Bestätigte E-Mail-Adresse mit digitalen Anmeldedaten abrufen

In diesem Dokument wird beschrieben, wie Sie mit dem Credential Manager eine kryptografisch bestätigte E-Mail-Adresse vom Gerät eines Nutzers abrufen. Dadurch müssen Ihre App-Nutzer ihre E-Mail-Adresse nicht mehr mit Einmalpasswörtern oder Magic Links bestätigen.

In diesem Dokument werden die folgenden Bereiche erläutert:

  • Android-Kompatibilität
  • Nutzererfahrung
  • Unterstützte Konten
  • Auswirkungen auf die E-Mail-Zustellbarkeit
  • Vergleich mit Über Google anmelden

In diesem Leitfaden wird davon ausgegangen, dass Sie mit den folgenden Konzepten vertraut sind:

Android-Kompatibilität

Diese Funktion wird auf Smartphones, Tablets und faltbaren Geräten mit Android 9 (API-Level 28) und höher unterstützt. Die erforderliche Mindestversion der Google Play-Dienste (GMS) ist 25.49.x.

Nutzererfahrung

In den folgenden Abschnitten wird die Nutzererfahrung während des Bestätigungsvorgangs beschrieben. Außerdem wird erläutert, warum alternative Bestätigungsmethoden erforderlich sind, und es werden Empfehlungen für die Nutzererfahrung in verschiedenen Anwendungsfällen gegeben.

Der Bestätigungsvorgang

So sieht die Nutzererfahrung beim Teilen einer bestätigten E-Mail-Adresse aus:

  1. Der Nutzer fokussiert entweder ein Eingabefeld oder tippt auf eine Schaltfläche, mit der die Credential Manager API aufgerufen wird. Je nach Design des Bildschirms können Sie die API auch beim Laden des Bildschirms Ihrer App aufrufen.

  2. Ein Bottom Sheet wird angezeigt, in dem die Informationen zu sehen sind, die für die App freigegeben werden. Wenn auf dem Gerät keine Informationen verfügbar sind, wird dem Nutzer eine allgemeine Fehlermeldung angezeigt.

  3. Nachdem der Nutzer auf Zustimmen und fortfahren getippt hat, wird eine Erfolgs- oder Fehlermeldung angezeigt.

  4. Optional, empfohlen: Wenn sich der Nutzer für Ihren Dienst registriert, sollten Sie ihn auffordern, einen Passkey zu erstellen, damit er sich später einfacher anmelden kann.

Primäre und alternative Abläufe einbeziehen

Um eine reibungslose Nutzererfahrung zu gewährleisten, sollten Sie auf Bildschirmen, auf denen eine E-Mail-Bestätigung erforderlich ist, die folgenden Optionen einfügen:

  • Primäre Bestätigungsoption: Ein E-Mail-Feld oder eine Schaltfläche, um den Credential Manager API-Ablauf für die schnelle Bestätigung auszulösen.
  • Alternative Bestätigungsoptionen: Ein Link oder eine Schaltfläche für Nutzer, um „Auf andere Weise bestätigen“ oder „Andere Optionen“ für die manuelle E-Mail-Eingabe auszuwählen, falls Fehler auftreten, z. B. wenn auf dem Gerät keine Informationen verfügbar sind oder die abgerufene E-Mail-Adresse nicht der erwarteten E-Mail-Adresse entspricht. Nutzer sollten die Bestätigung mit anderen Anmeldedaten versuchen oder ein manuelles Einmalpasswort angeben können.

Anwendungsfälle

In den folgenden Abschnitten werden die empfohlenen Anwendungsfälle sowie die vorgeschlagene Nutzererfahrung für die E-Mail-Bestätigung beschrieben.

Registrieren

Nutzer können sofort ein Konto mit einer bestätigten E-Mail-Adresse erstellen, ohne dass ein separater Bestätigungsschritt erforderlich ist. Fordern Sie den Nutzer optional auf, einen Passkey hinzuzufügen. Wenn er einen Passkey hinzufügen möchte, lösen Sie den Ablauf zur Passkey-Erstellung aus.

