En plus des méthodes de connexion existantes, implémentez une méthode d'authentification résistante à l'hameçonnage, en particulier une clé d'accès basée sur FIDO ou WebAuthn, ou l'authentification unique à partir d'un fournisseur d'identité fédérée accepté, comme Se connecter avec Google.
Cette recommandation permet de sécuriser votre application et de simplifier la connexion des utilisateurs en atténuant les failles telles que la fatigue liée aux mots de passe, le credential stuffing et l'hameçonnage.
Implémentation requise
Pour être éligible au programme AEP, votre application doit proposer au moins une méthode d'authentification approuvée et résistante au hameçonnage (clés d'accès ou fournisseur d'authentification unique approuvé) lors de la connexion, de manière similaire et bien visible.
- Pour les clés d'accès, cela est vérifié en créant et en récupérant des clés d'accès via l'API Credential Manager.
- Les applications utilisant Se connecter avec Google doivent être intégrées à l'aide de l'API Credential Manager. Bien que d'autres fournisseurs SSO approuvés soient acceptés, nous vous recommandons de vous connecter avec Google, car cela offre un flux d'authentification moderne qui protège les utilisateurs contre le hameçonnage tout en offrant une expérience cohérente et multiplate-forme.
Applicabilité des consignes
Cette consigne s'applique aux éléments suivants :
- Applications qui souhaitent être éligibles au programme AEP et qui nécessitent une connexion utilisateur.
- Facteurs de forme pour téléphones, tablettes, appareils pliables, XR, Wear et Auto.
Exceptions
Cette consigne ne s'applique pas aux applications qui ne sont pas compatibles avec l'authentification des utilisateurs ni avec un état de connexion.
Vous pouvez également soumettre d'autres fournisseurs d'identité fédérée pour évaluation ici si vous pensez qu'ils devraient être pris en compte en plus des fournisseurs acceptés.
Fournisseurs d'identité fédérée acceptés pour l'authentification unique
Les fournisseurs d'identité fédérés pour les consommateurs suivants sont acceptés pour l'authentification unique :
- Se connecter avec Google
- Se connecter avec Apple
- Compte Microsoft (personnel)
- Shop.app
- Connexion Amazon
- Connexion GitHub
- Connexion Discord
- Connexion avec Line ou Kakao
- Connexion WeChat
- Connexion avec Facebook
Cette liste est examinée régulièrement à mesure que l'écosystème d'identité fédérée évolue. Voici quelques exemples de critères d'évaluation :
- Paramètres de sécurité et de confidentialité des utilisateurs
- Expérience de développement et d'intégration (en accord avec l'API Credential Manager Android natif, conformité aux normes ouvertes)
- Empreinte active des consommateurs
Documentation et ressources sur les fonctionnalités
Les ressources suivantes fournissent des conseils d'implémentation et des détails techniques sur l'authentification résistante à l'hameçonnage. Ces ressources sont fournies à titre informatif uniquement et ne contiennent pas d'exigences supplémentaires concernant le programme.