Skip to main content
    Потребительская идентичность · Аутентификация

    Проверенное двунаправленное подключение аккаунта через платформу идентичности из девяти брендов

    Apple, Google и пароль входа в систему, объединённые за одним общим аккаунтом, связаны только после вызова по коду электронной почты.

    Группа потребителей из девяти брендов позволила клиентам войти с помощью Apple, Google или электронной почты и пароля, а также повторно использовать один аккаунт для каждого бренда. Когда новая идентификация Apple или Google совпадала с существующим аккаунтом по электронной почте, платформа не связывала их автоматически. Сначала он провёл вызов с кодом электронной почты, чтобы доказать, что клиент контролирует этот входящий ящик. Я руководил дизайном идентичности, который сделал социальный доступ безопасным и многократно используемым: обнаружение одинаковых писем, верифицированное двунаправленное ссылание, риск-ориентированный OTP, обработка приватных релей, развязка провайдеров при смене электронной почты и блокировка на уровне аккаунта во всех девяти брендах.

    Изометрическая диаграмма платформы идентификации: девять брендовых опытов обеспечивают общий центр идентификации клиентов, шлюзы Apple и Google с функциями Share My Email и Hide My Email, защищённым слоем разрешения идентичности, проверкой кода по электронной почте и верификацией OTP, низкими, средними, высокими и неопределёнными уровнями риска, а также блокировкой на уровне аккаунта на всех интерфейсах.

    Изображение сгенерировано с помощью искусственного интеллекта

    Имена клиентов и брендов анонимизированы. Цифры приблизительные и основаны на соотношении посетителей клиента. Отдельные разбивки по Apple против Google, регистрации против входа, новых и ранее связанных аккаунтов, а также по мошенничеству или снижению поддержки, не были предоставлены и остаются неоценёнными.

    Роль

    AI Product Manager

    Поставщики

    Вход в AppleВход в GoogleЭлектронная почта + пароль

    Проверка

    Вызов кода электронной почтыOTP, основанный на рискеБлокировка повторяющихся отказов

    Идентичность

    Общий кросс-брендовый аккаунтРазрешение идентичности на стороне сервераРазвязывание между провайдерами

    Конфиденциальность

    Apple Поделиться моей электронной почтойРеле Apple Hide My Email

    Масштаб и элементы управления

    Девять потребительских брендовДвунаправленная связь Apple ↔ GoogleБлокировка на уровне аккаунтаБезопасное восстановление после отказа поставщика

    01 Контекст и проблема

    Потребительская группа управляла девятью отдельными брендами на одной общей клиентской платформе. Клиент может создать аккаунт один раз и использовать его повсюду, войдя через Apple, Google или по электронной почте и паролю. Социальный вход был основным способом проникновения, а не вторичным удобством, поэтому один и тот же человек часто приходил через разных провайдеров в разное время: Google — на одном бренде, Apple — на другом, а пароль — позже.

    Эта гибкость создала проблему идентичности. Когда клиент входил в систему с новым идентификатором Apple или Google, чья электронная почта уже принадлежала существующему аккаунту, платформа должна была решать, что делать. Автоматическое связывание этих двух данных только при совпадении по электронной почте было бы небезопасно: совпадающий адрес указывает на отношения, но не доказывает, что автор действительно управляет этим почтовым ящиком. Платформе нужен был способ подключать совместимые идентичности Apple и Google к одному общему аккаунту, не предоставляя доступа по электронной почте отдельно, и делать это последовательно во всех девяти брендах, включая неудобные случаи: приватные релейные адреса Apple, аккаунты с паролем, рискованные входы и сбои у провайдеров.

    02 Роль и ограничения

    В AI Product Manager году я владел дизайном идентификации и связывания аккаунтов от конца до конца: процессами аутентификации всех девяти брендов, логикой обнаружения и разрешения одинаковых писем, моделью верификации, ограничивающей связывание, политикой вызовов, основанной на рисках, обработкой приватных релей, правилами отсоединения и повторной проверки при изменении электронной почты, политикой блокировки и безопасным поведением при сбоях провайдеров. Основной принцип заключался в том, что сопоставление по электронной почте могло инициировать путь по ссылке, но никогда его не завершать. Клиент всегда должен был продемонстрировать доступ к электронной почте, привязанной к существующему аккаунту, прежде чем к одному профилю будут прикреплены два метода аутентификации.

