهد، استنادًا إلى كيفية إعداد البنية الأساسية.
- استخدام مجموعات المواقع الإلكترونية ذات الصلة (RWS) وStorage Access API (SAA): تتيح مجموعات المواقع الإلكترونية ذات الصلة إمكانية الوصول المحدود إلى ملفات تعريف الارتباط على مستوى المواقع الإلكترونية بين مجموعة صغيرة من النطاقات ذات الصلة. باستخدام RWS، لا حاجة إلى طلب إذن من المستخدم عند طلب الوصول إلى مساحة التخزين باستخدام واجهة برمجة التطبيقات Storage Access API. يتيح ذلك استخدام الدخول المُوحَّد في خدمات المعالجة المحدودة للبيانات (RP) التي تقع في ملف أمان الموارد (RWS) نفسه الذي يقع فيه موفِّر الهوية. ومع ذلك، لا تتيح ميزة RWS الوصول إلى ملفات تعريف الارتباط على جميع المواقع الإلكترونية إلا على مستوى عدد محدود من النطاقات.
- استخدام Web Authentication API: تتيح Web Authentication API للجهات الموثوق بها (RP) تسجيل مجموعة محدودة من مصادر البيانات ذات الصلة التي يمكن إنشاء بيانات الاعتماد واستخدامها فيها.
- إذا كنت تُجري مصادقة للمستخدمين على أكثر من 5 نطاقات مرتبطة، استكشِف إدارة بيانات الاعتماد الفيدرالية (FedCM): تسمح إدارة بيانات الاعتماد الفيدرالية لموفّري الهوية بالاعتماد على Chrome لمعالجة عمليات الربط المتعلّقة بالهوية بدون الحاجة إلى ملفات تعريف الارتباط التابعة لجهات خارجية. في حالتك، يمكن أن يعمل "نطاق تسجيل الدخول" كموفِّر هوية FedCM ويمكن استخدامه للقيام بالمصادقة على المستخدمين في نطاقاتك الأخرى.
المصادقة من عمليات التضمين
لنفترض أنّه تم تضمين إطار iframe في 3-party-app.example على top-level.example. في
3-party-app.example، يمكن للمستخدم تسجيل الدخول باستخدام بيانات اعتماد 3-party-app.example
أو باستخدام موفِّر آخر تابع لجهة خارجية.
ينقر المستخدم على "تسجيل الدخول"، ويُجري مصادقة في 3-party-app.example
النافذة المنبثقة. تُنشئ النافذة المنبثقة 3-party-app.example ملفّ تعريف ارتباط للطرف الأول. ومع ذلك، يتم تقسيم ملف iframe المضمّن في 3-party-app.example على top-level.example
ولا يمكنه الوصول إلى ملف تعريف الارتباط الذي تم ضبطه في سياق الطرف الأول على
3-party-app.example.
وستظهر المشكلة نفسها عند إعادة توجيه المستخدم من top-level.example
إلى 3-party-app.example والعكس. يتمّ كتابة ملفّ تعريف الارتباط في سياق الطرف الأول
لموقع الإلكتروني 3-party-app.example، ولكنّه مُقسَّم ولا يمكن
الوصول إليه ضمن إطار iframe في 3-party-app.example.
في الحالات التي زار فيها المستخدم المصدر المضمّن في سياق من المستوى الأعلى، فإنّ Storage Access API هي حلّ جيد.
للتوقف عن استخدام الحلول التي تعتمد على ملفات تعريف الارتباط التابعة لجهات خارجية، ننصحك بأن يتبنّى موفّرو الهوية واجهة برمجة التطبيقات FedCM API ويُستخدَم FedCM من داخل عمليات الدمج بدلاً من النوافذ المنبثقة.
يتم حاليًا تنفيذ حلّ آخر مقترَح لهذه العملية، وهو Popins المقسّمة.
تسجيل الدخول باستخدام حساب على وسائل التواصل الاجتماعي
إنّ أزرار تسجيل الدخول، مثل تسجيل الدخول باستخدام حسابك على Google وتسجيل الدخول باستخدام حسابك على Facebook وتسجيل الدخول باستخدام حسابك على Twitter ، هي علامة أكيدة على أنّ موقعك الإلكتروني يستخدم مزوّد هوية متحدة. سيكون لكل مقدّم هوية متحدة طريقة تنفيذ خاصة به.
إذا كنت تستخدم المكتبة Google Sign-In JavaScript Platform التي سيتم إيقافها نهائيًا، يمكنك العثور على معلومات حول كيفية نقل البيانات إلى مكتبة Google Identity Services الأحدث للمصادقة والتفويض.
