기존 로그인 방법 외에도 피싱 방지 인증 방법(특히 FIDO 또는 WebAuthn 기반 패스키) 또는 허용되는 제휴 ID 공급업체(예: Google 계정으로 로그인)의 싱글 사인온을 구현합니다.
이 가이드라인은 비밀번호 피로, 사용자 인증 정보 도용, 피싱과 같은 취약점을 완화하여 앱을 보호하고 사용자 로그인을 간소화합니다.
필수 구현
AEP 자격요건을 충족하려면 앱에서 로그인 시 승인된 피싱 방지 인증 방법 (패스키 또는 승인된 싱글 사인온 공급업체)을 하나 이상 눈에 띄는 방식으로 제공해야 합니다.
- 패스키의 경우 Credential Manager API를 통해 패스키를 만들고 검색하여 확인합니다.
- Google 계정으로 로그인을 사용하는 앱은 인증 관리자 API를 통해 통합되어야 합니다. 다른 승인된 SSO 공급업체도 허용되지만 Google 계정으로 로그인은 일관된 크로스 플랫폼 환경을 제공하면서 사용자를 피싱으로부터 보호하는 최신 인증 흐름을 제공하므로 권장됩니다.
가이드라인 적용 범위
이 가이드라인은 다음에 적용됩니다.
- AEP 자격요건을 충족하고 사용자 로그인이 필요한 앱
- 휴대전화, 태블릿, 폴더블, XR, Wear, Auto 폼 팩터
예외
이 가이드라인은 사용자 인증 또는 로그인 상태를 지원하지 않는 앱에는 적용되지 않습니다.
또한 허용되는공급업체와 함께 고려해야 한다고 생각되는 경우 여기에서 평가를 위해 대체 제휴 ID 공급업체를 제출할 수 있습니다.
SSO에 허용되는 제휴 ID 공급업체
다음 일반 사용자 제휴 ID 공급업체는 싱글 사인온 요구사항에 허용됩니다.
- Google 계정으로 로그인
- Apple 계정으로 로그인
- Microsoft 계정 (일반 사용자)
- Shop.app
- Amazon 로그인
- GitHub 로그인
- Discord 로그인
- Line 또는 Kakao 로그인
- WeChat 로그인
- Facebook 로그인
이 목록은 제휴 ID 생태계가 발전함에 따라 주기적으로 검토됩니다. 평가 기준은 다음과 같습니다.
- 사용자 안전 및 개인 정보 보호 설정
- 개발자 및 통합 환경 (기본 Android Credential Manager API, 개방형 표준 준수와 일치)
- 활성 일반 사용자 점유율
기능 문서 및 리소스
다음 리소스는 피싱 방지 인증 에 관한 구현 가이드 및 기술 세부정보를 제공합니다. 이러한 리소스는 참고용일 뿐이며 추가 프로그램 요구사항은 포함하지 않습니다.