01 Kontext & Problem
Eine Verbrauchergruppe betrieb neun verschiedene Marken auf einer gemeinsamen Kundenplattform. Ein Kunde konnte einmal ein Konto erstellen und es überall wiederverwenden, indem er sich mit Apple, Google oder per E-Mail und Passwort anmeldete. Die soziale Anmeldung sollte ein primärer Zugang sein, nicht ein sekundärer Komfort, daher kam dieselbe Person oft zu verschiedenen Zeiten über verschiedene Anbieter: Google bei einer Marke, Apple bei einer anderen, später ein Passwort.
Diese Flexibilität führte zu einem Identitätsproblem. Wenn sich ein Kunde mit einer neuen Apple- oder Google-Identität anmeldete, deren E-Mail bereits zu einem bestehenden Konto gehörte, musste die Plattform entscheiden, was zu tun war. Die beiden automatisch allein in einem E-Mail-Match zu verknüpfen, wäre unsicher: Eine übereinstimmende E-Mail-Adresse deutet auf eine Beziehung hin, beweist aber nicht, dass die Person, die sich anmeldet, tatsächlich den Posteingang kontrolliert. Die Plattform benötigte eine Möglichkeit, kompatible Apple- und Google-Identitäten mit einem gemeinsamen Konto zu verbinden, ohne jemals auf ein E-Mail-Match allein Zugriff zu gewähren, und dies konsistent über alle neun Marken hinweg zu tun, einschließlich der umständlichen Fälle: Apples private Relay-Adressen, passwortaktivierte Konten, riskante Anmeldungen und Anbieterausfälle.
02 Rolle & Einschränkungen
Als AI Product Manager beherrschte ich das Design der Identität und der Kontenverknüpfung durchgehend: die Authentifizierungsreisen über alle neun Marken, die Logik zur Erkennung und Auflösung gleicher E-Mails, das Verifizierungsmodell mit Gated Linking, die risikobasierte Challenge-Policy, die Private-Relay-Handhabung, die Delinking- und Re-Verifizierungsregeln für E-Mail-Änderungen, die Blockierungsrichtlinie und das Safe-Failure-Verhalten bei Anbieterausfällen. Das Leitprinzip war, dass E-Mail-Matching eine Verlinkungsreise einleiten kann, sie aber nie abschließen kann. Der Kunde musste immer Zugriff auf die mit dem bestehenden Konto verknüpfte E-Mail nachweisen, bevor zwei Authentifizierungsmethoden einem Profil zugeordnet wurden.
Die Einschränkungen waren konkret. Die Verlinkung musste bidirektional und reihenfolgeunabhängig sein: zuerst Google, dann Apple, oder zuerst Apple, dann Google, musste dasselbe gemeinsame Konto erreichen. Apples "Hide My Email" musste separat behandelt werden, da eine private Relay-Adresse, die nicht mit der echten E-Mail des Kunden übereinstimmt, nicht stillschweigend mit diesem Konto verknüpft werden darf. Die Verifikation musste denselben Code-Challenge-Mechanismus wiederverwenden, der bereits für die Authentifizierung mit erhöhtem Risiko genutzt wurde, sodass erbeerbte, bewährte Kontrollen verknüpft wurden, anstatt neue zu erfinden. Das Risiko musste die Reibung modulieren: Niedrigrisiko-Anmeldungen sollten reibungslos bleiben, während mittleres, hohes und unbestimmtes Risiko einen OTP erforderten. Wiederholte Fehler mussten durch eine Sperrpolitik eingedämmt werden, die auf Kontoebene und nicht für jede Marke gilt. Und Anbieterausfälle mussten ausfallsicher sein, sodass der Kunde nie ein teilweises oder doppeltes Konto hatte.