    Ограничения были конкретными. Связывание должно было быть двунаправленным и независимым от порядка: сначала Google, затем Apple, или сначала Apple, потом Google, должны были достичь одного и того же общего аккаунта. Скрыть мою почту от Apple пришлось обрабатывать отдельно, потому что приватный адрес, не совпадающий с настоящим аккаунтом клиента, не должен тихо подключаться к этому аккаунту. Верификация должна была повторно использовать тот же механизм вызова кода, который уже доверялся для аутентификации с повышенным риском, поэтому связывать унаследованные проверенные контроли вместо изобретения новых. Риск должен был модулировать трение: входы с низким риском должны оставаться без трения, тогда как средний, высокий и неопределённый риск требовал OTP. Повторяющиеся сбои нужно было сдерживать с помощью политики блокировки, которая действовала на уровне аккаунта, для каждого бренда, а не для каждого бренда. А сбои провайдера должны были быть безопасными, никогда не оставляя клиента с частичным или дубликатом аккаунта.

    03 Подход к продукту

    Основной рефрейм заключался в том, чтобы рассматривать совпадение по электронной почте как начало верификации, а не как доказательство владения. Когда Apple или Google аутентифицировали клиента, ответ провайдера и его электронная почта решались на серверной стороне платформы общей учетной записи. Если письмо совпадало с существующим аккаунтом, платформа пока ничего не привязала. Он выпустил одноразовый код на электронную почту на существующем аккаунте и связал нового провайдера только после того, как клиент ввёл этот код. Два метода аутентификации были прикреплены к одному кросс-брендовому профилю только после подтверждения собственности.

    Один и тот же проверенный путь охватывал оба направления связывания. Если клиент создал аккаунт в Google и позже выбрал «Продолжить с Apple» с тем же общим email, система обнаружила существующий аккаунт, отправляла код на почту и связывала Apple после успешной верификации. Наоборот, сначала Share My Email от Apple, а потом Google — разрешились на тот же общий аккаунт через тот же вызов. После привязки клиент мог войти в Apple, Google или использовать электронную почту и пароль в любом случае настройки, и попасть на тот же аккаунт.

    Программа Apple Hide My Email осталась сознательно отдельным путём. Если адрес приватного ретрансляции не совпадает с нераскрытым личным email клиента, личности не подпадали под ссылку на одну и ту же почту. Вместо того чтобы связать реле с несвязанным аккаунтом, платформа показала объяснение с ограниченным доступом и создала отдельный аккаунт для электронной почты. Помимо первого подключения, один и тот же аккаунт имел свой жизненный цикл: клиент мог установить пароль на социальной учетной записи, изменить основную электронную почту (что отключило предыдущий социальный провайдер и требовало повторной проверки), и каждый возвращающийся вход проходил через оценку рисков перед началом сессии.

    Переосмысление

    Совпадающее письмо выглядит как подтверждение личности, но это всего лишь сигнал. Платформа использовала её для открытия верификации, а не для предоставления доступа. Совместимые идентичности Apple и Google были связаны с одной общей учётной записью только после завершения задания с кодом электронной почты, поэтому проверка запускалась при совпадении вместо автоматического объединения двух входов.

    Построенные объекты 04

    Вход в Apple и Google

    Один координатор аутентификации направляет Continue с Apple, Continue с Google и пароль входа во всех девяти брендах.

    Общий кросс-брендовый аккаунт

    Клиент создаёт аккаунт один раз и повторно использует его для каждого бренда, в зависимости от провайдера, через которого он приходит.

    Обнаружение одной и той же электронной почты

    Разрешение идентификации на стороне сервера отмечает, когда электронная почта нового провайдера уже принадлежит существующей учетной записи.

    Вызов кода электронной почты

    Перед тем, как два провайдера будут связаны, необходимо ввести одноразовый код, отправляемый на электронную почту существующего аккаунта.

    Двунаправленное соединение

    Сначала Google, потом Apple, или сначала Apple, затем Google, решаются на одном и том же общем аккаунте через тот же вызов.

    Путь приватного реле Apple

    Скрыть мои адреса электронной почты, которые не совпадают, не связываются; Вместо этого создаётся отдельный аккаунт Relay-email.

    OTP, основанный на риске

    Участники с низким риском проходят сессию; средний, высокий и неопределённый риск требуют OTP по электронной почте перед доступом.

    Блокировка на уровне аккаунта

    Повторяющиеся сбои OTP, кода или пароля блокируют общий аккаунт на всех девяти интерфейсах бренда.

    Настройка пароля для социальных сетей

    Клиенты могут добавить логин по электронной почте и паролю к аккаунту, сначала созданному через социального провайдера.

    Отсоединение провайдера при изменении электронной почты

    Смена основного адреса электронной почты отключает предыдущего социального провайдера и требует повторной проверки провайдера.

    Безопасное восстановление после отказа поставщика

    Сбои сервисов Apple или Google возвращают безопасную ошибку и повторяют попытку, предотвращая частичные или дублированные аккаунты.

    Пароль + социальная парность

    После настройки пароля электронная почта и пароль работают вместе с Apple и Google как одинаковый вход.

