Skip to main content
    Identidade do Consumidor · Autenticação

    Linkagem de Conta Bidirecional Verificada em uma Plataforma de Identidade de Nove Marcas

    Apple, Google e login por senha, unificados em torno de uma conta compartilhada, vinculados apenas após um desafio de código de e-mail.

    Um grupo consumidor de nove marcas permitia que os clientes acessassem com Apple, Google ou e-mail e senha, e reutilizassem uma única conta em todas as marcas. Quando uma nova identidade da Apple ou Google correspondia a uma conta existente por e-mail, a plataforma não os vinculava automaticamente. Primeiro, ele fez um desafio de código de e-mail para provar que o cliente controlava aquela caixa de entrada. Liderei o design de identidade que tornou o acesso social seguro e reutilizável: detecção de inúmeros e-mails, ligação bidirecional verificada, OTP baseado em risco, tratamento por retransmissão privada, desvinculação do provedor ao alterar o e-mail e bloqueio em nível de conta em todas as nove marcas.

    Diagrama isométrico da plataforma de identidade: nove experiências de marca alimentam um hub de identidade compartilhado de clientes, gateways de provedores Apple e Google com Share My Email e Hide My Email, uma camada segura de resolução de identidade, um desafio de código de e-mail e verificação OTP, níveis de risco baixos, médios, altos e indeterminados, e bloqueio em nível de conta em todas as interfaces.

    Imagem gerada com IA

    Os nomes dos clientes e marcas são anonimizados. Os números são aproximados e baseados na proporção de visitantes fornecida pelo cliente. As divisões separadas para Apple versus Google, cadastro versus login, novas contas versus anteriormente vinculadas, e fraude ou redução de suporte não foram fornecidas e permanecem sem quantificação.

    Função

    AI Product Manager

    Provedores

    Login da AppleLogin do GoogleE-mail + senha

    Verificação

    Desafio de código de e-mailOTP baseado em riscoBloqueio por falhas repetidas

    Identidade

    Conta compartilhada entre marcasResolução de identidade no lado do servidorDesvinculação de provedores

    Privacidade

    Apple Compartilhe Meu E-mailApple Hite My Email

    Escala e Controles

    Nove marcas de consumoLinks bidirecionais Apple ↔ GoogleBloqueio em nível de contaRecuperação segura de falhas no provedor

    01 Contexto & Problema

    Um grupo de consumidores mantinha nove marcas distintas em uma única plataforma compartilhada de clientes. Um cliente pode criar uma conta uma vez e reutilizá-la em todos os lugares, fazendo login com Apple, Google ou e-mail e senha. O login social era para ser uma entrada principal, não uma conveniência secundária, então a mesma pessoa frequentemente chegava por diferentes provedores em horários distintos: Google em uma marca, Apple em outra, e uma senha depois.

    Essa flexibilidade criou um problema de identidade. Quando um cliente entrava com uma nova identidade Apple ou Google cujo e-mail já pertencia a uma conta existente, a plataforma precisava decidir o que fazer. Vincular os dois automaticamente apenas em um match de e-mail seria inseguro: um endereço de e-mail correspondente sugere um relacionamento, mas isso não prova que a pessoa que faz login realmente controla essa caixa de entrada. A plataforma precisava de uma forma de conectar identidades compatíveis da Apple e do Google a uma conta compartilhada sem nunca conceder acesso a um e-mail de correspondência sozinha, e fazer isso de forma consistente entre as nove marcas, incluindo os casos complicados: endereços privados de retransmissão da Apple, contas com senha, logins arriscados e interrupções de provedores.

    02 Papel e Restrições

    Como AI Product Manager , eu era responsável pelo design de identidade e vinculação de contas de ponta a ponta: as jornadas de autenticação entre as nove marcas, a lógica de detecção e resolução de e-mails iguais, o modelo de verificação que bloqueava o linking, a política de desafios baseada em risco, o tratamento por relés privados, as regras de desvinculação e re-verificação para alteração de e-mail, a política de bloqueio e o comportamento de falha segura para interrupções de provedores. O princípio orientador era que o matching de e-mail poderia iniciar uma jornada de linking, mas nunca completá-la. O cliente sempre precisava demonstrar acesso ao e-mail vinculado à conta existente antes que dois métodos de autenticação fossem anexados a um perfil.

