01 Contexto & Problema
Um grupo de consumidores mantinha nove marcas distintas em uma única plataforma compartilhada de clientes. Um cliente pode criar uma conta uma vez e reutilizá-la em todos os lugares, fazendo login com Apple, Google ou e-mail e senha. O login social era para ser uma entrada principal, não uma conveniência secundária, então a mesma pessoa frequentemente chegava por diferentes provedores em horários distintos: Google em uma marca, Apple em outra, e uma senha depois.
Essa flexibilidade criou um problema de identidade. Quando um cliente entrava com uma nova identidade Apple ou Google cujo e-mail já pertencia a uma conta existente, a plataforma precisava decidir o que fazer. Vincular os dois automaticamente apenas em um match de e-mail seria inseguro: um endereço de e-mail correspondente sugere um relacionamento, mas isso não prova que a pessoa que faz login realmente controla essa caixa de entrada. A plataforma precisava de uma forma de conectar identidades compatíveis da Apple e do Google a uma conta compartilhada sem nunca conceder acesso a um e-mail de correspondência sozinha, e fazer isso de forma consistente entre as nove marcas, incluindo os casos complicados: endereços privados de retransmissão da Apple, contas com senha, logins arriscados e interrupções de provedores.
02 Papel e Restrições
Como AI Product Manager , eu era responsável pelo design de identidade e vinculação de contas de ponta a ponta: as jornadas de autenticação entre as nove marcas, a lógica de detecção e resolução de e-mails iguais, o modelo de verificação que bloqueava o linking, a política de desafios baseada em risco, o tratamento por relés privados, as regras de desvinculação e re-verificação para alteração de e-mail, a política de bloqueio e o comportamento de falha segura para interrupções de provedores. O princípio orientador era que o matching de e-mail poderia iniciar uma jornada de linking, mas nunca completá-la. O cliente sempre precisava demonstrar acesso ao e-mail vinculado à conta existente antes que dois métodos de autenticação fossem anexados a um perfil.
As limitações eram concretas. O link precisava ser bidirecional e independente da ordem: o Google primeiro, depois a Apple, ou a Apple primeiro e depois o Google, precisava alcançar a mesma conta compartilhada. O Esconder Meu E-mail da Apple teve que ser tratado separadamente, porque um endereço de retransmissão privada que não corresponde ao e-mail real da conta do cliente não deve se vincular silenciosamente a essa conta. A verificação teve que reutilizar o mesmo mecanismo de desafio de código já confiável para autenticação de alto risco, então vincular herdou controles comprovados em vez de inventar novos. O risco precisava modular o atrito: os registros de baixo risco deveriam permanecer sem atrito, enquanto o risco médio, alto e indeterminado exigia um OTP. Falhas repetidas precisavam ser contidas por meio de uma política de bloqueio que se aplicava ao nível da conta, em todas as marcas, não por marca. E falhas de provedores precisavam ser seguras, nunca deixando um cliente com uma conta parcial ou duplicada.
03 Abordagem do Produto
A reformulação principal foi tratar a correspondência de e-mail como o início de uma jornada de verificação, e não como prova de propriedade. Quando Apple ou Google autenticavam um cliente, a resposta do provedor e seu e-mail eram resolvidos do lado do servidor contra a plataforma de contas compartilhadas. Se o e-mail correspondesse a uma conta existente, a plataforma ainda não vinculou nada. Ele emitia um código único para o e-mail da conta existente e vinculava o novo provedor somente depois que o cliente digitava esse código. Dois métodos de autenticação eram anexados a um perfil cruzado de marcas apenas depois que a propriedade era demonstrada.
O mesmo caminho verificado cobria ambas as direções de ligação. Se um cliente criasse uma conta no Google e depois escolhesse Continuar com a Apple usando o mesmo e-mail compartilhado, o sistema detectava a conta existente, enviava um código para seu e-mail e vinculava a Apple após a verificação bem-sucedida. O contrário, o Compartilhe Meu E-mail da Apple primeiro e o Google depois, resolveu para a mesma conta compartilhada pelo mesmo desafio. Após o link, o cliente podia fazer login com a Apple, com o Google ou com e-mail e senha, onde quer que uma tenha sido configurada, e acabar na mesma conta.
