Récupérer une adresse e-mail validée à l'aide d'identifiants numériques

Ce document explique comment utiliser Credential Manager pour obtenir une adresse e-mail cryptographiquement validée à partir de l'appareil d'un utilisateur. Ce processus permet aux utilisateurs de votre application de ne plus avoir à valider leur adresse e-mail avec des mots de passe à usage unique ou des liens magiques.

Ce document aborde les points suivants :

Compatibilité avec Android
Expérience utilisateur
Comptes acceptés
Implications de la distribution des e-mails
Comparaison avec Se connecter avec Google

Ce guide suppose que vous connaissez les concepts suivants :

Compatibilité avec Android

Cette fonctionnalité est compatible avec les mobiles, les tablettes et les appareils pliables équipés d'Android 9 (niveau d'API 28) ou version ultérieure. La version minimale requise des services Google Play (GMS) est la version 25.49.x.

Expérience utilisateur

Les sections suivantes décrivent l'expérience utilisateur lors du processus de validation, la nécessité d'inclure des méthodes de validation de secours, ainsi que l'expérience utilisateur recommandée pour différents cas d'utilisation.

Processus de validation

Voici comment se déroule l'expérience utilisateur pour le partage d'une adresse e-mail validée :

L'utilisateur sélectionne un champ de saisie ou appuie sur un bouton qui appelle l'API Credential Manager. Selon la conception de l'écran, vous pouvez également appeler l'API lors du chargement de l'écran de votre application.
Une page de contenu s'affiche en bas de l'écran, indiquant les informations qui seront partagées avec l'application. Si aucune information n'est disponible sur cet appareil, l'utilisateur voit un message d'erreur générique.
Une fois que l'utilisateur a appuyé sur Accepter et continuer, affichez un message de réussite ou d'échec.

Remarque : Si l'adresse e-mail validée que vous recevez ne correspond pas à ce à quoi vous vous attendiez, informez-en l'utilisateur et demandez-lui soit de réessayer avec d'autres identifiants, soit de fournir une autre méthode de validation, comme par le biais de codes secrets à usage unique.
(Facultatif, recommandé) Si l'utilisateur s'inscrit à votre service, vous devez l'inviter à créer une clé d'accès pour lui permettre de se connecter plus facilement par la suite.

Remarque : La procédure de validation de l'adresse e-mail ne déclenche pas automatiquement la création d'une clé d'accès. Toutefois, il est vivement recommandé d'inclure les étapes de création d'une clé d'accès. Les clés d'accès aident les utilisateurs en leur permettant de se connecter plus facilement et de manière plus sécurisée, et en supprimant la nécessité d'utiliser un nom d'utilisateur et un mot de passe classiques.

Inclure les flux principal et de remplacement

Pour garantir une expérience utilisateur fluide, incluez les options suivantes sur les écrans qui nécessitent une validation par e-mail :

Option de validation principale : champ d'adresse e-mail ou bouton permettant de déclencher le flux de l'API Credential Manager pour une validation rapide.
Autres options de validation : lien ou bouton permettant aux utilisateurs de "Valider autrement" ou avec "Autres options" pour saisir manuellement une adresse e-mail en cas d'échec, par exemple si aucune information n'est disponible sur l'appareil ou si l'adresse e-mail récupérée ne correspond pas à celle attendue. Cela devrait permettre aux utilisateurs d'essayer la validation avec un autre identifiant ou en fournissant un code OTP manuel.

Cas d'utilisation

Les sections suivantes décrivent les cas d'utilisation recommandés, ainsi que l'expérience utilisateur suggérée, pour la validation des adresses e-mail.

Les utilisateurs peuvent créer immédiatement un compte avec une adresse e-mail validée, sans étape de validation distincte. Vous pouvez également inviter l'utilisateur à ajouter une clé d'accès. S'il choisit d'ajouter une clé d'accès, déclenchez le flux de création de clé d'accès.

Récupération de compte

Pour éviter aux utilisateurs de devoir chercher leurs codes de récupération dans leurs dossiers de spam, autorisez-les à récupérer leur compte à l'aide de l'adresse e-mail validée et stockée de manière sécurisée sur leur appareil. Suggérez-lui également de créer une clé d'accès pour une utilisation ultérieure.

Réauthentification pour les actions sensibles

Protégez les actions utilisateur sensibles, comme la modification des paramètres ou des informations de profil, en exigeant une étape de réauthentification rapide.

Utiliser la validation par e-mail lors de la réauthentification — Validation de l'adresse e-mail lors de la réauthentification

Comptes acceptés

La validation de l'adresse e-mail via le Gestionnaire d'identifiants n'est possible que pour les comptes Google grand public. Les comptes Workspace et les comptes supervisés ne sont pas acceptés.

Vous pouvez créer un compte Google personnel avec une adresse e-mail de n'importe quel fournisseur, et pas nécessairement @gmail.com. Toutefois, Google valide ces comptes différemment :

Pour les comptes @gmail.com : Google est la source faisant autorité, et l'adresse e-mail est considérée comme validée.
Pour les comptes qui ne se terminent pas par @gmail.com : Google n'est pas la source faisant autorité pour ces adresses e-mail à long terme. Bien que Google valide l'adresse e-mail lors de la création du compte, la propriété de cette adresse e-mail peut changer au fil du temps. Par conséquent, pour les adresses autres que @gmail.com, vous devez envisager une étape de validation supplémentaire, comme l'envoi d'un code secret à usage unique, pour vous assurer que l'utilisateur a toujours accès au compte de messagerie.

Pour en savoir plus sur la validation, consultez Identifiants numériques.

Comparaison avec Se connecter avec Google

Bien que les solutions d'identifiants numériques et de Connexion avec Google fournissent une adresse e-mail validée, les parcours utilisateur et les cas d'utilisation sont différents :

Cas d'utilisation : le flux de validation d'adresse e-mail du Gestionnaire d'identifiants n'est pas exclusivement utilisé dans les cas d'utilisation d'inscription ou de connexion, mais peut être utilisé dans n'importe quel cas d'utilisation impliquant la récupération d'une adresse e-mail validée. Cela peut également inclure la récupération de compte.
Inscription : contrairement à Se connecter avec Google, le flux du Credential Manager ne nécessite pas d'inscription à Google.
Compatibilité multi-plateformes : le flux du Gestionnaire d'identifiants est une solution réservée à Android.
Champs d'application : contrairement à Se connecter avec Google, qui peut utiliser OAuth 2.0 pour demander l'accès aux données utilisateur (comme Agenda ou Drive via des champs d'application), l'API Digital Credentials est strictement réservée à la récupération des attributs d'identité validés. Il ne peut pas être utilisé pour demander des champs d'application d'autorisation supplémentaires.

Étapes suivantes

Pour implémenter cette fonctionnalité dans votre application, consultez le guide d'implémentation.