Skip to main content
    Consumentenidentiteit · Authenticatie

    Geverifieerde bidirectionele accountkoppeling over een identiteitsplatform met negen merken

    Apple, Google en wachtwoordinloggen, verenigd achter één gedeeld account, alleen gekoppeld na een e-mailcode-uitdaging.

    Een consumentengroep van negen merken liet klanten inloggen met Apple, Google of e-mail en wachtwoord, en één account voor elk merk hergebruiken. Wanneer een nieuwe Apple- of Google-identiteit per e-mail overeenkwam met een bestaand account, koppelde het platform deze niet automatisch. Eerst voerde het een e-mailcode-uitdaging uit om te bewijzen dat de klant die inbox controleerde. Ik leidde het identiteitsontwerp dat sociale toegang veilig en herbruikbaar maakte: detectie van hetzelfde e-mail, geverifieerde bidirectionele koppeling, risicogebaseerde OTP, privé-relay-afhandeling, ontkoppeling van providers bij e-mailwijziging en account-niveau blokkering bij alle negen merken.

    Isometrisch diagram van het identiteitsplatform: negen merkervaringen voeden een gedeelde klantidentiteitshub, Apple- en Google-providergateways met Share My Email en Hide My Email, een veilige identiteitsresolutielaag, een e-mailcode-uitdaging en OTP-verificatie, lage, middellange, hoge en onbepaalde risiconiveaus, en account-niveau blokkering over alle interfaces.

    Afbeelding gegenereerd met AI

    Klant- en merknamen worden geanonimiseerd. De cijfers zijn benaderlijk en gebaseerd op de door de klant verstrekte bezoekersratio. Aparte uitlijningen voor Apple versus Google, aanmelden versus inloggen, nieuwe versus eerder gekoppelde accounts, en fraude of korting van ondersteuning werden niet gegeven en zijn niet gespecificeerd.

    Rol

    AI Product Manager

    Aanbieders

    Apple aanmeldenGoogle inloggenE-mail + wachtwoord

    Verificatie

    E-mailcode-uitdagingRisicogebaseerde OTPBlokkeren door herhaalde falen

    Identiteit

    Gedeeld cross-brand accountServer-side identiteitsresolutieOntkoppeling van providers

    Privacy

    Apple Deel mijn e-mailApple Verberg mijn e-mail relais

    Schaal & Controle

    Negen consumentenmerkenBidirectionele Apple ↔ Google-koppelingBlokkering op accountniveauVeilig herstel na een zorgverlenerstoring

    01 Context & Probleem

    Een consumentengroep draaide negen afzonderlijke merken op één gedeeld klantenplatform. Een klant kan één keer een account aanmaken en het overal hergebruiken, door in te loggen met Apple, Google, of e-mail en wachtwoord. Sociale aanmelding was bedoeld als primaire toegangspoort, niet als secundair gemak, dus kwam dezelfde persoon vaak via verschillende providers op verschillende tijdstippen aan: Google op het ene merk, Apple op een ander, later een wachtwoord.

    Die flexibiliteit creëerde een identiteitsprobleem. Wanneer een klant inlogde met een nieuwe Apple- of Google-identiteit waarvan het e-mailadres al bij een bestaand account hoorde, moest het platform beslissen wat te doen. De twee automatisch koppelen op basis van een e-mailmatch zou onveilig zijn: een overeenkomend e-mailadres suggereert een relatie, maar bewijst niet dat degene die inlogt daadwerkelijk controle heeft over die inbox. Het platform had een manier nodig om compatibele Apple- en Google-identiteiten aan één gedeeld account te koppelen zonder ooit toegang te geven tot een e-mailmatch op zichzelf, en om dit consequent te doen over alle negen merken, inclusief de lastige gevallen: Apple's privé-relay-adressen, wachtwoord-actieve accounts, risicovolle aanmeldingen en uitval van providers.

