מדריכים

ייעול מסלולי המשתמשים באמצעות אימות כתובת אימייל דרך Credential Manager

משך הקריאה: 3 דקות
Niharika Arora & Jean-Pierre Pralle

בסביבה הדיגיטלית של היום, המפגש הראשון של משתמש עם אפליקציה הוא לרוב המפגש החשוב ביותר. אבל במשך עשרות שנים, החיכוך שנוצר משיטות האימות המסורתיות הקשה על האינטראקציה הראשונית הזו. אנחנו שמחים להודיע היום על אישור חדש של כתובת אימייל שניתן על ידי Google, שמפתחים יכולים עכשיו לאחזר ישירות מ-Credential Manager Digital Credential API של Android.

הבעיה: חיכוך בתהליך האימות בעידן המודרני

המאפיין המרכזי של 'העידן הנוכחי' של האימות הוא פשרה בין אבטחה לנוחות. כדי לוודא שכתובת האימייל שמשתמש מספק שייכת לו, בדרך כלל מסתמכים על סיסמאות חד-פעמיות (OTP) או על 'קישורים קסומים' שנשלחים באימייל או ב-SMS.

השלבים המסורתיים האלה יעילים, אבל הם יוצרים קשיים משמעותיים:

  • החלפת הקשר: המשתמשים צריכים לצאת מהאפליקציה, לפתוח את תיבת הדואר הנכנס או את אפליקציית ההודעות, למצוא את הקוד ולחזור לאפליקציה. בתהליך הזה, הרבה משתמשים פוטנציאליים פשוט נוטשים את ההרשמה.
  • בעיות במסירה: שירות האימייל הוא חינמי, אבל יכול להיות שיהיו עיכובים במסירה או שהאימיילים יועברו לתיקיות הספאם.
  • חיכוך בתהליך ההצטרפות: כל שנייה נוספת שמוקדשת ל "לולאת האימות" היא שנייה שבה משתמש עלול לאבד עניין, וזה משפיע ישירות על שיעורי ההמרה.

הפתרון: אימייל מאומת ופשוט

‫Google מנפיקה עכשיו אישור אימייל מאומת קריפטוגרפית ישירות למכשירי Android. המסמך המאומת הזה נמסר דרך Credential Manager API, שהוא ההטמעה של Android של התקן W3C's Digital Credential API

למשתמשים, זה מבטל לחלוטין את הצורך לאמת ידנית את האימייל שלהם דרך ערוצים חיצוניים. למפתחים, ה-API מספק באופן מאובטח את טענות המשתמש המאומתות האלה לכל תרחיש, בין אם אתם בונים תהליך ליצירת חשבון, תהליך שחזור או אימות מתקדם בסיכון גבוה. 

כתובת האימייל הספציפית הזו מאומתת ומגיעה ממקור מאובטח בחשבון Google של המשתמש במכשיר שלו, אבל ה-API הבסיסי של אישורים דיגיטליים לא תלוי במנפיק. כך נוצרת סביבה עסקית פתוחה שמאפשרת לכל מי שמחזיק בתעודה דיגיטלית עם טענת אימייל להציע את האימות הזה לאפליקציה.

חוויית משתמש

היתרון של ה-API הזה הוא הפשטות שלו עבור משתמש הקצה. במקום לחפש קודי OTP, חוויית השימוש משולבת ישירות במערכת ההפעלה Android:

  1. התחלה: התהליך מתחיל כשמשתמש מתמקד בשדה להזנת כתובת אימייל או מקיש על כפתור 'הרשמה' או 'שחזור חשבון'. אפשר גם להתחיל את התהליך בטעינת דף.
  2. שקיפות: מופיע גיליון תחתון מקורי של Android עם פירוט ברור של הנתונים המבוקשים (לדוגמה, כתובת האימייל המאומתת של המשתמש).
  3. הסכמה בהקשה אחת: המשתמש פשוט מקיש על 'הסכמה והמשך' כדי לשתף את הנתונים.
  4. התקדמות מיידית: ברגע שהמשתמשים מביעים הסכמה, האפליקציה מקבלת את הנתונים באופן מיידי. בתהליכי הרשמה או שחזור חשבון, תוכלו להעביר את המשתמש בצורה חלקה ליצירת מפתח גישה, ולוודא ש:
    1. המשתמשים לא צריכים להזין פרטי משתמש באופן ידני, בניגוד לרישום המסורתי באמצעות שם משתמש וסיסמה.  
    2. הכניסה הבאה לחשבון תהיה מהירה ומאובטחת יותר.

