01 Kontextur & Problem
En konsumentgrupp drev nio separata varumärken på en gemensam kundplattform. En kund kan skapa ett konto en gång och återanvända det överallt, genom att logga in med Apple, Google eller e-post och lösenord. Social inloggning var tänkt att vara en primär väg in, inte en sekundär bekvämlighet, så samma person anlände ofta via olika leverantörer vid olika tidpunkter: Google på ett varumärke, Apple på ett annat, ett lösenord senare.
Den flexibiliteten skapade ett identitetsproblem. När en kund loggade in med en ny Apple- eller Google-identitet vars e-post redan tillhörde ett befintligt konto, var plattformen tvungen att bestämma vad som skulle göras. Att koppla de två automatiskt på en e-postmatchning enbart vore osäkert: en matchande e-postadress antyder en relation, men det bevisar inte att personen som loggar in faktiskt kontrollerar inkorgen. Plattformen behövde ett sätt att koppla kompatibla Apple- och Google-identiteter till ett gemensamt konto utan att någonsin ge tillgång till en e-postmatchning för sig själv, och att göra det konsekvent över alla nio varumärken, inklusive de besvärliga fallen: Apples privata reläadresser, lösenordsaktiverade konton, riskfyllda inloggningar och avbrott i leverantörer.
02 Roll och begränsningar
Som AI Product Manager ägde jag identitets- och kontolänkningsdesignen från början till slut: autentiseringsresorna över alla nio varumärken, logiken för detektering och lösning av samma e-post, verifieringsmodellen som låste länkningen, riskbaserad utmaningspolicy, hantering av privata reläer, avkopplings- och återverifieringsregler för e-poständringar, blockeringspolicyn och säkerhetsfelbeteendet vid operatörsavbrott. Den vägledande principen var att e-postmatchning kunde initiera en länkningsresa men aldrig slutföra den. Kunden var alltid tvungen att visa åtkomst till e-postadressen kopplad till det befintliga kontot innan två autentiseringsmetoder kopplades till en profil.
Begränsningarna var konkreta. Länkningen var tvungen att vara tvåvägs och ordningsoberoende: Google först och sedan Apple, eller Apple först och sedan Google, var tvungna att nå samma gemensamma konto. Apples 'Dölj min e-post' var tvungen att hanteras separat, eftersom en privat reläadress som inte stämde med kundens riktiga konto-e-post inte tyst får länkas till det kontot. Verifiering var tvungen att återanvända samma kodutmaningsmekanism som redan var betrodd för autentisering vid hög risk, så att kopplingar av ärvda beprövade kontroller istället för att uppfinna nya. Risk måste modulera friktionen: lågriskinloggningar ska förbli friktionsfria medan medel, hög och obestämd risk kräver OTP. Upprepade misslyckanden måste begränsas genom en blockeringspolicy som gällde på kontonivå, över varje varumärke, inte per varumärke. Och leverantörsfel måste vara felsäkra, så att kunden aldrig fick ett delvis eller duplicert konto.
03 Produktmetod
Den grundläggande omformuleringen var att behandla en e-postmatchning som början på en verifieringsresa, inte som bevis på ägande. När Apple eller Google autentiserade en kund löstes leverantörens svar och dess e-post server-side mot plattformen för delat konto. Om e-postadressen matchade ett befintligt konto hade plattformen ännu inte länkat något. Den gav en engångskod till e-postadressen på det befintliga kontot och kopplade den nya leverantören först efter att kunden angett koden. Två autentiseringsmetoder kopplades till en varumärkesoberoende profil först när ägandet hade bevisats.
Samma verifierade väg täckte båda länkriktningarna. Om en kund skapade ett konto hos Google och senare valde Fortsätt med Apple med samma delade e-post, upptäckte systemet det befintliga kontot, skickade en kod till sin e-post och kopplade Apple efter framgångsrik verifiering. Omvänt, Apples Dela min e-post först och Google senare, löstes till samma delade konto genom samma utmaning. Efter att ha länkat kunde kunden logga in med Apple, Google eller med e-post och lösenord där det var konfigurerat, och hamna på samma konto.