أزالت معظم المواقع الإلكترونية التي تستخدم مكتبة Google Identity Services الأحدث الاعتماد على ملفات تعريف الارتباط التابعة لجهات خارجية، لأنّ ستنقل المكتبة بشكل صامت لاستخدام FedCM للتوافق. ننصحك باختبار موقعك الإلكتروني مع تفعيل علامة اختبار الإيقاف النهائي لملف تعريف الارتباط التابع لجهة خارجية، واستخدام قائمة التحقّق من نقل FedCM عند الضرورة للاستعداد.
الوصول إلى بيانات المستخدمين وتعديلها من عمليات التضمين
غالبًا ما يتم استخدام المحتوى المضمّن في تجارب المستخدمين، مثل الوصول إلى بيانات ملفه الشخصي أو اشتراكاته أو إدارتها.
على سبيل المثال، قد يسجّل مستخدم الدخول إلى website.example التي تضمّ تطبيقات مصغّرة
subscriptions.example. تتيح هذه الأداة للمستخدمين إدارة بياناتهم،
مثل الاشتراك في محتوى مدفوع أو تعديل معلومات الفوترة. لتعديل بيانات المستخدم، قد تحتاج الأداة المضمّنة إلى الوصول إلى ملفات تعريف الارتباط الخاصة بها أثناء تضمينها في website.example. في السيناريو الذي يجب فيه
عزل هذه البيانات إلىwebsite.example، يمكن أن تساعد CHIPS في ضمان أنّه يمكن لميزة
التضمين الوصول إلى المعلومات التي تحتاجها. باستخدام CHIPS، لن يتمكّن subscriptions.example
التطبيق المصغّر المضمّن في website.example من الوصول إلى بيانات إشتراكات المستخدم على مواقع إلكترونية أخرى.
لنفترض حالة أخرى: تم تضمين فيديو من streaming.example في
website.example، وكان لدى المستخدم اشتراك في streaming.example من الفئة المميّزة،
ويجب أن تعرف الأداة بذلك لإيقاف عرض الإعلانات. إذا كان يجب الوصول إلى ملف تعريف الارتباط نفسه
على مستوى مواقع إلكترونية متعددة، ننصحك باستخدام واجهة برمجة التطبيقات
Storage Access إذا كان المستخدم قد زار في السابق
streaming.example كمستوى أعلى، ومجموعات المواقع الإلكترونية
المرتبطة إذا كانت مجموعة website.example تملك
streaming.example.
اعتبارًا من الإصدار 131 من Chrome، تم دمج FedCM مع Storage Access API. من خلال هذا الدمج، عندما يقبل المستخدِم طلب FedCM، سيمنح المتصفّح موفِّر الهوية إذن الوصول المضمّن إلى مساحة التخزين غير المقسّمة.
لمزيد من المعلومات حول واجهة برمجة التطبيقات التي يجب اختيارها للتعامل مع رحلة مستخدم معيّنة مع محتوى مضمّن، يُرجى الاطّلاع على دليل عمليات التضمين.
تجارب المستخدمين الأخرى
من المفترض ألا تتأثر مسارات المستخدِمين التي لا تعتمد على ملفات تعريف الارتباط التابعة لجهات خارجية بالتغييرات في طريقة معالجة Chrome لملفات تعريف الارتباط التابعة لجهات خارجية. من المفترض أن تعمل الحلول الحالية على النحو المطلوب، مثل تسجيل الدخول أو تسجيل الخروج أو استرداد الحساب في سياق الجهة الأولى أو المصادقة الثنائية. تم وصف نقاط الانهيار المحتملة في السابق. لمزيد من المعلومات حول واجهة برمجة تطبيقات معيّنة، يُرجى الانتقال إلى صفحة حالة واجهة برمجة التطبيقات. يُرجى الإبلاغ عن أي مشاكل تواجهك على الرابط goo.gle/report-3pc-broken. يمكنك أيضًا إرسال نموذج ملاحظات أو الإبلاغ عن مشكلة على GitHub في مستودع دعم المطوّرين في "مبادرة حماية الخصوصية".
تدقيق موقعك الإلكتروني
إذا كان موقعك الإلكتروني ينفّذ إحدى تجارب المستخدِمين الموضّحة في هذا الدليل، عليك التأكّد من استعداد مواقعك الإلكترونية: تحقّق من موقعك الإلكتروني بحثًا عن استخدام ملفات تعريف الارتباط التابعة لجهات خارجية، واختَبِر حدوث أيّ مشاكل، وانتقِل إلى الحلول المقترَحة.