Mevcut oturum açma yöntemlerine ek olarak kimlik avına karşı korumalı bir kimlik doğrulama yöntemi (özellikle FIDO veya WebAuthn tabanlı geçiş anahtarı) ya da Google ile oturum açma gibi kabul edilen bir federasyon kimlik sağlayıcısından tek oturum açma yöntemi uygulayın.
Bu yönerge, şifre yorgunluğu, kimlik bilgisi doldurma ve kimlik avı gibi güvenlik açıklarını azaltarak uygulamanızın güvenliğini sağlar ve kullanıcı oturum açma işlemini basitleştirir.
Gerekli uygulama
AEP'ye uygun olmak için uygulamanız, oturum açma sırasında en az bir onaylı kimlik avına dayanıklı kimlik doğrulama yöntemini (şifre anahtarları veya onaylı bir tek oturum açma sağlayıcısı) benzer şekilde belirgin bir şekilde sunmalıdır.
- Geçiş anahtarları için bu doğrulama, Credential Manager API aracılığıyla geçiş anahtarları oluşturularak ve alınarak yapılır.
- Google ile Oturum Açma özelliğini kullanan uygulamalar, Kimlik Bilgisi Yöneticisi API'si aracılığıyla entegre edilmelidir. Diğer onaylı SSO sağlayıcılar kabul edilse de Google ile oturum açma, kullanıcıları kimlik avından koruyan modern bir kimlik doğrulama akışı sunarken tutarlı ve platformlar arası bir deneyim sağladığı için önerilir.
Yönerge uygulanabilirliği
Bu kuralın geçerli olduğu alanlar:
- AEP'ye dahil olmak isteyen ve kullanıcı oturum açma işlemi gerektiren uygulamalar.
- Telefon, tablet, katlanabilir cihaz, XR, Wear ve Auto form faktörleri.
Muafiyetler
Bu yönerge, kullanıcı kimlik doğrulamayı veya oturum açma durumunu desteklemeyen uygulamalar için geçerli değildir.
Ayrıca, kabul edilen sağlayıcılarla birlikte değerlendirilmesi gerektiğini düşündüğünüz alternatif birleştirilmiş kimlik sağlayıcıları değerlendirilmek üzere buradan gönderebilirsiniz.
TOA için kabul edilen birleştirilmiş kimlik sağlayıcılar
Tek Oturum Açma koşulu için aşağıdaki tüketici federasyon kimlik sağlayıcıları kabul edilir:
- Google ile oturum aç
- Apple ile oturum açma
- Microsoft Hesabı (Tüketici)
- Shop.app
- Amazon ile Giriş
- GitHub ile giriş
- Discord'da oturum açma
- Line veya Kakao ile giriş
- WeChat ile giriş
- Facebook ile Giriş
Bu liste, birleştirilmiş kimlik ekosistemi geliştikçe düzenli olarak incelenir. Değerlendirme ölçütleri şunlardır:
- Kullanıcı güvenliği ve gizlilik kontrolleri
- Geliştirici ve entegrasyon deneyimi (yerel Android Credential Manager API ile uyumlu, açık standartlara uygunluk)
- Aktif tüketici ayak izi
Özellik dokümanları ve kaynakları
Aşağıdaki kaynaklarda kimlik avına dayanıklı kimlik doğrulama ile ilgili uygulama yönergeleri ve teknik ayrıntılar verilmektedir. Bu kaynaklar yalnızca referans amaçlıdır ve ek program şartları içermez.