O Esconder Meu E-mail da Apple seguiu um caminho propositalmente separado. Quando o endereço privado de retransmissão não correspondia ao e-mail pessoal não divulgado do cliente, as identidades não eram elegíveis para o mesmo e-mail. Em vez de vincular o relé a uma conta não relacionada, a plataforma mostrou uma explicação de acesso limitado e criou uma conta de e-mail separada. Além do primeiro link, a mesma conta tinha seu próprio ciclo de vida: um cliente podia definir uma senha em uma conta social, alterar o e-mail principal (que desvinculava o provedor social anterior e exigia reverificação), e cada login retornado ainda passava por avaliação de risco antes da sessão ser emitida.
Um e-mail correspondente parece uma prova de identidade, mas é apenas um sinal. A plataforma o usou para abrir uma jornada de verificação, nunca para conceder acesso. Identidades compatíveis da Apple e do Google eram vinculadas a uma conta compartilhada apenas após o cliente completar um desafio de código de e-mail, então uma correspondência iniciava a verificação em vez de mesclar automaticamente dois logins.
04 Características Construídas
Login Apple & Google
Um orquestrador de autenticação rota: Continue com a Apple, Continue com o Google e login por senha em todas as nove marcas.
Conta compartilhada entre marcas
Um cliente cria uma conta uma vez e a reutiliza em todas as marcas, seja qual for o provedor por onde ele chegue.
Detecção de e-mails semelhantes
A resolução de identidade do lado do servidor sinaliza quando o e-mail de um novo provedor já pertence a uma conta existente.
Desafio de código de e-mail
Um código único enviado para o e-mail da conta existente deve ser inserido antes que dois provedores sejam vinculados.
Ligação bidirecional
Primeiro o Google, depois a Apple, ou primeiro a Apple e depois o Google, resolvem para a mesma conta compartilhada pelo mesmo desafio.
Caminho de relé privado da Apple
Ocultar meus endereços de e-mail que não correspondem não estão vinculados; Em vez disso, é criada uma conta de e-mail de retransmissão separada.
OTP baseado em risco
Inscrições de baixo risco têm uma sessão; Risco médio, alto e indeterminado exigem um OTP por e-mail antes do acesso.
Bloqueio em nível de conta
Falhas repetidas de OTP, código ou senha bloqueiam a conta compartilhada em todas as nove interfaces das marcas.
Configuração de senha para redes sociais
Os clientes podem adicionar um login de e-mail e senha a uma conta criada inicialmente por meio de um provedor social.
Provedor desvinculando após alteração de e-mail
Mudar o e-mail principal desvincula o provedor social anterior e exige uma nova verificação do provedor.
Recuperação segura de falhas no provedor
Falhas de serviços da Apple ou Google retornam um erro seguro e tentam novamente, impedindo contas parciais ou duplicadas.
Senha + paridade social
Uma vez configurada uma senha, e-mail e senha funcionam junto com Apple e Google como logins iguais.
Também foram enviados: configuração de senha para contas sociais, e-mail e senha como login adicional depois de configurados, mudanças de e-mail com controle de senha, re-verificação do provedor após uma alteração de e-mail, manejo de risco indeterminado e uma jornada de segurança consistente independentemente da marca de onde o cliente começou.
Arquitetura 05
Nove experiências de marca alimentaram um único orquestrador de autenticação. Um cliente que chegava por qualquer marca era encaminhado para o mesmo fluxo: continuar com a Apple, continuar com o Google, ou enviar e-mail e senha. As respostas da Apple e do Google passaram por validação de resposta por provedor e depois resolução de identidade na plataforma de conta compartilhada, enquanto os logins por senha foram resolvidos diretamente para a conta compartilhada. A resolução de identidade fez duas perguntas em ordem: esse provedor já está vinculado e, se não, existe uma conta de e-mail compatível elegível para ser vinculada?