    02 Rol & Beperkingen

    Als AI Product Manager was ik volledig verantwoordelijk voor het identiteits- en accountlinking-ontwerp: de authenticatieprocessen over alle negen merken, de logica voor detectie en oplossing van gelijke e-mails, het verificatiemodel dat gekoppeld werd, het risicogebaseerde challengebeleid, de afhandeling van privé-relays, de delinking- en herverificatieregels voor e-mailwijzigingen, het blokkeerbeleid en het safe-fail-gedrag bij uitval van providers. Het leidende principe was dat e-mailmatching een linkreis kon starten, maar deze nooit kon voltooien. De klant moest altijd aantonen dat toegang had tot het e-mailadres dat aan het bestaande account was gekoppeld voordat twee authenticatiemethoden aan één profiel werden gekoppeld.

    De beperkingen waren concreet. Koppelen moest bidirectioneel en orderonafhankelijk zijn: eerst Google, daarna Apple, of eerst Apple en daarna Google, moesten hetzelfde gedeelde account bereiken. Apple's 'Verberg mijn e-mail' moest apart worden afgehandeld, omdat een privé-relayadres dat niet overeenkomt met het echte e-mailadres van de klant niet stilletjes aan dat account mag koppelen. Verificatie moest hetzelfde code-challenge-mechanisme hergebruiken dat al werd gebruikt voor authenticatie met verhoogd risico, dus het koppelen van geërfde bewezen controles in plaats van nieuwe te verzinnen. Risico moest wrijving moduleren: laag-risico aanmeldingen moesten wrijvingsloos blijven, terwijl medium, hoog en onbepaald risico een OTP vereiste. Herhaalde fouten moesten worden ingeperkt door een blokkeerbeleid dat op accountniveau gold, voor elk merk, niet per merk. En het falen van providers moest onveilig zijn, waardoor een klant nooit een gedeeltelijk of dubbel account had.

    03 Productbenadering

    De kern van de herinterpretatie was om een e-mailmatch te behandelen als het begin van een verificatietraject, niet als bewijs van eigendom. Wanneer Apple of Google een klant authenticeerde, werden de reactie van de provider en het e-mailadres server-side afgewerkt tegen het gedeelde accountplatform. Als het e-mailadres overeenkwam met een bestaand account, heeft het platform nog niets gekoppeld. Het gaf een eenmalige code aan het e-mailadres van het bestaande account en koppelde de nieuwe provider pas nadat de klant die code had ingevoerd. Twee authenticatiemethoden werden pas aan één cross-brand profiel gekoppeld nadat eigendom was aangetoond.

    Hetzelfde geverifieerde pad besloeg beide verbindingsrichtingen. Als een klant een account bij Google aanmaakte en later koos voor Doorgaan met Apple met hetzelfde gedeelde e-mailadres, detecteerde het systeem het bestaande account, stuurde een code naar zijn e-mail en koppelde Apple na succesvolle verificatie. Omgekeerd werd Apple's Share My Email eerst en later Google via dezelfde uitdaging opgelost naar hetzelfde gedeelde account. Na het koppelen kon de klant inloggen bij Apple, bij Google, of met e-mail en wachtwoord waar dat ook was ingesteld, en op hetzelfde account terechtkomen.

    Apple's Hide My Email bleef bewust een apart pad. Wanneer het privé-relayadres niet overeenkwam met het niet-opgegeven persoonlijke e-mailadres van de klant, kwamen de identiteiten niet in aanmerking voor koppeling van hetzelfde e-mailadres. In plaats van de relay te koppelen aan een niet-gerelateerd account, toonde het platform een uitleg met beperkte toegang en maakte een apart relay-e-mailaccount aan. Naast het eerste koppelen had hetzelfde account zijn eigen levenscyclus: een klant kon een wachtwoord instellen op een sociaal account, het primaire e-mailadres wijzigen (waardoor de vorige sociale provider werd ontkoppeld en opnieuw verifiërd moest worden), en elke terugkerende aanmelding werd nog steeds door de risico-evaluatie gehaald voordat een sessie werd afgesloten.

    De herformulering

    Een overeenkomende e-mail lijkt op een identiteitsbewijs, maar het is slechts een signaal. Het platform gebruikte het om een verificatieproces te openen, nooit om toegang te verlenen. Compatibele Apple- en Google-identiteiten werden pas gekoppeld aan één gedeeld account nadat de klant een e-mailcode-uitdaging had afgerond, dus een match startte verificatie in plaats van automatisch twee inlogs samen te voegen.