    Также поставляются: установка пароля для социальных аккаунтов, электронная почта и пароль как дополнительный вход после настройки, изменения почты с паролем, повторная верификация провайдера после смены почты, обработка неопределённых рисков и стабильный процесс безопасности независимо от того, с какого бренда начинал клиент.

    05 Архитектура

    Девять брендовых опытов питали одного координатора аутентификации. Клиент, прибывший через любой бренд, получал один и тот же поток: продолжать с Apple, продолжать с Google, или использовать электронную почту и пароль. Ответы Apple и Google проходили через проверку ответов провайдера и затем уточнение личности на платформе общей учетной записи, а вход по паролям решался напрямую на общий аккаунт. В отделе Identity Resolution задали два вопроса по порядку: связан ли этот провайдер уже и, если нет, есть ли подходящий аккаунт с той же электронной почтой, к которому можно привязать.

    CustomerNine brand experiencesAuthentication OrchestratorSign-in optionsApple Sign-InShare / Hide My EmailGoogle Sign-InEmail + PasswordProvider responseProvider Response ValidationApple & GooglePassword pathIdentity ResolutionAlready linked? · Same-email?Eligible email matchApple relay emailAlready linkedEmail Code ChallengeCode to existing emailRelay-Email AccountHide My Email · new accountVerified · linkedNew accountShared Cross-Brand AccountActiveRisk CategoryLow · Med · High · Undet.Email One Time PasswordMed / High / undeterminedAuthenticated SessionCross-brand accessMed / HighValidLow risk · Direct sessionSession issuedSigned InAccess all nine brandsRepeated failuresAccount BlockingAll nine brandsAnalytics & Data Layer · events + audit logsSafe recovery · retry

    Оттуда поток разветвился на чётко ограниченные исходы. Подходящий по электронной почте выдавался код связи с существующей электронной почтой аккаунта; После успешной проверки провайдер был связан с поставщиком, а в случае неудачи попытка отклонялась и записывалась в ответ. Электронное письмо Apple, которое не совпадало, направлялось к объяснению с ограниченным доступом и отдельной учетной записи relay-email. После разрешения на общий кросс-брендовый аккаунт проверялся статус: заблокированный аккаунт отображался как заблокированный, активный — в категорию риска. Low risk выпустила аутентифицированную сессию напрямую; средний, высокий и неопределённый риск отправлял OTP на аутентификацию, а повторные неудачные вызовы до фиксированного порога блокировали общий аккаунт всех девяти брендов. Сам аккаунт раскрывал настройки пароля и изменения электронной почты, при этом изменение основного письма отключило предыдущего социального провайдера и требовало повторной проверки провайдера. Сбои сервиса провайдера не создавали частичного состояния: они возвращали безопасную ошибку и повторную попытку, которая возвращалась к тому же оркестратору, поэтому неудачный звонок Apple или Google не привёл к полусвязному или дублирующему аккаунту. Граница связки объединяла три проверки: проверенный ответ провайдера, совместимое совпадение по одному и тому же почтовому почте и успешный вызов кода по электронной почте, а неудачные отправки кода проходили через ту же политику контроля вызовов и блокировки, что и рисковые OTP.

    06 Измерение и аналитика

    Пути идентификации измерялись как воронка от аутентификации провайдера через разрешение, верификацию и выпуск сессии, поэтому падение можно было проследить до стадии, которая его вызвала: ответ провайдера, обнаружение одного и того же письма, вызов кода, оценка риска или блокировка. Имеющиеся данные поддерживали совокупную оценку внедрения — примерно сорок тысяч или сто тысяч ежедневных посетителей на бренд с помощью пути, связанного с Apple, Google или аккаунтом, — но намеренно не преувеличивали то, что не могли выделить. Apple против Google, регистрация против повторного входа, новые связанные аккаунты против ранее связанных аккаунтов, успешные или заброшенные вызовы кода, ретрансляции по электронной почте против общих аккаунтов Apple, а также любое сокращение дублирующихся аккаунтов, мошенничества или контактов с поддержкой оставались неоценёнными до тех пор, пока не стали доступны их базовая аналитика, а не были представлены как точные цифры.

    Метрики внедрения

    Доля ежедневных посетителей на бренд, использующий путешествие через Apple, Google или связанный аккаунт, агрегированная по девяти брендам.

    Воронка верификации

    Ответ поставщика, обнаружение одного и того же письма, отправка кода, верификация кода и связывание провайдера, измерение по этапам.

    Показатели риска и OTP

    Распределение по категориям риска, показатели вызова OTP для среднего, высокого и неопределённого риска, а также успех и отказ от OTP.