Apples Hide My Email höll sig medvetet som en separat väg. När den privata reläadressen inte stämde överens med kundens okända personliga e-postadress, var identiteterna inte berättigade för länkning av samma e-postadress. Istället för att koppla reläet till ett orelaterat konto visade plattformen en begränsad åtkomst och skapade ett separat relä-e-postkonto. Utöver första kopplingen hade samma konto sin egen livscykel: en kund kunde sätta ett lösenord på ett socialt konto, ändra primär e-postadress (vilket kopplade bort den tidigare sociala leverantören och krävde omverifiering), och varje återkommande inloggning gick ändå igenom riskutvärdering innan en session utfärdades.
Ett matchande mejl ser ut som identitetsbevis, men det är bara en signal. Plattformen använde det för att öppna en verifieringsresa, aldrig för att ge tillgång. Kompatibla Apple- och Google-identiteter kopplades till ett gemensamt konto först efter att kunden slutfört en e-postkodutmaning, så en matchning initierade verifiering istället för att automatiskt slå ihop två inloggningar.
04 Byggda funktioner
Apple & Google-inloggning
En autentiseringsorkestrator leder Continue with Apple, Continue with Google och lösenordsinloggning över alla nio varumärken.
Delat varumärkesoberoende konto
En kund skapar ett konto en gång och återanvänder det för varje varumärke, oavsett vilken leverantör de kommer igenom.
Detektering av samma e-post
Server-side identitetslösning flaggar när en ny leverantörs e-post redan tillhör ett befintligt konto.
E-postkodsutmaning
En engångskod som skickas till det befintliga kontots e-post måste anges innan två leverantörer kopplas samman.
Tvåvägslänkning
Google-först och sedan Apple, eller Apple-först och sedan Google, löser sig till samma delade konto genom samma utmaning.
Apple privatrelä-väg
Dölj mina e-postadresser som inte matchar är inte länkade; Ett separat relä-e-postkonto skapas istället.
Riskbaserad OTP
Lågriskinloggningar får en session; medel, hög och obestämd risk kräver en e-post-OTP innan åtkomst.
Blockering på kontonivå
Upprepade OTP-, kod- eller lösenordsfel blockerar det delade kontot över alla nio varumärkesgränssnitt.
Lösenordsinställning för sociala medier
Kunder kan lägga till e-post och lösenordsinloggning till ett konto som först skapats via en social leverantör.
Leverantörsavkoppling vid e-poständring
Att ändra primär e-postadress kopplar bort den tidigare sociala leverantören och kräver omverifiering av leverantören.
Säker återställning efter leverantörsfel
Misslyckanden med Apple- eller Google-tjänster ger ett säkert felmeddelande och försöker igen, vilket förhindrar partiella eller dubbletter av konton.
Lösenord + social paritet
När ett lösenord är konfigurerat fungerar e-post och lösenord tillsammans med Apple och Google som en lika inloggning.
Levererat också: lösenordsinställning för sociala konton, e-post och lösenord som en extra inloggning när de är konfigurerade, lösenordsstyrda e-poständringar, leverantörsverifiering efter e-postbyte, hantering av obestämda risker och en konsekvent säkerhetsresa oavsett vilket varumärke kunden startade från.
05 Arkitektur
Nio varumärkesupplevelser matade en autentiseringsorkestrator. En kund som anlände via något varumärke dirigerades till samma flöde: fortsätt med Apple, fortsätt med Google, eller e-post och lösenord. Apple- och Google-svar gick igenom validering av leverantörens svar och sedan identitetslösning mot plattformen för det delade kontot, medan inloggningar med lösenord gick direkt till det delade kontot. Identity Resolution ställde två frågor i ordning: är denna leverantör redan kopplad, och om inte, finns det ett berättigat konto med samma e-postadress att länka till.