    04 Gebouwde Kenmerken

    Apple & Google inloggen

    Eén authenticatie-orkestrator leidt Continue with Apple, Continue with Google en wachtwoord-inloggen bij alle negen merken.

    Gedeeld cross-brand account

    Een klant maakt één keer een account aan en gebruikt het opnieuw voor elk merk, ongeacht de leverancier via welke leverancier hij aankomt.

    Detectie van gelijke e-mail

    Server-side identiteitsresolutie geeft een melding wanneer het e-mailadres van een nieuwe provider al bij een bestaand account hoort.

    E-mailcode-uitdaging

    Een eenmalige code die naar het e-mailadres van het bestaande account wordt gestuurd, moet worden ingevoerd voordat twee providers worden gekoppeld.

    Bidirectionele koppeling

    Google-eerst en dan Apple, of Apple-eerst en dan Google, lossen via dezelfde uitdaging op naar hetzelfde gedeelde account.

    Apple privé-relaispad

    Verberg mijn e-mailadressen die niet overeenkomen zijn niet gekoppeld; In plaats daarvan wordt een apart relais-e-mailaccount aangemaakt.

    Risicogebaseerde OTP

    Laag-risico aanmeldingen krijgen een sessie; Middelgroot, hoog en onbepaald risico vereisen een e-mail OTP voordat je toegang krijgt.

    Blokkering op accountniveau

    Herhaalde OTP-, code- of wachtwoordfouten blokkeren het gedeelde account over alle negen merkinterfaces.

    Wachtwoordinstelling voor sociale media

    Klanten kunnen een e-mail- en wachtwoordinlog toevoegen aan een account dat eerst via een sociale provider is aangemaakt.

    Provider ontkoppelen bij e-mailwijziging

    Het wijzigen van het primaire e-mailadres ontkoppelt de vorige sociale provider en vereist herverificatie van de provider.

    Veilig herstel na een zorgverlenerstoring

    Mislukkingen van Apple- of Google-diensten geven een veilige foutmelding en herhaling, waardoor gedeeltelijke of dubbele accounts worden voorkomen.

    Wachtwoord + sociale pariteit

    Zodra een wachtwoord is ingesteld, werkt e-mail en wachtwoord samen met Apple en Google als een gelijke login.

    Ook verzonden: wachtwoordinstelling voor sociale accounts, e-mail en wachtwoord als extra login zodra geconfigureerd, wachtwoordgestuurde e-mailwijzigingen, herverificatie van de provider na een e-mailwijziging, hantering van onbepaalde risico's, en een consistente beveiligingsreis ongeacht bij welk merk de klant is begonnen.

    05 Architectuur

    Negen merkervaringen voedden één authenticatie-orkestrator mee. Een klant die via een merk aankwam, werd doorgestuurd naar dezelfde stroom: doorgaan met Apple, doorgaan met Google, of e-mail en wachtwoord. De antwoorden van Apple en Google werden doorgegeven via validatie door provider-response en vervolgens via identiteitsoplossing tegen het gedeelde accountplatform, terwijl wachtwoordinloggegevens direct naar het gedeelde account werden afgesloten. Identity Resolution stelde twee vragen in volgorde: is deze provider al gekoppeld, en zo niet, is er een in aanmerking komende account met hetzelfde e-mailadres om naartoe te linken?

    CustomerNine brand experiencesAuthentication OrchestratorSign-in optionsApple Sign-InShare / Hide My EmailGoogle Sign-InEmail + PasswordProvider responseProvider Response ValidationApple & GooglePassword pathIdentity ResolutionAlready linked? · Same-email?Eligible email matchApple relay emailAlready linkedEmail Code ChallengeCode to existing emailRelay-Email AccountHide My Email · new accountVerified · linkedNew accountShared Cross-Brand AccountActiveRisk CategoryLow · Med · High · Undet.Email One Time PasswordMed / High / undeterminedAuthenticated SessionCross-brand accessMed / HighValidLow risk · Direct sessionSession issuedSigned InAccess all nine brandsRepeated failuresAccount BlockingAll nine brandsAnalytics & Data Layer · events + audit logsSafe recovery · retry

