Para pemimpin industri di berbagai sektor memahami betapa pentingnya melindungi privasi sekaligus memberikan pengalaman yang luar biasa bagi semua pengguna mereka. Seznam, yang berdedikasi untuk memberikan pengalaman dan privasi pengguna yang tidak terkompromi, telah berhasil mengintegrasikan Federated Credential Management (FedCM).
Profil target: Perusahaan yang mendapatkan manfaat dari FedCM
Organisasi di berbagai domain telah mengintegrasikan FedCM dengan solusi mereka. Mengingat desain FedCM untuk pengelolaan identitas gabungan, penyedia identitas (IdP) adalah penerima manfaat utamanya, yang menggunakannya untuk menawarkan pengalaman login yang lebih baik. Penyedia layanan e-commerce dan penyedia pembayaran, yang sebagian besar juga bertindak sebagai penyedia identitas, juga telah mengidentifikasi peluang untuk meningkatkan pengalaman pengguna melalui penerapan FedCM.
Seznam
Seznam adalah perusahaan teknologi dan penyedia identitas Eropa yang menjangkau 90% populasi Ceko. Hub ini berfungsi sebagai hub sosial, pengetahuan, dan konten. Seznam mengadopsi FedCM untuk memungkinkan pelanggan toko online yang beroperasi di platform partner mereka login menggunakan akun Seznam mereka.
Dengan FedCM, Seznam mencapai peningkatan yang signifikan dalam rasio login pengguna di jaringan partnernya, peningkatan pengalaman pengguna, dan alur identitas yang konsisten terlepas dari ketersediaan cookie pihak ketiga.
Motivasi
Keputusan Seznam untuk menerapkan FedCM didorong oleh beberapa keuntungan yang mereka peroleh:
- FedCM dirancang dengan mempertimbangkan pengguna akhir, sehingga pengguna memiliki kontrol atas informasi yang diberikan kepada IdP. Hal ini sejalan dengan visi Seznam untuk menciptakan lingkungan yang aman dan privat bagi penggunanya.
- FedCM adalah fitur browser bawaan yang kompatibel dengan pengalaman login Seznam yang sudah ada, yang menggunakan standar OAuth 2.0.
- FedCM dirancang sebagai pendekatan penggabungan identitas yang berfokus pada privasi. Misalnya, fakta bahwa pengguna mengunjungi pihak tepercaya (RP) hanya dibagikan kepada IdP jika pengguna memilih untuk login. Hal ini sejalan dengan pandangan Seznam tentang bisnis berkelanjutan.
Detail implementasi
Seznam menerapkan FedCM sebagai lapisan di atas solusi OAuth yang sudah ada. Dalam arsitektur ini, alur FedCM digunakan untuk mengirimkan kode otorisasi OAuth secara aman dari IdP ke RP.
Upaya penerapan
Seznam menekankan bahwa penerapan FedCM sangat mudah, sesuai dengan pendekatan yang sudah ada. Penelitian dan penerapan API oleh mereka berlangsung selama sebulan dan memerlukan upaya dua developer. Mereka membutuhkan waktu kurang dari dua bulan untuk meluncurkan FedCM ke produksi. Prosesnya bersifat iteratif, dengan waktu yang cukup banyak digunakan untuk mempelajari API dengan cermat.
Tantangan
Sebagai pengguna awal, Seznam mengidentifikasi beberapa tantangan dan memberikan masukan berharga yang membantu mematangkan API.
Dukungan untuk beberapa penyedia identitas
Seznam tertarik dengan dukungan FedCM untuk beberapa penyedia identitas. Dengan fitur ini, mereka berupaya mengizinkan pengguna memilih antara akun Seznam atau Google di RP partner mereka. Namun, saat Seznam pertama kali mendekati penerapan FedCM, fitur tersebut masih dalam tahap awal penerapan, dan developer diwajibkan untuk mendaftar ke uji coba origin dan menggunakan token untuk mengaktifkan fitur tersebut bagi pengguna mereka. Oleh karena itu, Seznam memilih untuk menunggu fitur tersebut diluncurkan di Chrome Stabil.
Fitur ini tersedia mulai Chrome 136, dan developer dapat mengonfigurasi dukungan untuk beberapa penyedia identitas. Misalnya, untuk mendukung penyedia identitas Seznam dan Google, IdP dapat menyertakan kedua penyedia dalam satu panggilan get(), dan RP juga dapat melakukannya secara independen:
// Executed on the RP's side:
const credential = await navigator.credentials.get({
identity: {
providers: [
{
// IdP1: Seznam's config file URL
configURL: 'https://szn.cz/.well-known/web-identity',
clientId: '123',
},
{
// Also allow Google Sign-in
configURL: 'https://accounts.google.com/gsi/fedcm.json',
clientId: '456',
},
],
},
});
Seznam telah menunjukkan bahwa fitur ini akan menjadi bagian dari solusi mereka. Selain itu, tim FedCM sedang
menerapkan dukungan untuk beberapa SDK,
dengan dukungan untuk beberapa panggilan get().
DNS Pribadi
Seznam mengalami masalah terkait konfigurasi jaringan selama fase pengujian. Server IdP pengujian mereka berada dalam jaringan pribadi, yang hanya dapat diakses melalui DNS pribadi. Penyiapan ini umum untuk lingkungan pengujian dan pengembangan internal sebelum layanan diekspos secara publik.