Därifrån förgrenade sig flödet till tydligt avgränsade utfall. En berättigad e-postmatchning gav en länkkod till det befintliga kontots e-post; Vid framgångsrik verifiering kopplades leverantören, vid misslyckande avvisades försöket och registrerades. Ett Apple-relämejl som inte stämde överens omdirigerade till en begränsad åtkomst och ett separat relä-e-postkonto. När kontot hade blivit löst till ett delat cross-brand konto kontrollerades statusen: ett blockerat konto visades som blockerat, ett aktivt konto bedömdes i en riskkategori. Low risk utfärdade en autentiserad session direkt; medel, hög och obestämd risk skickade en autentiserings-OTP, och upprepade misslyckade utmaningar, upp till en fast tröskel, blockerade det delade kontot över alla nio varumärken. Kontot exponerade lösenordsinställning och e-poständringar, där ändring av primär e-post kopplade bort den tidigare sociala leverantören och krävde omverifiering av leverantören. Tjänstefel hos leverantörer skapade inte delstatus: de returnerade ett säkert fel och ett nytt försök som gick tillbaka till samma orkestrator, så ett misslyckat Apple- eller Google-samtal resulterade aldrig i ett halvt länkat eller duplicert konto. Länkningsgränsen kombinerade tre kontroller: ett validerat svar från leverantören, en kompatibel matchning med samma e-post och en lyckad e-postkodutmaning, och misslyckade kodinlämningar gick igenom samma utmaningskontroll- och blockeringspolicy som risk-OTP:er.
06 Mätning och analys
Identitetsresorna mättes som en tratt, från leverantörsautentisering via lösning, verifiering och sessionsutdelning, så ett fall kunde spåras till det steg som orsakade det: leverantörens svar, detektering av samma e-post, kodutmaning, riskbedömning eller blockering. De tillgängliga uppgifterna stödde en sammanlagd uppskattning av adoptionen, ungefär fyrtio tusen till hundratusen dagliga besökare per varumärke via en Apple-, Google- eller kontokopplad resa, men de överdrev medvetet inte vad de inte kunde separera. Apple kontra Google, registrering kontra återkommande inloggning, nylänkade kontra tidigare länkade konton, framgångsrika kontra övergivna kodutmaningar, relä-e-post kontra delad e-post Apple-konton, och eventuella duplicerade konton, bedrägerier eller minskning av supportkontakter lämnades okvantifierade tills deras underliggande analys var tillgänglig, istället för att rapporteras som exakta siffror.
Adoptionsmått
Andelen av dagliga besökare per varumärke med en Apple-, Google- eller länkad kontoresa, aggregerad över de nio varumärkena.
Verifieringstratten
Leverantörsrespons, detektering av samma e-post, kod skickad, kodverifiering och leverantörslänk, mätt steg för steg.
Risk- och OTP-mått
Riskkategorifördelning, OTP-utmaningsnivåer för medel, hög och obestämd risk samt OTP:s framgång och övergivande.
Misslyckande och blockeringsmått
Misslyckade länkkoder, risk-OTP:er och lösenord räknades mot den fasta tröskeln och kontonivåblockeringar som tillämpades.
Leverantörs- och relämetrik
Relä-e-post kontra delad e-post Apple-konton och fel på leverantörstjänster som skickas till säker återförsök.
07 Verifiering och riskbeslut
Beslutslagret svarade på en serie snäva frågor snarare än ett enda ja eller nej. Är denna leverantör redan kopplad? Om inte, finns det ett berättigat konto med samma e-postadress, eller är det en Apple-reläadress som inte är berättigad? Om det är berättigat, har kunden bevisat äganderätt genom e-postkodsutmaningen? Och vid varje löst inloggning, vad är kontots riskkategori, och kräver det en OTP innan en session utfärdas? Låg risk fortsatte till en autentiserad session; medel, hög och obestämd risk krävde en e-post-OTP; och upprepade fel, vare sig det var på en länkkod, en risk-OTP eller ett lösenord, räknades genom en gemensam utmaningskontrollmekanism som blockerade kontot vid en fast tröskel. Risk här modulerade friktions- och verifieringsstyrka; Den bestämde inte identiteten själv, och ersatte aldrig ägarbeviset som låste länkningen.
