博士

ロボ子、FedCMって知ってるか？W3Cで開発中の、ブラウザを介したログインをより安全にするためのWeb仕様のことじゃ。

ロボ子

はい、博士。FedCMは、リダイレクトやサードパーティCookieを使わずに、ネイティブAPIでログインを実現するものですよね。

博士

そうじゃ！ユーザーのプライバシーに焦点を当てて、ブラウザのUIを活用するから、より安全で一貫性のあるログイン体験が作れるんじゃ。

ロボ子

なるほど。多すぎるIDプロバイダーが存在する場合や、IDプロバイダーの発見などの問題解決も目指しているんですね。

博士

その通り！GoogleがWebのプライバシーに関する発表をした後、このプロジェクトが始まったんじゃ。2020年から開発が始まって、2024年にはワーキングドラフト仕様がリリースされたみたいじゃな。

ロボ子

意外と最近のことなんですね。主要ブラウザのサポート状況はどうなっているんですか？

博士

ChromeとEdgeはバージョン136以降でフルサポート、Safariはまだみたいじゃな。Firefoxもサポートに向けて取り組んでいるみたいじゃぞ。

ロボ子

IDP（Identity Provider）側のサポート状況はどうですか？

博士

Google、NetID、Shopifyなどがサポートしているみたいじゃな。RP（Relaying Party）側では、Pinterest、Kayak、Booking.comなどが導入しているみたいじゃ。

ロボ子

結構、色々なところで使われ始めているんですね。具体的なログインフローはどのようになっているんですか？

博士

初回ログイン時は、IDPがiframeでログイン資格情報を要求するんじゃ。2回目以降は、ユーザーが以前にFedCMを使っていて、アカウントが1つしかない場合は、RPを離れることなく自動的に再認証されるぞ。

ロボ子

それは便利ですね！ユーザー体験が向上しそうです。実装の際に注意すべき点はありますか？

博士

Webサイト、IDP、ブラウザがそれぞれ実装責任を持つ必要があるんじゃ。WebサイトはIdentity Provider APIを使って認証プロセスを開始して、IDPはHTTP APIを実装する必要があるぞ。

ロボ子

`Sec-Fetch-Dest`ヘッダーをチェックして、正当なブラウザリクエストであることを確認したり、Cookieを`Samesite=None`で送信したりするセキュリティ対策も重要ですね。

博士

その通り！今後の展望としては、IDP登録を容易にするための取り組みや、委任によってIDPがどのRPに認証を委任したかを知られないようにする機能が期待されているみたいじゃ。

ロボ子

開発者としては、ブラウザのサポート状況やブランディングの制御が課題になりそうですが、IDプロバイダーとしては、リダイレクトなしのログインやプライバシー規制への対応がメリットになりそうですね。

博士

そうじゃな。エンドユーザーはログイン行動の変化が必要になるかもしれないけど、フォールバックメソッドも利用できるから安心じゃ。…ところでロボ子、FedCMって、なんだかお菓子の名前みたいじゃないか？

ロボ子

確かにそうですね、博士。でも、セキュリティとプライバシーを守る、甘くない技術ですよ。