В дополнение к существующим методам входа в систему внедрите метод аутентификации, устойчивый к фишингу, в частности, FIDO или пароль на основе WebAuthn, либо единый вход (Single Sign-On) от признанного поставщика федеративной идентификации, такого как Sign in with Google.
Данное руководство обеспечивает безопасность вашего приложения и упрощает вход пользователей в систему, снижая такие уязвимости, как утомление паролей, подбор учетных данных и фишинг.
Необходимая реализация
Для участия в программе AEP ваше приложение должно успешно предлагать как минимум один одобренный метод аутентификации, устойчивый к фишингу (Passkeys или одобренный поставщик единого входа), при входе в систему, причем этот метод должен быть представлен аналогичным и заметным образом.
- В случае с ключами доступа это проверяется путем создания и получения ключей доступа через API менеджера учетных данных.
- Приложения, использующие вход через Google, должны быть интегрированы через API Credential Manager . Хотя принимаются и другие одобренные поставщики SSO, рекомендуется использовать вход через Google, поскольку он предлагает современный процесс аутентификации, защищающий пользователей от фишинга и обеспечивающий согласованный кроссплатформенный пользовательский опыт.
Применимость рекомендаций
Данное руководство относится к:
- Приложения, которые хотят соответствовать требованиям AEP и требуют авторизации пользователя.
- Телефоны, планшеты, складные устройства, устройства расширенной реальности (XR), носимые устройства (Wear) и автомобильные устройства.
Исключения
Данное руководство не распространяется на приложения, которые не поддерживают аутентификацию пользователя или состояние авторизации.
Кроме того, вы можете предложить здесь альтернативных поставщиков федеративной идентификации для оценки, если считаете, что их следует рассмотреть наряду с уже принятыми поставщиками .
Принимаемые поставщики федеративной идентификации для единого входа (SSO)
Для обеспечения единого входа принимаются следующие поставщики федеративных идентификационных данных для потребителей:
- Войти через Google
- Войти с помощью Apple
- Учетная запись Microsoft (для потребителей)
- Shop.app
- Вход в Amazon
- Вход в GitHub
- Вход в Discord
- Вход через Line или Kakao
- Вход в WeChat
- Вход через Facebook
Этот список периодически пересматривается по мере развития федеративной экосистемы идентификации. Критерии оценки включают:
- Контроль безопасности и конфиденциальности пользователей
- Опыт разработки и интеграции (в соответствии с нативным API Android Credential Manager, соответствие открытым стандартам).
- Активный потребительский след
Документация и ресурсы по функциональным функциям
Приведенные ниже ресурсы содержат рекомендации по внедрению и технические подробности по аутентификации, устойчивой к фишингу . Эти ресурсы предназначены только для ознакомления и не содержат дополнительных требований к программе.