ハウツー

認証情報マネージャーによるメールアドレスの確認でユーザー ジャーニーを効率化する

所要時間: 3 分

現代のデジタル環境では、ユーザーがアプリに初めて出会う瞬間が最も重要になることがよくあります。しかし、数十年にわたり、この最初のやり取りは従来の確認方法の摩擦によって妨げられてきました。本日、Google が発行する新しい確認済みのメールアドレスの認証情報を発表いたします。デベロッパーは、Android の認証情報マネージャー Digital Credential API から直接取得できるようになりました。

問題: 現代における認証の摩擦

認証の「現在の時代」は、セキュリティと利便性のトレードオフによって定義されます。ユーザーが提供したメールアドレスを所有していることを確認するには、通常、メールまたは SMS で送信されるワンタイム パスワード(OTP)または「マジックリンク」を使用します。

これらの従来の手順は効果的ですが、大きな課題があります。

  • コンテキストの切り替え: ユーザーはアプリを離れ、受信トレイまたはメッセージ アプリを開いてコードを見つけ、アプリに戻る必要があります。このプロセスで、多くの潜在的なユーザーが離脱してしまいます。
  • 配信に関する問題: メールは無料ですが、遅延したり、迷惑メールフォルダに振り分けられたりすることがあります。
  • オンボーディングの摩擦: 「確認ループ」に費やされる時間が 1 秒増えるごとに、ユーザーが興味を失う可能性が高まり、コンバージョン率に直接影響します。

ソリューション: シームレスなメール認証

Google は、暗号で検証されたメール認証情報を Android デバイスに直接発行するようになりました。この確認済みのメールアドレスの認証情報は、Credential Manager API を通じて提供されます。これは、W3C の Digital Credential API 標準の Android 実装です。

ユーザーは、外部チャネルを通じてメールを手動で確認する必要がなくなります。デベロッパーは、アカウント作成フロー、復元プロセス、高リスクのステップアップ認証のいずれを構築する場合でも、API を使用して、検証済みのユーザー クレームを安全に取得できます。

この特定の確認済みメールアドレスは、デバイス上のユーザーの Google アカウントから安全に取得されますが、基盤となる Digital Credentials API は発行者非依存です。これにより、オープンなエコシステムが促進され、メール クレームを含むデジタル認証情報の所有者は、アプリにその検証を提供できるようになります。

ユーザー エクスペリエンス

この API の利点は、エンドユーザーにとってのシンプルさにあります。OTP コードを探す必要がなく、Android OS に直接統合されています。

  1. 開始: ユーザーがメールアドレス入力フィールドにフォーカスするか、[登録] ボタンまたは [アカウントを復元] ボタンをタップすると、プロセスが開始されます。ページの読み込み時にプロセスを開始することもできます。
  2. 透明性: ネイティブの Android ボトムシートが表示され、リクエストされているデータ(ユーザーの確認済みのメールアドレスなど)が明確に詳細に示されます。
  3. ワンタップ同意: ユーザーが [同意して続行] をタップするだけでデータを共有できます。
  4. 即時進行: 同意が得られると、アプリはデータを即座に受け取ります。登録フローやアカウント復元フローでは、ユーザーをパスキー作成にシームレスに移行させることができます。これにより、次のことが保証されます。
    1. 従来のユーザー名/パスワード登録とは異なり、ユーザーがユーザー情報を手動で入力する必要はありません。  
    2. 次回以降のログインは、さらに高速かつ安全になります。

ユースケース 1. 登録

ユーザーが [登録] をタップした瞬間に確認済みのメールアドレスを取得することで、オンボーディングを迅速化します。認証済みメールアドレスの取得と、Credential Manager API の一部であるパスキーの作成を組み合わせることを強くおすすめします。

UseCase1.png

注: ユーザーの名、姓、名前、プロフィール写真、確認済みのメールアドレスに関連付けられたホストされているドメインなど、他の未確認のフィールドを取得することもできます。

ユースケース 2. アカウント復元 

デバイスに安全に保存されている確認済みのメールアドレスを使用してアカウントを復元できるようにすることで、ユーザーが迷惑メールフォルダで復元コードを探す手間を省きます。

UseCase2.png

ユースケース 3. 機密情報に関する操作の再認証 

設定の変更やプロフィール情報の更新などの機密性の高いユーザー操作を、簡単な再認証手順を必須とすることで保護します。OTP の代わりに、デバイスの確認済みメールアドレスを使用して、手間のかからない確認を提供できます。

UseCase3.png

重要な考慮事項

Digital Credentials API を中心に認証アーキテクチャを設計する際は、次の点に注意してください。

  • アカウントのサポート: Google が発行した特定のメール認証情報については、通常の一般ユーザー向け Google アカウントのみがサポートされています(Workspace アカウントと管理対象アカウントは現在サポートされていません)。Credential Manager API 自体は発行者に依存しないため、他の ID プロバイダは独自のポリシーで認証情報を発行できます。
  • その他のユーザーデータ: メールアドレス以外に、ユーザーの名、姓、氏名、プロフィール写真をリクエストできます。ただし、Google が確認するのはメールアドレスのみです。
  • @gmail アカウントを自動的に確認する: この API は、すべての一般ユーザー向け Google アカウントの確認済みメールアドレスを提供します。@gmail.com ユーザーを自動的に確認し、カスタム ドメインを既存の確認フロー(OTP フローなど)にルーティングすることをおすすめします。これにより、Google が直接管理していない外部ドメインへの長期的なアクセスを維持できます。
  • Google でログインを補完する: 新しい確認済みのメール認証情報と Google でログイン API の両方で確認済みのメールが提供されますが、どちらを選択するかは、想定されるユーザー エクスペリエンスによって異なります。
    • ユーザーがフェデレーション ログイン セッションを作成する場合は、Google でログインを使用します。
    • メールアドレスの確認を使用: ユーザーが従来のユーザー名/パスワードまたはパスキーでログインしたいが、OTP の手動操作なしでメールアドレスを自動的に確認したい場合に使用します。

まとめと次のステップ

Credential Manager API を介して新しい確認済みのメールアドレスを統合することで、オンボーディングの摩擦を大幅に軽減し、ユーザーに合理化された安全な認証ジャーニーを提供できます。これは、ユーザーにとって「認証」が手動の面倒な作業ではなく、ネイティブ モバイル エクスペリエンスのシームレスな統合部分となる未来への移行を表しています。

この機能をアプリに組み込む方法についてご覧ください。開始するには、プロジェクトを最新の Credential Manager API に更新し、統合ガイドをご覧ください。この合理化された確認プロセスが、アカウント作成の最適化から再認証フローの強化まで、重要なユーザー ジャーニーをどのように簡素化できるか、ぜひお試しください。

作成者:
続きを読む