Namun, penyiapan ini menimbulkan tantangan: karena file well-known harus ditayangkan dari
eTLD+1, dan domain pengembangan pribadi tidak terdaftar di
Daftar Suffix Publik, browser tidak akan mengirim
permintaan untuk mengambil file well-known yang dihosting di domain pengembangan:
login.idp.example: contoh domain produksi.idp.example/.well-known/web-identity: contoh file terkenal dalam produksi.login.dev.idp.example: contoh domain pengembangan.login.dev.idp.example/.well-known/web-identity: contoh file terkenal di lingkungan pengembangan.
Jika penerapan FedCM dihosting di domain pribadi, permintaan browser ke file well-known
akan menghasilkan error ini:
The fetch of the well-known file resulted in a network error: ERR_NAME_NOT_RESOLVED
Error ini dapat diatasi dengan mengaktifkan tanda #fedcm-without-well-known-enforcement Chrome. Jika
flag ini diaktifkan, browser akan melewati pengambilan file well-known untuk tujuan pengujian. Pelajari
cara mengaktifkan tanda pengujian di Chrome.
Pengungkapan informasi kustom
Seznam juga menyampaikan bahwa mereka ingin menyertakan informasi tambahan bersama desain awal UI FedCM. Dialog FedCM standar menampilkan pesan tetap kepada pengguna, yang menyatakan bahwa data tertentu—biasanya gambar profil, nama, dan alamat email pengguna—dibagikan kepada RP.
Tim FedCM menggabungkan masukan dan memperluas API untuk memungkinkan penyesuaian pengungkapan yang ditampilkan kepada pengguna. Misalnya, dengan fitur Lanjutkan di, IdP dapat mengalihkan pengguna ke halaman kustom untuk meminta informasi atau izin tambahan. Fitur Parameter kustom dan Kolom yang didukung dari Chrome 132, memungkinkan penyesuaian lebih lanjut.
Validasi asal Pihak Tepercaya
Server IdP harus memvalidasi header HTTP Origin pada permintaan FedCM yang masuk untuk memastikan permintaan cocok dengan origin yang telah didaftarkan RP sebelumnya ke IdP. Hal ini memastikan bahwa
permintaan pernyataan ID
FedCM berasal dari RP yang sah, dan bukan dari penyerang yang menggunakan client_id.
Seznam memiliki situasi kasus sudut: saat RP partner mereka mendaftar ke Seznam, mereka tidak meminta data asal RP. Artinya, asal RP tidak dapat diverifikasi.
Integrasi FedCM Seznam dibangun di atas solusi OAuth yang ada. Mereka mengambil jalur alternatif untuk memvalidasi client_id dan client_secret RP guna memastikan solusi tetap aman tanpa perlu memeriksa asal.
Domain yang terlihat pengguna untuk penyedia identitas
Infrastruktur autentikasi pengguna Seznam beroperasi terutama di domain szn.cz, tempat endpoint IdP yang diperlukan untuk FedCM dihosting. Namun, identitas perusahaan utama mereka dan domain yang digunakan untuk layanan mereka yang dikenal dan dipercayai oleh pengguna secara luas adalah seznam.cz.
Dialog FedCM menampilkan domain asal sebenarnya dari endpoint IdP – dalam hal ini, szn.cz.
Pengguna yang sudah familiar dengan merek seznam.cz mungkin akan merasa bingung, dan ragu saat diminta untuk login dengan domain szn.cz yang kurang dikenal selama proses login.
Mulai Chrome 141, FedCM tidak mengizinkan tampilan domain yang berbeda dengan domain yang menghosting penerapan IdP. Pembatasan ini merupakan pilihan desain yang disengaja untuk memastikan transparansi bagi pengguna. Namun, tim FedCM menyadari tantangan yang mungkin ditimbulkan oleh batasan ini dan sedang mendiskusikan potensi penyesuaian.
Dampak
Dengan FedCM API, Seznam kini dapat menyediakan alur otorisasi sekali ketuk kepada pengguna partner mereka. Mereka menyoroti manfaat yang diberikan oleh UX FedCM dibandingkan dengan metode autentikasi lainnya.
Meskipun Seznam mencatat peningkatan signifikan dalam engagement pengguna di situs yang beralih ke login FedCM, mereka tidak melakukan analisis komprehensif untuk mengisolasi dampak langsung yang tepat dari faktor lain. Sebelum integrasi FedCM, penerapan ini memungkinkan checkout tamu menggunakan email hash yang disetujui untuk identifikasi pengguna. Tantangan untuk melakukan analisis tersebut adalah memperkirakan apakah konversi pengguna dapat diatribusikan ke FedCM, atau apakah pengguna akan menyelesaikan pembelian menggunakan checkout tamu. Hipotesis Seznam menunjukkan bahwa kemudahan penggunaan yang lebih baik yang ditawarkan oleh FedCM mungkin telah berkontribusi pada rasio konversi yang lebih tinggi ini.
Kesimpulan
Seznam berhasil menerapkan FedCM, yang menyediakan alur otorisasi alternatif bersama dengan solusi OAuth yang sudah ada. Meskipun developer Seznam menghadapi beberapa tantangan terkait dukungan penyedia identitas, penyiapan DNS pribadi, penyesuaian teks pengungkapan, validasi asal pihak tepercaya, dan tampilan domain yang terlihat oleh pengguna, API telah matang sejak penerapannya. Tim FedCM telah menggabungkan masukan dari Seznam dan pengadopsi awal lainnya, sehingga memungkinkan alat yang lebih baik untuk mengatasi tantangan ini. Sebagai langkah berikutnya, Seznam berencana menerapkan dukungan FedCM untuk beberapa penyedia identitas.