תרחיש לדוגמה 1. הרשמה

כדי לזרז את תהליך ההצטרפות, המערכת מאחזרת אימייל מאומת ברגע שהמשתמש מקיש על 'הרשמה'. מומלץ מאוד לשלב את אחזור האימייל המאומת עם יצירת מפתח גישה, שגם היא חלק מ-Credential Manager API:

UseCase1.png

הערה: אפשר גם לאחזר שדות אחרים שלא אומתו, כמו השם הפרטי, שם המשפחה, השם, תמונת הפרופיל והדומיין המתארח שמקושרים לאימייל המאומת של המשתמש.

תרחיש לדוגמה 2. שחזור חשבון 

כדי למנוע מצב מתסכל שבו משתמשים מחפשים קודי שחזור בתיקיות הספאם שלהם, אתם יכולים לאפשר להם לשחזר את החשבון באמצעות האימייל המאומת שמאוחסן בצורה מאובטחת במכשיר שלהם:

UseCase2.png

תרחיש לדוגמה 3. אימות מחדש לפעולות רגישות 

כדי להגן על פעולות רגישות של משתמשים, כמו שינוי הגדרות או עדכון פרטי הפרופיל, אפשר לדרוש שלב מהיר של אימות מחדש. במקום קוד חד-פעמי, אפשר לספק אימות פשוט באמצעות האימייל המאומת של המכשיר:

UseCase3.png

שיקולים חשובים

כשמתכננים את ארכיטקטורת האימות סביב Digital Credentials API, חשוב לזכור את הפרטים הבאים:

  • תמיכה בחשבון: לגבי פרטי הכניסה הספציפיים לאימייל שהונפקו על ידי Google, יש תמיכה רק בחשבונות Google רגילים לצרכנים (אין תמיכה בחשבונות Workspace ובחשבונות בפיקוח). חשוב לזכור שממשק Credential Manager API עצמו לא תלוי במנפיק, כלומר ספקי זהויות אחרים יכולים להנפיק אישורים עם מדיניות תמיכה משלהם בחשבון.
  • נתוני משתמש אחרים: בנוסף לאימייל, אפשר לבקש את השם הפרטי, שם המשפחה, השם המלא ותמונת הפרופיל של המשתמש. עם זאת, חשוב לדעת שרק כתובת האימייל מאומתת על ידי Google.
  • אימות אוטומטי של חשבונות ‎ @gmail: ה-API מספק אימיילים מאומתים לכל החשבונות הפרטיים ב-Google. מומלץ לאמת אוטומטית משתמשים עם כתובת ‎ @gmail.com ולנתב דומיינים מותאמים אישית לתהליך האימות הקיים – לדוגמה, תהליך OTP. כך תוכלו לשמור על גישה לטווח ארוך לדומיינים חיצוניים שלא מנוהלים ישירות על ידי Google.
  • השלמה ל-Sign in with Google: גם האישורים החדשים של כתובות אימייל מאומתות וגם Sign in with Google API מספקים כתובת אימייל מאומתת, אבל הבחירה ביניהם תלויה בחוויית המשתמש הרצויה:
    • משתמשים בכניסה באמצעות חשבון Google כשרוצים ליצור סשן של כניסה מאוחדת.
    • שימוש באימייל מאומת כשמשתמשים רוצים להיכנס בדרך המסורתית עם שם משתמש/סיסמה או מפתח גישה, אבל רוצים לאמת אוטומטית את כתובת האימייל בלי לבצע את הפעולה הידנית של הזנת קוד אימות חד-פעמי.

סיכום והשלבים הבאים

שילוב של האימות החדש של כתובות אימייל באמצעות Credential Manager API מאפשר לצמצם באופן משמעותי את החיכוך בתהליך ההצטרפות ולספק למשתמשים תהליך אימות יעיל ומאובטח יותר. השינוי הזה מייצג מעבר לעתיד שבו 'אימות' כבר לא יהיה מטלה ידנית עבור המשתמש, אלא חלק משולב וחלק מחוויית המשתמש המקורית בנייד.

רוצים לראות איך זה משתלב באפליקציה שלכם? כדי להתחיל, צריך לעדכן את הפרויקט לגרסה האחרונה של Credential Manager API ולעיין במדריך השילוב. אנחנו ממליצים לכם לבדוק איך האימות הפשוט הזה יכול לפשט את תהליכי המשתמשים החשובים שלכם, החל מאופטימיזציה של יצירת חשבון ועד לשיפור תהליכי האימות מחדש. 

נכתב על ידי:

להמשך הקריאה