A partir daí, o fluxo se ramificou em resultados claramente limitados. Uma correspondência de e-mail elegível emitia um código de vinculação ao e-mail da conta existente; Após a verificação bem-sucedida, o provedor era vinculado; em caso de falha, a tentativa era rejeitada e registrada. Um e-mail de retransmissão da Apple que não correspondia foi direcionado para uma explicação de acesso limitado e uma conta de e-mail separada. Uma vez resolvido para uma conta compartilhada entre marcas, o status da conta era verificado: uma conta bloqueada era mostrada como bloqueada, uma conta ativa era classificada em uma categoria de risco. Baixo risco emitiu uma sessão autenticada diretamente; risco médio, alto e indeterminado enviou um OTP de autenticação, e repetidos desafios falhados, até um limite fixo, bloquearam a conta compartilhada entre as nove marcas. A própria conta expôs mudanças de configuração de senha e e-mail, onde mudar o e-mail principal desvinculou o provedor social anterior e exigiu uma nova verificação do provedor. Falhas no serviço do provedor não criaram estado parcial: retornaram um erro seguro e tentaram novamente que foi roteado de volta para o mesmo orquestrador, então uma falha na chamada Apple ou Google nunca produziu uma conta meio vinculada ou duplicada. O limite de vinculação combinava três verificações: uma resposta validada do provedor, uma correspondência compatível com o mesmo e-mail e um desafio de código de e-mail bem-sucedido, e as submissões de código falhadas passavam pela mesma política de controle de desafio e bloqueio que os OTPs de risco.
06 Medição e Análise
As jornadas de identidade foram medidas como um funil desde a autenticação do provedor até a resolução, verificação e emissão da sessão, para que uma queda pudesse ser rastreada até a etapa que a causou: resposta do provedor, detecção do mesmo e-mail, desafio de código, pontuação de risco ou bloqueio. Os dados disponíveis apoiaram uma estimativa combinada de adoção, cerca de quarenta mil de cem mil visitantes diários por marca usando uma jornada vinculada à Apple, Google ou conta, mas deliberadamente não exageraram o que não podiam separar. Apple versus Google, registro versus login retornado, contas recém-vinculadas versus anteriormente vinculadas, desafios de código bem-sucedidos versus abandonados, contas Apple de relay-mail versus e-mail compartilhado, e qualquer redução de conta duplicada, fraude ou contato de suporte foram deixados sem quantificar até que suas análises subjacentes estivessem disponíveis, em vez de serem reportadas como números precisos.
Métricas de adoção
Participação de visitantes diários por marca usando uma jornada da Apple, Google ou conta vinculada, agregada entre as nove marcas.
Funil de verificação
Resposta do provedor, detecção do mesmo e-mail, código enviado, código verificado e vinculado ao prestador, medido etapa a etapa.
Risco & métricas OTP
Distribuição por categorias de risco, taxas de desafio dos OTPs para risco médio, alto e indeterminado, e sucesso e abandono dos OTPs.
Métricas de falha e bloqueio
Códigos de vinculação falhados, OTPs de risco e senhas contavam para o limite fixo e bloqueios em nível de conta aplicados.
Métricas de provedor e retransmissão
Contas Apple de e-mail retransmitido versus e-mail compartilhado, e falhas no serviço do provedor foram direcionadas para tentativas seguras.