    Метрики отказа и блокировки

    Невыполненные коды связывания, рисковые OTP и пароли засчитывались в фиксированный порог и применялись блокировки на уровне аккаунта.

    Метрики поставщика и ретрансляторов

    Ретрансляция электронной почты против общих аккаунтов Apple и сбои сервиса провайдера приводят к безопасному повторному тестированию.

    07 Верификация и принятие решений о рисках

    Слой принятия решений отвечал на последовательность узких вопросов, а не на один ответ «да» или «нет». Этот провайдер уже привязан? Если нет, есть ли подходящий аккаунт с той же электронной почтой, или это адрес Apple, который не подходит для регистрации? Если он имеет право на это, подтвердил ли клиент право собственности через челлендж с кодом электронной почты? И при каждом разрешенном входе какова категория риска аккаунта, и требуется ли для этого OTP перед началом сессии? Низкий риск продолжался до аутентифицированной сессии; средний, высокий и неопределённый риск требовал OTP по электронной почте; а повторяющиеся сбои, будь то код связывания, рисковый OTP или пароль, учитывались через один общий механизм контроля вызовов, который блокировал аккаунт на фиксированном пороге. Риск здесь регулируется трение и прочность проверки; Он не определял идентичность самостоятельно и никогда не заменял доказательство владения, которое закрывало связывание.

    Что требовало связывать и чего она никогда не предполагала

    Связывание аккаунтов было защищено вызовом кода, а не выполнено с помощью сопоставления по электронной почте. Граница сочетала в себе подтвержденный ответ Apple или Google, совместимый аккаунт с одной и той же электронной почтой и успешную проверку электронной почты. Соответствующее письмо открывало путь; Клиенту всё равно нужно было продемонстрировать доступ к электронной почте на существующем аккаунте, прежде чем к одному кросс-брендовому профилю были привязаны два входа.

    Статус и результат 08

    Реализация сделала социальную аутентификацию основным каналом доступа, а не вторичным вариантом входа. Клиенты могли зарегистрироваться в Apple или Google, повторно использовать один и тот же аккаунт во всех девяти брендах, связать совместимые идентификаторы Apple и Google после вызова на кодовое кода электронной почты, добавить пароль в социальный аккаунт и проходить последовательный путь безопасности независимо от того, с какого бренда они начинали. Каждый бренд получал примерно сто тысяч посетителей в день, и примерно сорок тысяч каждый бренд в день использовал путь через Apple, Google или связанный аккаунт: примерно сорок процентов взаимодействия с социальными или связанными доступами. По всем девяти брендам это примерно девятьсот тысяч ежедневных посетителей и около трёхсот шестидесяти тысяч ежедневных социальных или связанных аккаунтов. В результате появилась общая аутентификация, при которой доступ Apple, Google и пароль работали как контролируемые методы вокруг одного кросс-брендового клиентского аккаунта: связывание ограничено верификацией, рискованные входы ограничены OTP, приватный реле обрабатывался отдельно, а повторяющиеся сбои ограничивались блокировкой на уровне учетной записи. Эти показатели приблизительны и основаны на предложенном соотношение; Они объединяют активность в социальных и связанных аккаунтах, а не разделяют каждого провайдера или тип путешествия.

    ~40%

    Ежедневные посетители, использующие социальное или связанное путешествие (по брендам)

    9

    Потребительские бренды на одном общем аккаунте

    ~360K

    Ежедневные путешествия по Apple, Google или связанным аккаунтам

    ~900K

    Общее количество ежедневных посетителей по всей группе

    09 Размышления / Что дальше

    Главным достижением стало отсутствие добавления кнопок Apple и Google. Она разрабатывала системы контроля идентичности, которые делали социальный доступ безопасным и повторно используемым в девяти брендах: платформа могла определить, является ли идентификатор провайдера новым, уже связанным, подходящим для подключения, с помощью приватного реле, с паролем, рискованным или заблокированным, и связывала совместимые личности только после проверки кода электронной почты. Что я бы усилил дальше: разделить аналитику, которая сегодня остаётся объединённой (Apple против Google, регистрация против входа, новая против ранее связанной, вызов успеха и отказ, ретрансляция против общая почта), чтобы воронка могла быть настроена на доказательства, а не на оценках; формализовать определения категорий и пороги модели риска с явным управлением; ужесточить рекомендации по релейным аккаунтам, чтобы клиенты понимали, почему вход в Hide My Email создал отдельный аккаунт; и сохраняйте проверку всех правил по отсоединению и повторной верификации изменений электронной почты. Долгосрочным результатом стал общий уровень аутентификации, где соответствующее письмо инициировало верификацию, а не автоматически предоставлял доступ, а логины Apple, Google и пароли работали как контролируемые, связываемые методы вокруг одного аккаунта кросс-брендового клиента.