Kontolänkning skyddades av en kodutmaning, inte slutförd genom en mejlmatchning. Gränsen kombinerade ett validerat Apple- eller Google-svar, ett kompatibelt konto med samma e-post och en lyckad e-postverifiering. Ett matchande mejl inledde resan; Kunden var fortfarande tvungen att visa åtkomst till e-posten på det befintliga kontot innan två inloggningar kopplades till en varumärkesoberoende profil.
08 Status och resultat
Implementeringen etablerade social autentisering som en huvudåtkomstkanal istället för ett sekundärt inloggningsalternativ. Kunder kunde registrera sig hos Apple eller Google, återanvända samma konto över alla nio varumärken, koppla kompatibla Apple- och Google-identiteter efter en e-postkodsutmaning, lägga till ett lösenord på ett socialt konto och gå igenom en konsekvent säkerhetsresa oavsett vilket märke de började från. Varje varumärke fick ungefär hundratusen dagliga besökare, och ungefär fyrtio tusen per varumärke per dag använde en Apple-, Google- eller länkad kontoresa: uppskattningsvis fyrtio procents engagemang med sociala medier eller länkad tillgång. Över alla nio varumärken motsvarar det cirka niohundratusen dagliga besökare och omkring trehundrasextiotusen dagliga sociala eller länkade kontoresor. Resultatet blev en gemensam autentiseringsgrund där Apple, Google och lösenordsåtkomst fungerade som kontrollerade metoder runt ett kryssvarumärkeskonto för kunder, med koppling som var låst genom verifiering, riskfyllda inloggningar via OTP, privat relä hanterad separat och upprepade fel som begränsades av kontonivåblockering. Dessa siffror är ungefärliga och baserade på det angivna förhållandet; De kombinerar social och länkad kontoaktivitet istället för att separera varje leverantör eller resetyp.
~40%
Dagliga besökare som använder en social eller länkad resa (per varumärke)
9
Konsumentvarumärken på ett gemensamt konto
~360K
Dagliga resor med Apple, Google eller kopplade konton
~900K
Totalt antal dagliga besökare i hela gruppen
09 Reflektion / Vad händer härnäst
Den avgörande prestationen var att inte lägga till Apple- och Google-knappar. Den byggde identitetskontrollerna som gjorde social åtkomst säker och återanvändbar över nio varumärken: plattformen kunde avgöra om en leverantörsidentitet var ny, redan länkad, berättigad att länka, använda en privat relä, lösenordsaktiverad, riskfylld eller blockerad, och den kopplade kompatibla identiteter först efter en e-postkodsutmaning. Vad jag skulle stärka härnäst: separera de analyser som idag förblir kombinerade (Apple mot Google, registrering kontra inloggning, ny mot tidigare länkad, utmaning om framgång kontra övergivenhet, relay mot delad e-post) så att tratten kan justeras med bevis snarare än uppskattningar; formalisera riskmodellens kategoridefinitioner och trösklar med explicit styrning; skärpa vägledningen för reläkonton så att kunder förstår varför en inloggning för Hide My Mail skapade ett separat konto; och håll reglerna för avkoppling och omverifiering av e-poständringar granskabara från början till slut. Det bestående resultatet blev ett delat autentiseringslager där ett matchande e-postmeddelande initierade verifiering istället för att automatiskt ge åtkomst, och Apple-, Google- och lösenordsinloggningar fungerade som kontrollerade, länkbara metoder runt ett enda kryssvarumärkeskonto.