    As limitações eram concretas. O link precisava ser bidirecional e independente da ordem: o Google primeiro, depois a Apple, ou a Apple primeiro e depois o Google, precisava alcançar a mesma conta compartilhada. O Esconder Meu E-mail da Apple teve que ser tratado separadamente, porque um endereço de retransmissão privada que não corresponde ao e-mail real da conta do cliente não deve se vincular silenciosamente a essa conta. A verificação teve que reutilizar o mesmo mecanismo de desafio de código já confiável para autenticação de alto risco, então vincular herdou controles comprovados em vez de inventar novos. O risco precisava modular o atrito: os registros de baixo risco deveriam permanecer sem atrito, enquanto o risco médio, alto e indeterminado exigia um OTP. Falhas repetidas precisavam ser contidas por meio de uma política de bloqueio que se aplicava ao nível da conta, em todas as marcas, não por marca. E falhas de provedores precisavam ser seguras, nunca deixando um cliente com uma conta parcial ou duplicada.

    03 Abordagem do Produto

    A reformulação principal foi tratar a correspondência de e-mail como o início de uma jornada de verificação, e não como prova de propriedade. Quando Apple ou Google autenticavam um cliente, a resposta do provedor e seu e-mail eram resolvidos do lado do servidor contra a plataforma de contas compartilhadas. Se o e-mail correspondesse a uma conta existente, a plataforma ainda não vinculou nada. Ele emitia um código único para o e-mail da conta existente e vinculava o novo provedor somente depois que o cliente digitava esse código. Dois métodos de autenticação eram anexados a um perfil cruzado de marcas apenas depois que a propriedade era demonstrada.

    O mesmo caminho verificado cobria ambas as direções de ligação. Se um cliente criasse uma conta no Google e depois escolhesse Continuar com a Apple usando o mesmo e-mail compartilhado, o sistema detectava a conta existente, enviava um código para seu e-mail e vinculava a Apple após a verificação bem-sucedida. O contrário, o Compartilhe Meu E-mail da Apple primeiro e o Google depois, resolveu para a mesma conta compartilhada pelo mesmo desafio. Após o link, o cliente podia fazer login com a Apple, com o Google ou com e-mail e senha, onde quer que uma tenha sido configurada, e acabar na mesma conta.

    O Esconder Meu E-mail da Apple seguiu um caminho propositalmente separado. Quando o endereço privado de retransmissão não correspondia ao e-mail pessoal não divulgado do cliente, as identidades não eram elegíveis para o mesmo e-mail. Em vez de vincular o relé a uma conta não relacionada, a plataforma mostrou uma explicação de acesso limitado e criou uma conta de e-mail separada. Além do primeiro link, a mesma conta tinha seu próprio ciclo de vida: um cliente podia definir uma senha em uma conta social, alterar o e-mail principal (que desvinculava o provedor social anterior e exigia reverificação), e cada login retornado ainda passava por avaliação de risco antes da sessão ser emitida.

    A reformulação

    Um e-mail correspondente parece uma prova de identidade, mas é apenas um sinal. A plataforma o usou para abrir uma jornada de verificação, nunca para conceder acesso. Identidades compatíveis da Apple e do Google eram vinculadas a uma conta compartilhada apenas após o cliente completar um desafio de código de e-mail, então uma correspondência iniciava a verificação em vez de mesclar automaticamente dois logins.

    04 Características Construídas

    Login Apple & Google

    Um orquestrador de autenticação rota: Continue com a Apple, Continue com o Google e login por senha em todas as nove marcas.

    Conta compartilhada entre marcas

    Um cliente cria uma conta uma vez e a reutiliza em todas as marcas, seja qual for o provedor por onde ele chegue.

    Detecção de e-mails semelhantes

    A resolução de identidade do lado do servidor sinaliza quando o e-mail de um novo provedor já pertence a uma conta existente.

    Desafio de código de e-mail

    Um código único enviado para o e-mail da conta existente deve ser inserido antes que dois provedores sejam vinculados.

    Ligação bidirecional

    Primeiro o Google, depois a Apple, ou primeiro a Apple e depois o Google, resolvem para a mesma conta compartilhada pelo mesmo desafio.

    Caminho de relé privado da Apple

    Ocultar meus endereços de e-mail que não correspondem não estão vinculados; Em vez disso, é criada uma conta de e-mail de retransmissão separada.

    OTP baseado em risco

    Inscrições de baixo risco têm uma sessão; Risco médio, alto e indeterminado exigem um OTP por e-mail antes do acesso.

    Bloqueio em nível de conta

    Falhas repetidas de OTP, código ou senha bloqueiam a conta compartilhada em todas as nove interfaces das marcas.

    Configuração de senha para redes sociais

    Os clientes podem adicionar um login de e-mail e senha a uma conta criada inicialmente por meio de um provedor social.

    Provedor desvinculando após alteração de e-mail

    Mudar o e-mail principal desvincula o provedor social anterior e exige uma nova verificação do provedor.

    Recuperação segura de falhas no provedor

    Falhas de serviços da Apple ou Google retornam um erro seguro e tentam novamente, impedindo contas parciais ou duplicadas.

    Senha + paridade social

    Uma vez configurada uma senha, e-mail e senha funcionam junto com Apple e Google como logins iguais.