    Van daaruit vertakte de stroom zich in duidelijk afgebakende uitkomsten. Een in aanmerking komende e-mailmatch gaf een koppelcode aan het bestaande account zijn e-mailadres; Bij succesvolle verificatie werd de provider gekoppeld, bij mislukking werd de poging afgewezen en geregistreerd. Een Apple relay-e-mail die niet overeenkwam, werd doorgestuurd naar een uitleg met beperkte toegang en een apart relay-e-mailaccount. Zodra het was opgelost naar een gedeeld cross-brand account, werd de accountstatus gecontroleerd: een geblokkeerd account werd als geblokkeerd weergegeven, een actief account werd in een risicocategorie geplaatst. Low risk voerde direct een geauthenticeerde sessie uit; Medium, High en Undetermined Risk stuurde een authenticatie-OTP, en herhaalde mislukte uitdagingen tot een vaste drempel blokkeerden het gedeelde account bij alle negen merken. Het account zelf toonde wachtwoordinstellingen en e-mailwijzigingen, waarbij het wijzigen van het primaire e-mailadres de vorige sociale provider ontkoppelde en opnieuw verificatie van de provider vereiste. Providers service failures veroorzaakten geen gedeeltelijke toestand: ze gaven een veilige foutmelding en een herpoging die terug naar dezelfde orchestrator leidde, dus een mislukte Apple- of Google-oproep leverde nooit een half gekoppeld of dubbel account op. De koppelgrens combineerde drie controles: een gevalideerde provider-reactie, een compatibele match met hetzelfde e-mailadres en een succesvolle e-mailcode-uitdaging, en mislukte code-inzendingen verliepen hetzelfde challenge-controle- en blokkeringsbeleid als risico-OTP's.

    06 Meting & Analyse

    De identiteitsreizen werden gemeten als een trechter van providerauthenticatie via resolutie, verificatie en sessie-uitgave, zodat een daling kon worden teruggevoerd naar de fase die het veroorzaakte: providerrespons, detectie van dezelfde e-mail, code-uitdaging, risicobeoordeling of blokkering. De beschikbare gegevens ondersteunden een gecombineerde adoptieschatting, ongeveer veertigduizend tot honderdduizend dagelijkse bezoekers per merk via een Apple-, Google- of accountgekoppelde reis, maar het overdrijvde bewust niet wat het niet kon scheiden. Apple versus Google, registratie versus terugkerende aanmelding, nieuw gekoppelde versus eerder gekoppelde accounts, succesvolle versus abandoned code-challenges, relay-email versus gedeelde-e-mail Apple-accounts, en elke duplicate-account, fraude of vermindering van supportcontacten werden niet gekwantificeerd totdat hun onderliggende analyses beschikbaar waren, in plaats van als precieze cijfers te worden gerapporteerd.

    Adoptiemetrieken

    Aandeel van dagelijkse bezoekers per merk via een Apple-, Google- of gekoppelde accountreis, geaggregeerd over de negen merken.

    Verificatietrechter

    Provider response, detectie van hetzelfde e-mail, code verzonden, code geverifieerd en provider gekoppeld, stap voor stap gemeten.

    Risico- en OTP-metrics

    Risicocategorie-verdeling, OTP-uitdagingspercentages voor middel, hoog en onbepaald risico, en OTP-succes en -verlaten.

    Falen en blokkeringsmetrieken

    Mislukte koppelingscodes, risico-OTP's en wachtwoorden telden mee voor de vaste drempel en account-niveau blokken die werden toegepast.

    Provider- en relaismetrics

    Relay-e-mail versus gedeelde e-mail Apple-accounts en uitval van providerdiensten worden doorgestuurd naar een veilige herkansing.

    07 Verificatie & Risicobeslissingen

    De beslissingslaag beantwoordde een reeks smalle vragen in plaats van één ja of nee. Is deze aanbieder al gekoppeld? Zo niet, is er dan een in aanmerking komend account met hetzelfde e-mailadres, of is dit een Apple-relayadres dat niet in aanmerking komt? Als hij in aanmerking komt, heeft de klant dan het eigenaarschap bewezen via de e-mailcode-uitdaging? En bij elke opgeloste aanmelding, wat is de risicocategorie van het account, en vereist dat een OTP voordat een sessie wordt uitgegeven? Low risk werd voortgezet tot een geauthenticeerde sessie; middel, hoog en onbepaald risico vereiste een e-mail OTP; en herhaalde fouten, of het nu bij een linkingcode, een risico-OTP of een wachtwoord was, werden geteld via één gedeeld challenge-control mechanisme dat het account op een vaste drempel blokkeerde. Risico moduleerde hier wrijving en verificatiesterkte; Het bepaalde niet zelf de identiteit en verving nooit het eigendomsbewijs dat het koppelen blokkeerde.