03 Produktansatz
Die grundlegende Neugestaltung war, ein E-Mail-Match als Beginn einer Verifizierungsreise zu behandeln, nicht als Nachweis des Eigentums. Wenn Apple oder Google einen Kunden authentifizierte, wurden die Antwort des Anbieters und seine E-Mail serverseitig gegen die Plattform des gemeinsamen Kontos aufgelöst. Wenn die E-Mail mit einem bestehenden Konto übereinstimmte, hat die Plattform noch nichts verknüpft. Es gab einen einmaligen Code an die E-Mail des bestehenden Kontos und verknüpfte den neuen Anbieter erst, nachdem der Kunde diesen Code eingegeben hatte. Zwei Authentifizierungsmethoden wurden einem Markenübergreifenden Profil zugeordnet, nachdem der Besitz nachgewiesen worden war.
Der gleiche verifizierte Weg deckte beide Verbindungsrichtungen ab. Wenn ein Kunde ein Konto bei Google erstellte und später mit derselben gemeinsamen E-Mail "Mit Apple weitermachen" wählte, erkannte das System das bestehende Konto, schickte einen Code an seine E-Mail und verknüpfte Apple nach erfolgreicher Verifizierung. Umgekehrt: Apples Share My Email zuerst und später Google wurde durch dieselbe Herausforderung auf dasselbe geteilte Konto aufgelöst. Nach der Verknüpfung konnte sich der Kunde bei Apple, bei Google oder mit E-Mail und Passwort anmelden, wo diese konfiguriert war, und auf demselben Konto landen.
Apples "Hide My Email" blieb bewusst ein separater Weg. Wenn die private Weiterleitungsadresse nicht mit der nicht genannten privaten E-Mail-Adresse des Kunden übereinstimmte, waren die Identitäten nicht für eine Verlinkung derselben E-Mail-Adresse berechtigt. Anstatt das Relay mit einem nicht verwandten Konto zu verknüpfen, zeigte die Plattform eine Erklärung mit eingeschränktem Zugriff und erstellte ein separates Relay-E-Mail-Konto. Über das erste Verknüpfen hinaus hatte dasselbe Konto seinen eigenen Lebenszyklus: Ein Kunde konnte ein Passwort für ein soziales Konto festlegen, die primäre E-Mail ändern (wodurch der vorherige soziale Anbieter entkoppelt und erneut verifiziert werden musste), und jede zurückkehrende Anmeldung wurde dennoch durch eine Risikobewertung bestanden, bevor eine Sitzung eröffnet wurde.
Eine passende E-Mail sieht wie ein Identitätsnachweis aus, ist aber nur ein Signal. Die Plattform nutzte es, um eine Verifizierungsreise zu eröffnen, niemals um Zugang zu gewähren. Kompatible Apple- und Google-Identitäten wurden erst nach Abschluss einer E-Mail-Code-Herausforderung mit einem gemeinsamen Konto verknüpft, sodass eine Übereinstimmung die Verifizierung einleitete, anstatt automatisch zwei Logins zusammenzuführen.
04 Gebaute Merkmale
Apple- und Google-Anmeldung
Ein Authentifizierungsorchestrator leitet weiter: Weiter mit Apple, Fortsetzen mit Google und Passwortanmeldung über alle neun Marken.
Gemeinsames Cross-Brand-Konto
Ein Kunde erstellt einmal ein Konto und verwendet es bei jeder Marke wieder, egal über welchen Anbieter er ankommt.
Erkennung derselben E-Mails
Die Server-seitige Identitätsauflösung markiert, wenn die E-Mail eines neuen Anbieters bereits zu einem bestehenden Konto gehört.
E-Mail-Code-Herausforderung
Ein einmaliger Code, der an die bestehende Konto-E-Mail gesendet wird, muss eingegeben werden, bevor zwei Anbieter verknüpft werden.
Bidirektionale Verknüpfung
Google-zuerst, dann Apple, oder Apple-zuerst, dann Google, lösen sich durch dieselbe Herausforderung auf dasselbe gemeinsame Konto auf.
Apple-Private-Relay-Pfad
Meine E-Mail-Adressen ausblenden, die nicht übereinstimmen, sind nicht verknüpft; Stattdessen wird ein separates Relais-E-Mail-Konto erstellt.
Risikobasierte OTP
Anmelder mit geringem Risiko erhalten eine Sitzung; mittleres, hohes und unbestimmtes Risiko erfordern vor dem Zugriff ein E-Mail-OTP.