    Também foram enviados: configuração de senha para contas sociais, e-mail e senha como login adicional depois de configurados, mudanças de e-mail com controle de senha, re-verificação do provedor após uma alteração de e-mail, manejo de risco indeterminado e uma jornada de segurança consistente independentemente da marca de onde o cliente começou.

    Arquitetura 05

    Nove experiências de marca alimentaram um único orquestrador de autenticação. Um cliente que chegava por qualquer marca era encaminhado para o mesmo fluxo: continuar com a Apple, continuar com o Google, ou enviar e-mail e senha. As respostas da Apple e do Google passaram por validação de resposta por provedor e depois resolução de identidade na plataforma de conta compartilhada, enquanto os logins por senha foram resolvidos diretamente para a conta compartilhada. A resolução de identidade fez duas perguntas em ordem: esse provedor já está vinculado e, se não, existe uma conta de e-mail compatível elegível para ser vinculada?

    CustomerNine brand experiencesAuthentication OrchestratorSign-in optionsApple Sign-InShare / Hide My EmailGoogle Sign-InEmail + PasswordProvider responseProvider Response ValidationApple & GooglePassword pathIdentity ResolutionAlready linked? · Same-email?Eligible email matchApple relay emailAlready linkedEmail Code ChallengeCode to existing emailRelay-Email AccountHide My Email · new accountVerified · linkedNew accountShared Cross-Brand AccountActiveRisk CategoryLow · Med · High · Undet.Email One Time PasswordMed / High / undeterminedAuthenticated SessionCross-brand accessMed / HighValidLow risk · Direct sessionSession issuedSigned InAccess all nine brandsRepeated failuresAccount BlockingAll nine brandsAnalytics & Data Layer · events + audit logsSafe recovery · retry

    A partir daí, o fluxo se ramificou em resultados claramente limitados. Uma correspondência de e-mail elegível emitia um código de vinculação ao e-mail da conta existente; Após a verificação bem-sucedida, o provedor era vinculado; em caso de falha, a tentativa era rejeitada e registrada. Um e-mail de retransmissão da Apple que não correspondia foi direcionado para uma explicação de acesso limitado e uma conta de e-mail separada. Uma vez resolvido para uma conta compartilhada entre marcas, o status da conta era verificado: uma conta bloqueada era mostrada como bloqueada, uma conta ativa era classificada em uma categoria de risco. Baixo risco emitiu uma sessão autenticada diretamente; risco médio, alto e indeterminado enviou um OTP de autenticação, e repetidos desafios falhados, até um limite fixo, bloquearam a conta compartilhada entre as nove marcas. A própria conta expôs mudanças de configuração de senha e e-mail, onde mudar o e-mail principal desvinculou o provedor social anterior e exigiu uma nova verificação do provedor. Falhas no serviço do provedor não criaram estado parcial: retornaram um erro seguro e tentaram novamente que foi roteado de volta para o mesmo orquestrador, então uma falha na chamada Apple ou Google nunca produziu uma conta meio vinculada ou duplicada. O limite de vinculação combinava três verificações: uma resposta validada do provedor, uma correspondência compatível com o mesmo e-mail e um desafio de código de e-mail bem-sucedido, e as submissões de código falhadas passavam pela mesma política de controle de desafio e bloqueio que os OTPs de risco.

    06 Medição e Análise

    As jornadas de identidade foram medidas como um funil desde a autenticação do provedor até a resolução, verificação e emissão da sessão, para que uma queda pudesse ser rastreada até a etapa que a causou: resposta do provedor, detecção do mesmo e-mail, desafio de código, pontuação de risco ou bloqueio. Os dados disponíveis apoiaram uma estimativa combinada de adoção, cerca de quarenta mil de cem mil visitantes diários por marca usando uma jornada vinculada à Apple, Google ou conta, mas deliberadamente não exageraram o que não podiam separar. Apple versus Google, registro versus login retornado, contas recém-vinculadas versus anteriormente vinculadas, desafios de código bem-sucedidos versus abandonados, contas Apple de relay-mail versus e-mail compartilhado, e qualquer redução de conta duplicada, fraude ou contato de suporte foram deixados sem quantificar até que suas análises subjacentes estivessem disponíveis, em vez de serem reportadas como números precisos.

    Métricas de adoção

    Participação de visitantes diários por marca usando uma jornada da Apple, Google ou conta vinculada, agregada entre as nove marcas.

    Funil de verificação

    Resposta do provedor, detecção do mesmo e-mail, código enviado, código verificado e vinculado ao prestador, medido etapa a etapa.

    Risco & métricas OTP

    Distribuição por categorias de risco, taxas de desafio dos OTPs para risco médio, alto e indeterminado, e sucesso e abandono dos OTPs.