07 Verificação e Tomada de Decisão de Risco
A camada de decisão respondeu a uma sequência de perguntas restritas, em vez de um único sim ou não. Esse provedor já está vinculado? Se não, existe uma conta de e-mail compatível elegível, ou é um endereço de retransmissão da Apple que não é elegível? Se for elegível, o cliente já provou a posse através do desafio do código de e-mail? E em cada login resolvido, qual é a categoria de risco da conta, e isso exige um OTP antes de uma sessão ser emitida? Baixo risco continuou para uma sessão autenticada; risco médio, alto e indeterminado exigia um OTP por e-mail; e falhas repetidas, seja em um código de vinculação, um OTP de risco ou uma senha, eram contadas por meio de um mecanismo compartilhado de controle de desafios que bloqueava a conta em um limite fixo. O risco aqui módulo de atrito e resistência de verificação; Ela não decidia a identidade sozinha, e nunca substituiu a prova de propriedade que bloqueava a vinculação.
A vinculação de conta foi protegida por um desafio de código, não foi concluída por uma correspondência de e-mail. O limite combinava uma resposta validada da Apple ou Google, uma conta de e-mail compatível e uma verificação de e-mail bem-sucedida. Um e-mail correspondente abriu a jornada; O cliente ainda precisava demonstrar acesso ao e-mail da conta existente antes que dois logins fossem vinculados a um perfil cross-brand.
08 Status e Desfecho
A implementação estabeleceu a autenticação social como um canal principal de acesso, em vez de uma opção secundária de login. Os clientes podiam se cadastrar na Apple ou Google, reutilizar a mesma conta em todas as nove marcas, vincular identidades compatíveis da Apple e Google após um desafio de código de e-mail, adicionar uma senha a uma conta social e seguir por uma jornada de segurança consistente, independentemente da marca de onde começaram. Cada marca recebeu cerca de cem mil visitantes diários, e aproximadamente quarenta mil por marca por dia usaram uma jornada da Apple, Google ou contas vinculadas: estima-se quarenta por cento de engajamento com redes sociais ou acesso vinculado. Em todas as nove marcas, isso equivale a aproximadamente novecentos mil visitantes diários e cerca de trezentos e sessenta mil jornadas diárias em redes sociais ou contas vinculadas. O resultado foi uma base de autenticação compartilhada na qual Apple, Google e acesso por senha operavam como métodos controlados em torno de uma conta de cliente entre marcas, com vinculação bloqueada por verificação, logins arriscados bloqueados por OTP, retransmissão privada gerenciada separadamente e falhas repetidas contidas pelo bloqueio em nível de conta. Esses valores são aproximados e baseados na razão fornecida; Eles combinam atividades sociais e de contas vinculadas, em vez de separar cada provedor ou tipo de viagem.
~40%
Visitantes diários usando uma jornada social ou vinculada (por marca)
9
Marcas de consumo em uma única conta compartilhada
~360K
Jornadas diárias da Apple, Google ou contas vinculadas
~900K
Total de visitantes diários em todo o grupo
09 Reflexão / O Que Vem a Seguir
A conquista principal foi não adicionar botões da Apple e Google. Estava construindo os controles de identidade que tornaram o acesso social seguro e reutilizável entre nove marcas: a plataforma podia identificar se a identidade de um provedor era nova, já vinculada, elegível para vinculação, usando um relé privado, com senha, arriscado ou bloqueado, e vinculava identidades compatíveis somente após um desafio de código de e-mail. O que eu fortaleceria a seguir: separar as análises que hoje permanecem combinadas (Apple versus Google, cadastro versus login, novo versus anteriormente vinculado, sucesso de desafios versus abandono, relay versus e-mail compartilhado) para que o funil possa ser ajustado com evidências em vez de estimativas; formalizar as definições de categorias e limiares do modelo de risco com governança explícita; Reforçar as orientações de contas Relay para que os clientes entendam por que um login no Ocultar Meu E-mail criou uma conta separada; e manter as regras de desvinculação e re-verificação em mudanças de e-mail auditáveis de ponta a ponta. O resultado duradouro foi uma camada de autenticação compartilhada onde um e-mail correspondente iniciava a verificação em vez de conceder acesso automaticamente, e os logins da Apple, Google e senhas operavam como métodos controlados e vinculáveis em torno de uma única conta de cliente entre marcas.