Blockierung auf Kontoebene
Wiederholte OTP-, Code- oder Passwortfehler blockieren das gemeinsame Konto über alle neun Markenschnittstellen.
Passwort-Einrichtung für soziale Netzwerke
Kunden können einem Konto, das zunächst über einen sozialen Anbieter erstellt wurde, eine E-Mail-und-Passwort-Anmeldung hinzufügen.
Anbieter-Entkoppelung bei E-Mail-Änderung
Die Änderung der primären E-Mail entkoppelt den vorherigen sozialen Anbieter und erfordert eine erneute Verifizierung des Anbieters.
Sichere Wiederherstellung nach Leistungserbringern
Fehler bei Apple- oder Google-Diensten führen einen sicheren Fehler zurück und versuchen es erneut, wodurch teilweise oder doppelte Konten verhindert werden.
Passwort + soziale Parität
Sobald ein Passwort konfiguriert ist, funktioniert E-Mail-und-Passwort zusammen mit Apple und Google als gleichwertiger Login.
Ebenfalls ausgeliefert: Passwort-Einrichtung für soziale Konten, E-Mail und Passwort als zusätzlicher Login nach Konfiguration, passwortgesteuerte E-Mail-Änderungen, erneute Verifizierung des Anbieters nach einer E-Mail-Änderung, Umgang mit unbestimmten Risiken und eine konsistente Sicherheitsreise, unabhängig davon, von welcher Marke der Kunde gestartet ist.
05 Architektur
Neun Markenerlebnisse haben einen Authentifizierungs-Orchestrator versorgt. Ein Kunde, der über eine beliebige Marke ankam, wurde in denselben Ablauf weitergeleitet: weiter mit Apple, weiter mit Google oder E-Mail und Passwort. Apple- und Google-Antworten wurden durch die Provider-Response-Validierung und anschließend die Identitätsbestimmung gegen die Plattform des gemeinsamen Kontos weitergegeben, während Passwortanmeldungen direkt auf das gemeinsame Konto abgewickelt wurden. Identity Resolution stellte zwei Fragen in der Reihenfolge: Ist dieser Anbieter bereits verknüpft, und falls nicht, gibt es ein berechtigtes Konto mit derselben E-Mail-Adresse zum Verknüpfen?
Von dort aus verzweigte sich der Fluss in klar begrenzte Ergebnisse. Ein berechtigter E-Mail-Match gab einen Verknüpfungscode für die bestehende Konto-E-Mail; Nach erfolgreicher Verifizierung wurde der Anbieter verknüpft, bei einem Fehlschlag wurde der Versuch abgelehnt und aufgezeichnet. Eine Apple-Relay-E-Mail, die nicht übereinstimmte, wurde zu einer Erklärung mit eingeschränktem Zugriff und einem separaten Relay-E-Mail-Konto weitergeleitet. Nachdem das Konto auf ein gemeinsames Cross-Brand Konto aufgelöst wurde, wurde der Status des Kontos überprüft: Ein gesperrtes Konto wurde als gesperrt angezeigt, ein aktives Konto wurde in eine Risikokategorie eingestuft. Low Risk hat eine authentifizierte Sitzung direkt ausgegeben; mittleres, hohes und unbestimmtes Risiko schickten ein Authentifizierungs-OTP, und wiederholte fehlgeschlagene Challenges bis zu einer festen Schwelle blockierten das gemeinsame Konto über alle neun Marken hinweg. Das Konto selbst zeigte Passworteinrichtung und E-Mail-Änderungen, wobei das Ändern der primären E-Mail den vorherigen sozialen Anbieter entkoppelte und eine erneute Verifizierung des Anbieters erforderte. Anbieter-Dienstausfälle erzeugten keinen Teilzustand: Sie lieferten einen sicheren Fehler und einen Neuanfang, der in denselben Orchestrator zurückgeleitet wurde, sodass ein fehlgeschlagener Apple- oder Google-Anruf nie ein halb verknüpftes oder doppeltes Konto erzeugte. Die Verknüpfungsgrenze kombinierte drei Kontrollen: eine validierte Anbieterantwort, eine kompatible Übereinstimmung mit derselben E-Mail und eine erfolgreiche E-Mail-Code-Herausforderung, und fehlgeschlagene Codeeinreichungen durchliefen dieselbe Challenge-Kontroll- und Blockierungsrichtlinie wie Risiko-OTPs.