    Métricas de falha e bloqueio

    Códigos de vinculação falhados, OTPs de risco e senhas contavam para o limite fixo e bloqueios em nível de conta aplicados.

    Métricas de provedor e retransmissão

    Contas Apple de e-mail retransmitido versus e-mail compartilhado, e falhas no serviço do provedor foram direcionadas para tentativas seguras.

    07 Verificação e Tomada de Decisão de Risco

    A camada de decisão respondeu a uma sequência de perguntas restritas, em vez de um único sim ou não. Esse provedor já está vinculado? Se não, existe uma conta de e-mail compatível elegível, ou é um endereço de retransmissão da Apple que não é elegível? Se for elegível, o cliente já provou a posse através do desafio do código de e-mail? E em cada login resolvido, qual é a categoria de risco da conta, e isso exige um OTP antes de uma sessão ser emitida? Baixo risco continuou para uma sessão autenticada; risco médio, alto e indeterminado exigia um OTP por e-mail; e falhas repetidas, seja em um código de vinculação, um OTP de risco ou uma senha, eram contadas por meio de um mecanismo compartilhado de controle de desafios que bloqueava a conta em um limite fixo. O risco aqui módulo de atrito e resistência de verificação; Ela não decidia a identidade sozinha, e nunca substituiu a prova de propriedade que bloqueava a vinculação.

    O que a ligação exigia e o que nunca assumiu

    A vinculação de conta foi protegida por um desafio de código, não foi concluída por uma correspondência de e-mail. O limite combinava uma resposta validada da Apple ou Google, uma conta de e-mail compatível e uma verificação de e-mail bem-sucedida. Um e-mail correspondente abriu a jornada; O cliente ainda precisava demonstrar acesso ao e-mail da conta existente antes que dois logins fossem vinculados a um perfil cross-brand.

    08 Status e Desfecho

    A implementação estabeleceu a autenticação social como um canal principal de acesso, em vez de uma opção secundária de login. Os clientes podiam se cadastrar na Apple ou Google, reutilizar a mesma conta em todas as nove marcas, vincular identidades compatíveis da Apple e Google após um desafio de código de e-mail, adicionar uma senha a uma conta social e seguir por uma jornada de segurança consistente, independentemente da marca de onde começaram. Cada marca recebeu cerca de cem mil visitantes diários, e aproximadamente quarenta mil por marca por dia usaram uma jornada da Apple, Google ou contas vinculadas: estima-se quarenta por cento de engajamento com redes sociais ou acesso vinculado. Em todas as nove marcas, isso equivale a aproximadamente novecentos mil visitantes diários e cerca de trezentos e sessenta mil jornadas diárias em redes sociais ou contas vinculadas. O resultado foi uma base de autenticação compartilhada na qual Apple, Google e acesso por senha operavam como métodos controlados em torno de uma conta de cliente entre marcas, com vinculação bloqueada por verificação, logins arriscados bloqueados por OTP, retransmissão privada gerenciada separadamente e falhas repetidas contidas pelo bloqueio em nível de conta. Esses valores são aproximados e baseados na razão fornecida; Eles combinam atividades sociais e de contas vinculadas, em vez de separar cada provedor ou tipo de viagem.

    ~40%

    Visitantes diários usando uma jornada social ou vinculada (por marca)

    9

    Marcas de consumo em uma única conta compartilhada

    ~360K

    Jornadas diárias da Apple, Google ou contas vinculadas

    ~900K

    Total de visitantes diários em todo o grupo

    09 Reflexão / O Que Vem a Seguir

    A conquista principal foi não adicionar botões da Apple e Google. Estava construindo os controles de identidade que tornaram o acesso social seguro e reutilizável entre nove marcas: a plataforma podia identificar se a identidade de um provedor era nova, já vinculada, elegível para vinculação, usando um relé privado, com senha, arriscado ou bloqueado, e vinculava identidades compatíveis somente após um desafio de código de e-mail. O que eu fortaleceria a seguir: separar as análises que hoje permanecem combinadas (Apple versus Google, cadastro versus login, novo versus anteriormente vinculado, sucesso de desafios versus abandono, relay versus e-mail compartilhado) para que o funil possa ser ajustado com evidências em vez de estimativas; formalizar as definições de categorias e limiares do modelo de risco com governança explícita; Reforçar as orientações de contas Relay para que os clientes entendam por que um login no Ocultar Meu E-mail criou uma conta separada; e manter as regras de desvinculação e re-verificação em mudanças de e-mail auditáveis de ponta a ponta. O resultado duradouro foi uma camada de autenticação compartilhada onde um e-mail correspondente iniciava a verificação em vez de conceder acesso automaticamente, e os logins da Apple, Google e senhas operavam como métodos controlados e vinculáveis em torno de uma única conta de cliente entre marcas.