既存のログイン方法に加えて、フィッシング耐性のある認証方法(具体的には FIDO または WebAuthn ベースのパスキー、または Google でログインなどの承認済みのフェデレーション ID プロバイダからのシングル サインオン)を実装します。
このガイドラインは、パスワードの使い回し、認証情報の不正使用、フィッシングなどの脆弱性を軽減することで、アプリのセキュリティを強化し、ユーザーのログインを簡素化します。
実装要件
AEP の対象となるには、アプリで、承認済みのフィッシング耐性のある認証方法(パスキーまたは承認済みのシングル サインオンプロバイダ)を、ログイン時に同様に目立つ方法で少なくとも 1 つ提供する必要があります。
- パスキーの場合、Credential Manager API を使用してパスキーを作成し、取得することで確認できます。
- Google でログインを使用するアプリは、Credential Manager API を介して統合する必要があります。他の承認済み SSO プロバイダも使用できますが、Google でログインは、ユーザーをフィッシングから保護する最新の認証フローを提供し、クロス プラットフォームで一貫したエクスペリエンスを提供するため、推奨されています。
ガイドラインの適用範囲
このガイドラインは、次のものに適用されます。
- AEP の対象となることを目指しており、ユーザーのログインを必要とするアプリ。
- スマートフォン、タブレット、折りたたみ式、XR、Wear、Auto のフォーム ファクタ。
除外
このガイドラインは、ユーザー認証またはログイン状態をサポートしていないアプリには適用されません。
また、承認済みのプロバイダとともに検討されるべきと思われる代替のフェデレーション ID プロバイダがある場合は、こちらから 評価のために送信できます。
SSO で使用できるフェデレーション ID プロバイダ
シングル サインオンの要件を満たすために使用できるコンシューマー フェデレーション ID プロバイダは次のとおりです。
- Google でログイン
- Apple でログイン
- Microsoft アカウント(コンシューマー)
- Shop.app
- Amazon ログイン
- GitHub ログイン
- Discord ログイン
- Line または Kakao ログイン
- WeChat ログイン
- Facebook ログイン
フェデレーション ID エコシステムは進化しているため、このリストは定期的に見直されます。 評価基準は次のとおりです。
- ユーザーの安全性とプライバシー管理
- デベロッパーと統合のエクスペリエンス(ネイティブの Android Credential Manager API との整合性、オープン スタンダードへの準拠)
- アクティブなコンシューマーのフットプリント
機能に関するドキュメントとリソース
次のリソースでは、フィッシング耐性のある認証 の実装に関するガイダンスと技術的な詳細について説明しています。これらのリソースは参考としてのみ提供されており、追加のプログラム要件は含まれていません。