06 Messung & Analytik
Die Identitätsreisen wurden als Trichter von der Anbieter-Authentifizierung über Auflösung, Verifizierung und Sitzungsausgabe gemessen, sodass ein Abfall auf die Phase zurückverfolgt werden konnte, die ihn verursachte: Anbieterantwort, Erkennung gleicher E-Mails, Code-Challenge, Risikobewertung oder Blockierung. Die verfügbaren Daten stützten eine kombinierte Akzeptanzschätzung von etwa vierzigtausend bis hunderttausend täglichen Besuchern pro Marke über eine Apple-, Google- oder kontoverknüpfte Reise, aber es wurde bewusst nicht übertrieben, was nicht getrennt werden konnte. Apple versus Google, Registrierung versus zurückkehrende Anmeldung, neu verknüpfte versus zuvor verknüpfte Konten, erfolgreiche versus aufgegebene Code-Herausforderungen, Relay-E-Mail versus geteilte E-Mail-Apple-Konten sowie jegliche Duplikat-Konto-, Betrugs- oder Support-Kontaktreduzierung blieben unquantifiziert, bis ihre zugrundeliegenden Analysen vorlagen, anstatt als genaue Zahlen zu berichten.
Adoptionskennzahlen
Anteil der täglichen Besucher pro Marke über eine Apple-, Google- oder Linked-Account-Reise, aggregiert über die neun Marken.
Verifikationschornstein
Antwort des Anbieters, Erkennung gleicher E-Mails, Code gesendet, Code verifiziert und Anbieter verknüpft, Stufe für Stufe gemessen.
Risiko- und OTP-Kennzahlen
Risikokategorie-Verteilung, OTP-Herausforderungsraten für mittleres, hohes und unbestimmtes Risiko sowie OTP-Erfolg und -Verlassen.
Fehler- und Blockierungsmetriken
Fehlgeschlagene Verknüpfungscodes, Risiko-OTPs und Passwörter zählten zum festen Schwellenwert, und auf Kontoebene angewandte Blocks.
Provider- und Relay-Metriken
Relais-E-Mail versus geteilte E-Mail-Apple-Konten und Anbieterausfälle werden in einen sicheren Wiederholungsversuch geleitet.
07 Verifizierung und Risikoentscheidung
Die Entscheidungsebene beantwortete eine Reihe enger Fragen statt eines einzelnen Ja- oder Nein-Beispiels. Ist dieser Anbieter bereits verknüpft? Wenn nicht, gibt es ein berechtigtes Konto mit gleicher E-Mail-Adresse oder ist das eine Apple-Relaisadresse, die nicht berechtigt ist? Falls berechtigt, hat der Kunde das Eigentum durch die E-Mail-Code-Challenge nachgewiesen? Und bei jeder abgeschlossenen Anmeldung, welche Risikokategorie hat das Konto und erfordert dafür ein OTP, bevor eine Sitzung ausgestellt wird? Geringes Risiko wurde zu einer authentifizierten Sitzung fortgesetzt; mittleres, hohes und unbestimmtes Risiko erforderte ein E-Mail-OTP; und wiederholte Ausfälle, sei es bei einem Verknüpfungscode, einem Risiko-OTP oder einem Passwort, wurden über einen gemeinsamen Challenge-Control-Mechanismus gezählt, der das Konto an einem festen Schwellenwert blockierte. Das Risiko modulierte hier Reibung und Verifikationsfestigkeit; Es entschied nicht allein über die Identität und ersetzte nie den Eigentümernachweis, der die Verknüpfung versperrte.
