Dans le paysage numérique actuel, la première rencontre d'un utilisateur avec une application est souvent la plus importante. Pourtant, pendant des décennies, cette interaction initiale a été entravée par les frictions des méthodes de validation traditionnelles. Nous avons le plaisir de vous annoncer le lancement d'un nouveau certificat d'adresse e-mail validée émis par Google, que les développeurs peuvent désormais récupérer directement à partir de l'API Digital Credential de Credential Manager d'Android.

Le problème : les frictions liées à l'authentification à l'ère moderne

L'"ère actuelle" de l'authentification est définie par un compromis entre sécurité et commodité. Pour vous assurer qu'un utilisateur est bien le propriétaire de l'adresse e-mail qu'il fournit, vous vous appuyez généralement sur des mots de passe à usage unique ou des "liens magiques" envoyés par e-mail ou SMS.

Bien qu'efficaces, ces étapes traditionnelles présentent des difficultés importantes :

• Changement de contexte : les utilisateurs doivent quitter l'application, ouvrir leur boîte de réception ou leur application de chat, trouver le code et revenir à l'application. Beaucoup d'utilisateurs potentiels abandonnent tout simplement le processus.
• Problèmes de distribution : bien que les e-mails soient sans frais, ils peuvent être retardés ou redirigés vers des dossiers de spam.
• Friction lors de l'intégration : chaque seconde supplémentaire passée dans la "boucle de validation" est une seconde pendant laquelle un utilisateur peut perdre de l'intérêt, ce qui a un impact direct sur les taux de conversion.

La solution : un e-mail validé et fluide

Google émet désormais un certificat d'e-mail validé par chiffrement directement sur les appareils Android. Cet identifiant d'adresse e-mail validée est fourni par l'API Credential Manager, qui est l'implémentation Android de la norme API Digital Credential du W3C. 

Pour les utilisateurs, cela élimine complètement la nécessité de valider manuellement leur adresse e-mail via des canaux externes. Pour les développeurs, l'API fournit de manière sécurisée ces revendications utilisateur validées pour n'importe quel scénario, que vous créiez un flux de création de compte, un processus de récupération ou une authentification renforcée à haut risque. 

Bien que cette adresse e-mail validée spécifique provienne de manière sécurisée du compte Google de l'utilisateur sur son appareil, l'API Digital Credentials sous-jacente est indépendante de l'émetteur. Cela favorise un écosystème ouvert, permettant à tout détenteur d'un identifiant numérique avec une revendication d'adresse e-mail de proposer cette validation à votre application.

Expérience utilisateur

La beauté de cette API réside dans sa simplicité pour l'utilisateur final. Au lieu de chercher des codes OTP, l'expérience est directement intégrée à l'OS Android :

1. Déclenchement : le processus commence lorsqu'un utilisateur se concentre sur un champ de saisie d'adresse e-mail ou appuie sur un bouton "S'inscrire" ou "Récupérer le compte". Vous pouvez également lancer le processus au chargement de la page.
2. Transparence : une bottom sheet Android native s'affiche, détaillant clairement les données demandées (par exemple, l'adresse e-mail validée de l'utilisateur).
3. Consentement en un clic : l'utilisateur appuie simplement sur "Accepter et continuer" pour partager les données.
4. Progression immédiate : une fois le consentement accordé, l'application reçoit les données instantanément. Pour les flux d'inscription ou de récupération de compte, vous pouvez ensuite faire passer l'utilisateur à la création d'une clé d'accès de manière fluide, en veillant à ce que :
   1. Les utilisateurs n'ont pas besoin de saisir manuellement des informations les concernant, contrairement à l'inscription traditionnelle avec nom d'utilisateur et mot de passe.  
   2. Leur prochaine connexion sera encore plus rapide et plus sécurisée.

Cas d'utilisation 1 : S'inscrire

Accélérez l'intégration en récupérant une adresse e-mail validée au moment où l'utilisateur appuie sur "S'inscrire". Nous vous recommandons vivement d'associer la récupération de l'adresse e-mail validée à la création de clés d'accès, qui fait également partie de l'API Credential Manager :

Remarque : Vous pouvez également récupérer d'autres champs non validés, tels que le prénom, le nom, le nom complet, la photo de profil et le domaine hébergé associés à l'adresse e-mail validée d'un utilisateur.

Cas d'utilisation 2 : Récupération de compte 

Évitez aux utilisateurs de devoir chercher des codes de récupération dans leurs dossiers de spam en leur permettant de récupérer leur compte à l'aide de l'adresse e-mail validée et stockée de manière sécurisée sur leur appareil :

Cas d'utilisation 3 : Réauthentification pour les actions sensibles 

Protégez les actions utilisateur sensibles, comme la modification des paramètres ou des informations de profil, en exigeant une étape de réauthentification rapide. Au lieu d'un OTP, vous pouvez fournir une validation simple à l'aide de l'adresse e-mail validée de l'appareil :

Remarques importantes

Lorsque vous concevez votre architecture d'authentification autour de l'API Digital Credentials, gardez à l'esprit les points suivants :

• Assistance pour les comptes : seuls les comptes Google personnels standards sont acceptés pour les identifiants d'adresse e-mail spécifiques émis par Google (les comptes Workspace et supervisés ne sont pas acceptés pour le moment). N'oubliez pas que l'API Credential Manager elle-même est indépendante de l'émetteur, ce qui signifie que d'autres fournisseurs d'identité peuvent émettre des identifiants avec leurs propres règles d'assistance pour les comptes.
• Autres données utilisateur : en plus de l'adresse e-mail, vous pouvez demander le prénom, le nom de famille, le nom complet et la photo de profil de l'utilisateur. Notez toutefois que seul l'adresse e-mail est validée par Google.
• Valider automatiquement vos comptes @gmail : l'API fournit des adresses e-mail validées pour tous les comptes Google grand public. Nous vous recommandons de valider automatiquement les utilisateurs @gmail.com et de rediriger les domaines personnalisés vers votre flux de validation existant (par exemple, un flux OTP). Vous pourrez ainsi conserver un accès à long terme pour les domaines externes qui ne sont pas directement gérés par Google.
• Complémentaire à Se connecter avec Google : bien que le nouvel identifiant d'adresse e-mail validée et l'API Se connecter avec Google fournissent tous deux une adresse e-mail validée, le choix dépend de l'expérience utilisateur souhaitée :
  • Utilisez Se connecter avec Google lorsque vos utilisateurs souhaitent créer une session de connexion fédérée.
  • Utilisez l'adresse e-mail validée lorsque vos utilisateurs souhaitent se connecter de manière traditionnelle avec un nom d'utilisateur/mot de passe ou une clé d'accès, mais qu'ils veulent valider automatiquement l'adresse e-mail sans avoir à saisir manuellement un code secret à usage unique.

Conclusion et prochaines étapes

En intégrant la nouvelle API de vérification des adresses e-mail via le Gestionnaire d'identifiants, vous pouvez réduire considérablement les frictions lors de l'intégration et offrir aux utilisateurs un parcours d'authentification plus simple et plus sécurisé. Cela représente une évolution vers un avenir où la "validation" ne sera plus une tâche manuelle pour l'utilisateur, mais une partie intégrée et fluide de l'expérience mobile native.

Prêt à découvrir comment l'intégrer à votre propre application ? Pour commencer, mettez à jour votre projet avec la dernière API Credential Manager et consultez notre guide d'intégration. Nous vous encourageons à découvrir comment cette validation simplifiée peut simplifier vos parcours utilisateur critiques, de l'optimisation de la création de compte à l'amélioration des flux de réauthentification.