    Wat linken vereiste, en wat het nooit aannam

    Het koppelen van accounts werd beschermd door een code-uitdaging, niet voltooid door een e-mailmatch. De grens combineerde een gevalideerde Apple- of Google-reactie, een compatibel account met hetzelfde e-mailadres en een succesvolle e-mailverificatie. Een bijpassende e-mail opende de reis; De klant moest nog steeds toegang tot het e-mailadres op het bestaande account aantonen voordat twee inloggegevens aan één cross-brand profiel werden gekoppeld.

    08 Status & Uitkomst

    De implementatie stelde sociale authenticatie vast als een belangrijk toegangskanaal in plaats van als secundaire inlogoptie. Klanten konden zich registreren bij Apple of Google, hetzelfde account hergebruiken bij alle negen merken, compatibele Apple- en Google-identiteiten koppelen na een e-mailcode-uitdaging, een wachtwoord toevoegen aan een sociaal account en een consistente beveiligingsreis doorlopen, ongeacht bij welk merk ze begonnen. Elk merk kreeg ongeveer honderdduizend bezoekers per dag, en ongeveer veertigduizend per merk per dag gebruikte een Apple-, Google- of gekoppelde accountreis: naar schatting veertig procent betrokkenheid met sociale sociale media of linked access. Over alle negen merken is dat ongeveer negenhonderdduizend dagelijkse bezoekers en ongeveer driehonderdzestigduizend dagelijkse sociale of gekoppelde accountreizen. Het resultaat was een gedeelde authenticatiebasis waarbij Apple, Google en wachtwoordtoegang als gecontroleerde methoden werkten rond één cross-brand klantaccount, met koppeling geblokkeerd door verificatie, risicovolle aanmeldingen via OTP, privé-relay apart afgehandeld en herhaalde fouten die werden beperkt door account-niveau blokkering. Deze cijfers zijn bij benadering en gebaseerd op de aangegeven verhouding; Ze combineren sociale en gekoppelde accountactiviteiten in plaats van elke aanbieder of reistype te scheiden.

    ~40%

    Dagelijkse bezoekers via een sociale of gekoppelde reis (per merk)

    9

    Consumentenmerken op één gedeeld account

    ~360K

    Dagelijkse reizen met Apple, Google of gekoppelde accounts

    ~900K

    Totaal aantal dagelijkse bezoekers binnen de groep

    09 Reflectie / Wat is de volgende stap

    De belangrijkste prestatie was het niet toevoegen van Apple- en Google-knoppen. Het bouwde de identiteitscontroles die sociale toegang veilig en herbruikbaar maakten over negen merken heen: het platform kon bepalen of een provideridentiteit nieuw was, al gekoppeld, in aanmerking kwam voor koppeling, via een privérelais, met een wachtwoord ingeschakeld, riskant of geblokkeerd was, en het koppelde compatibele identiteiten pas na een e-mailcode-uitdaging. Wat ik nu zou versterken: de analyses scheiden die tegenwoordig gecombineerd blijven (Apple versus Google, aanmelden versus inloggen, nieuw versus eerder gekoppeld, uitdaging succes versus verlating, relay versus gedeelde e-mail) zodat de funnel kan worden afgestemd op bewijs in plaats van schattingen; formaliseer de categoriedefinities en drempels van het risicomodel met expliciete governance; verscherp de richtlijnen voor relaisaccounts zodat klanten begrijpen waarom een Hide My Email-aanmelding een apart account heeft aangemaakt; en houd de regels voor ontkoppeling en herverificatie van e-mailwijzigingen van begin tot eind controleerbaar. Het blijvende resultaat was een gedeelde authenticatielaag waarbij een overeenkomende e-mail verificatie initieerde in plaats van automatisch toegang te verlenen, en Apple-, Google- en wachtwoordinlogs functioneerden als gecontroleerde, koppelbare methoden rond één merk cross-brand klantaccount.