Die Kontoverknüpfung wurde durch eine Code-Herausforderung geschützt und nicht durch eine E-Mail-Übereinstimmung abgeschlossen. Die Grenze kombinierte eine validierte Apple- oder Google-Antwort, ein kompatibles Konto mit derselben E-Mail-Adresse und eine erfolgreiche E-Mail-Verifizierung. Eine passende E-Mail eröffnete die Reise; Der Kunde musste weiterhin Zugriff auf die E-Mail im bestehenden Konto nachweisen, bevor zwei Logins an ein Markenübergreifendes Profil gebunden waren.
08 Status & Ergebnis
Die Implementierung etablierte die soziale Authentifizierung als wichtigen Zugangskanal statt als sekundäre Login-Option. Kunden konnten sich bei Apple oder Google registrieren, dasselbe Konto bei allen neun Marken wiederverwenden, kompatible Apple- und Google-Identitäten nach einer E-Mail-Code-Herausforderung verknüpfen, ein Passwort zu einem sozialen Konto hinzufügen und eine kontinuierliche Sicherheitsreise durchlaufen, unabhängig davon, von welcher Marke sie gestartet waren. Jede Marke erhielt etwa hunderttausend tägliche Besucher, und etwa vierzigtausend pro Marke nutzte täglich eine Apple-, Google- oder Linked-Account-Reise: eine geschätzte vierzigprozentige Interaktion mit sozialen Netzwerken oder LinkedIn-Zugängen. Über alle neun Marken verteilt sind das etwa neunhunderttausend tägliche Besucher und rund dreihundertsechzigtausend tägliche soziale oder LinkedIn-Reisen. Das Ergebnis war eine gemeinsame Authentifizierungsgrundlage, bei der Apple, Google und Passwortzugriffe als kontrollierte Methoden um ein Markenübergreifendes Kundenkonto betrieben wurden, wobei die Verknüpfung durch Verifizierung, riskante Anmeldungen per OTP gesperrt wurden, private Relais separat abgewickelt und wiederholte Fehler durch Blockierung auf Kontoebene begrenzt wurden. Diese Zahlen sind ungefähr und basieren auf dem angegebenen Verhältnis; Sie kombinieren soziale und verknüpfte Konto-Aktivitäten, anstatt jeden Anbieter oder Journey-Typ zu trennen.
~40%
Tägliche Besucher nutzen eine soziale oder verlinkte Reise (pro Marke)
9
Verbrauchermarken auf einem gemeinsamen Konto
~360K
Tägliche Apple-, Google- oder Linked-Account-Reisen
~900K
Gesamtzahl der täglichen Besucher in der gesamten Gruppe
09 Reflexion / Was als Nächstes kommt
Der herausragende Erfolg war das Nichthinzufügen von Apple- und Google-Buttons. Es wurde die Identitätskontrollen entwickelt, die den sozialen Zugang sicher und wiederverwendbar machten, über neun Marken hinweg: Die Plattform konnte erkennen, ob eine Provider-Identität neu, bereits verknüpft, für eine Verknüpfung berechtigt, über ein privates Relay, passwortaktiviert, riskant oder blockiert war, und sie verknüpfte kompatible Identitäten erst nach einer E-Mail-Code-Herausforderung. Was ich als Nächstes stärken würde: Trenne die Analysen, die heute kombiniert bleiben (Apple versus Google, Anmeldung versus Anmelde, neu versus zuvor verlinkt, Herausforderungserfolg versus Verlassen, Relay versus geteilte E-Mail), sodass der Funnel mit Beweisen statt Schätzungen abgestimmt werden kann; formalisieren Sie die Kategoriedefinitionen und Schwellenwerte des Risikomodells mit expliziter Governance; die Anleitung für das Relais-Konto zu verschärfen, damit Kunden verstehen, warum eine Anmeldemethode "Meine E-Mail verbergen" ein separates Konto erstellt hat; und die Entkoppelungs- und Neuverifizierungsregeln bei E-Mail-Änderungen durchgehend prüfbar halten. Das dauerhafte Ergebnis war eine gemeinsame Authentifizierungsschicht, bei der eine passende E-Mail die Verifizierung initiierte, anstatt automatisch Zugriff zu gewähren, und Apple-, Google- und Passwort-Logins als kontrollierte, verknüpfbare Methoden um ein einziges Markenübergreifendes Kundenkonto herum funktionierten.
