Récupérer une adresse e-mail validée à l'aide d'identifiants numériques

Ce document explique comment utiliser Credential Manager pour obtenir une adresse e-mail validée par chiffrement à partir de l'appareil d'un utilisateur. Ce processus évite à vos utilisateurs d'application de valider leur adresse e-mail avec des mots de passe à usage unique ou des liens magiques.

Ce document aborde les points suivants :

Compatibilité avec Android
Expérience utilisateur
Comptes acceptés
Implication de la distribution des e-mails
Comparaison avec Se connecter avec Google

Ce guide suppose que vous connaissez les concepts suivants :

Compatibilité avec Android

Cette fonctionnalité est compatible avec les téléphones, les tablettes et les appareils pliables équipés d'Android 9 (niveau d'API 28) ou version ultérieure. La version minimale requise des services Google Play (GMS) est la version 25.49.x.

Expérience utilisateur

Les sections suivantes décrivent l'expérience utilisateur lors du processus de validation, la nécessité d'inclure des méthodes de validation de secours, ainsi que l'expérience utilisateur recommandée pour différents cas d'utilisation.

Processus de validation

L'expérience utilisateur pour partager une adresse e-mail validée est la suivante :

L'utilisateur sélectionne un champ de saisie ou appuie sur un bouton qui appelle l'API Credential Manager. En fonction de la conception de l'écran, vous pouvez également appeler l'API lors du chargement de l'écran de votre application.
Une bottom sheet s'affiche, indiquant les informations qui seront partagées avec l'application. Si aucune information n'est disponible sur cet appareil, l'utilisateur voit un message d'erreur générique.
Une fois que l'utilisateur a appuyé sur Accepter et continuer, affichez un message indiquant si l'opération a réussi ou échoué.

Remarque : Si l'adresse e-mail validée que vous recevez ne correspond pas à ce que vous attendez, informez l'utilisateur de cette différence et demandez-lui de réessayer avec un autre identifiant ou de fournir une autre méthode de validation, par exemple via des mots de passe à usage unique.
(Facultatif, recommandé) Si l'utilisateur s'inscrit à votre service, vous devez l'inviter à créer une clé d'accès pour faciliter sa connexion ultérieure.

Remarque : La procédure de validation de l'adresse e-mail ne déclenche pas automatiquement la création d'une clé d'accès. Toutefois, il est fortement recommandé d'inclure les étapes de création d'une clé d'accès. Les clés d'accès aident les utilisateurs en leur permettant de se connecter plus facilement et de manière plus sécurisée, et éliminent le besoin d'interaction classique avec un nom d'utilisateur et un mot de passe.

Inclure des flux principaux et de secours

Pour garantir une expérience utilisateur simplifiée, incluez les options suivantes sur les écrans qui nécessitent une validation de l'adresse e-mail :

Option de validation principale : champ ou bouton d'adresse e-mail pour déclencher le flux de l'API Credential Manager pour une validation rapide.
Autres options de validation : lien ou bouton permettant aux utilisateurs de « Valider d’une autre manière » ou avec « Autres options » pour saisir manuellement leur adresse e-mail en cas d’ échec, par exemple si aucune information n’est disponible sur l’appareil ou si l’adresse e-mail récupérée ne correspond pas à celle attendue. Cela devrait permettre aux utilisateurs de réessayer la validation avec un autre identifiant ou en fournissant un mot de passe à usage unique manuel.

Cas d'utilisation

Les sections suivantes décrivent les cas d'utilisation recommandés, ainsi que l'expérience utilisateur suggérée, pour la validation de l'adresse e-mail.

Les utilisateurs peuvent créer immédiatement un compte avec une adresse e-mail validée sans étape de validation distincte. Vous pouvez également inviter l'utilisateur à ajouter une clé d'accès. S'il choisit d'ajouter une clé d'accès, déclenchez le flux de création de la clé d'accès.

Récupération de compte

Pour éviter aux utilisateurs de devoir chercher des codes de récupération dans leurs dossiers de spam, autorisez-les à récupérer leur compte à l'aide de l'adresse e-mail validée stockée de manière sécurisée sur leur appareil. De plus, suggérez-leur de créer une clé d'accès pour une utilisation ultérieure.

Réauthentification pour les actions sensibles

Protégez les actions utilisateur sensibles, telles que la modification des paramètres ou la mise à jour des informations de profil, en exigeant une étape de réauthentification rapide.

Utiliser la validation par e-mail lors de la réauthentification — Validation de l'adresse e-mail lors de la réauthentification

Comptes acceptés

La validation de l'adresse e-mail via Credential Manager n'est compatible qu'avec la validation des comptes Google grand public. Les comptes Workspace et les comptes supervisés ne sont pas acceptés.

Un compte Google personnel peut être créé avec une adresse e-mail de n'importe quel fournisseur, pas nécessairement @gmail.com. Toutefois, Google valide ces comptes différemment :

Pour les comptes @gmail.com : Google est la source faisant autorité, et l'adresse e-mail est connue pour être validée.
Pour les comptes non @gmail.com : Google n'est pas la source faisant autorité pour ces adresses e-mail à long terme. Bien que Google valide l'adresse e-mail lors de la création du compte, la propriété de cette adresse e-mail peut changer au fil du temps. Par conséquent, pour les adresses non @gmail.com, vous devez envisager une étape de validation supplémentaire, par exemple en envoyant un mot de passe à usage unique, pour vous assurer que l'utilisateur a toujours accès au compte de messagerie.

Pour en savoir plus sur ce qu'implique la validation, consultez Identifiants numériques.

Comparaison avec Se connecter avec Google

Bien que les solutions Identifiants numériques et Se connecter avec Google fournissent une adresse e-mail validée, les flux utilisateur et les cas d'utilisation sont différents :

Cas d'utilisation : le flux de validation de l'adresse e-mail du Credential Manager n'est pas utilisé exclusivement dans les cas d'utilisation d'inscription ou de connexion, mais peut être utilisé dans n'importe quel cas d'utilisation impliquant la récupération d'une adresse e-mail validée. Cela peut également inclure la récupération de compte.
Inscription : le flux du Gestionnaire d'identifiants ne nécessite pas d'inscription Google, contrairement à Se connecter avec Google.
Compatibilité multi-plateformes : le flux du Credential Manager est une solution réservée à Android.
Champs d'application : contrairement à Se connecter avec Google, qui peut utiliser OAuth 2.0 pour demander l'accès aux données utilisateur (telles que Agenda ou Drive via des champs d'application), l'API Identifiants numériques est strictement destinée à récupérer les attributs d'identité validés. Elle ne peut pas être utilisée pour demander des champs d'application d'autorisation supplémentaires.

Étapes suivantes

Pour implémenter cette fonctionnalité dans votre application, consultez le guide d'implémentation.