E‑Mail-Bestätigung bei der Registrierung und anschließendes Erstellen von Passkeys
E-Mail-Bestätigung bei der Registrierung

Kontowiederherstellung

Damit Nutzer nicht mehr in ihren Spamordnern nach Wiederherstellungscodes suchen müssen, können sie ihr Konto mit der bestätigten E-Mail-Adresse wiederherstellen, die sicher auf ihrem Gerät gespeichert ist. Schlagen Sie außerdem vor, dass sie einen Passkey für die zukünftige Verwendung erstellen.

E‑Mail-Bestätigung bei der Kontowiederherstellung verwenden
E-Mail-Bestätigung bei der Kontowiederherstellung

Erneute Authentifizierung für sensible Aktionen

Schützen Sie sensible Nutzeraktionen wie das Ändern von Einstellungen oder das Aktualisieren von Profildetails, indem Sie einen schnellen Schritt zur erneuten Authentifizierung erfordern.

E‑Mail-Bestätigung bei der erneuten Authentifizierung verwenden
E-Mail-Bestätigung bei der erneuten Authentifizierung

Unterstützte Konten

Die E-Mail-Bestätigung über den Credential Manager unterstützt nur die Bestätigung von privaten Google-Konten. Arbeitsbereichskonten und gemeinsam verwaltete Konten werden nicht unterstützt.

Ein privates Google-Konto kann mit einer E-Mail-Adresse von einem beliebigen Anbieter erstellt werden, nicht unbedingt mit einer @gmail.com-Adresse. Google bestätigt diese Konten jedoch auf unterschiedliche Weise:

  • Bei @gmail.com-Konten ist Google die maßgebliche Quelle und die E-Mail-Adresse ist bestätigt.
  • Bei Konten, die keine @gmail.com-Adresse verwenden, ist Google langfristig nicht die maßgebliche Quelle für diese E-Mail-Adressen. Google bestätigt die E-Mail-Adresse zwar bei der Kontoerstellung, aber das Eigentum an dieser E-Mail-Adresse kann sich im Laufe der Zeit ändern. Daher sollten Sie für Adressen, die keine @gmail.com-Adresse verwenden, einen zusätzlichen Bestätigungsschritt in Betracht ziehen, z. B. das Senden eines Einmalpassworts, um sicherzustellen, dass der Nutzer weiterhin Zugriff auf das E-Mail-Konto hat.

Weitere Informationen dazu, was die Bestätigung bedeutet, finden Sie unter Digitale Anmeldedaten.

Gültigkeit und Aktualität

Das System stellt bestätigbare Anmeldedaten basierend auf der aktuellen E-Mail-Adresse des Nutzers aus den aktiven Google-Konten auf dem Gerät aus. Diese Anmeldedaten werden im Voraus auf dem Gerät ausgestellt, in der Regel, wenn das Gerät inaktiv ist. Diese Anmeldedaten sind möglicherweise mehrere Tage gültig. Das System führt jedoch zum Zeitpunkt der Freigabe der Anmeldedaten eine Überprüfung durch, um sicherzustellen, dass das Konto noch vorhanden ist, sich auf dem Gerät befindet und die E-Mail-Adresse gültig ist. Dabei wird der aktuelle Status des Kontos gegenüber dem Gültigkeitszeitraum der Anmeldedaten priorisiert.

Um die Authentizität zu gewährleisten, wird zum Zeitpunkt der Freigabe eine Key Binding-Signatur generiert, in die die Nonce eingebunden wird.

Wenn ein Gerät offline ist oder das Konto entfernt wurde, schlägt der Vorgang fehl, anstatt abgelaufene bestätigbare Anmeldedaten oder bestätigbare Anmeldedaten für ein inaktives Google-Konto bereitzustellen.

E-Mail-Zustellbarkeit

Durch den Vorgang wird die Legitimität des Kontos bestätigt, aber die Zustellung im Posteingang wird nicht garantiert. Die E-Mail wird beispielsweise möglicherweise in den Spamordner weitergeleitet. Ein Einmalpasswort ist weiterhin die endgültige Methode, um die E-Mail-Zustellbarkeit zu bestätigen.

Vergleich mit „Über Google anmelden“

Sowohl digitale Anmeldedaten als auch „Über Google anmelden“ bieten eine bestätigte E-Mail-Adresse, aber die Nutzerabläufe und Anwendungsfälle sind unterschiedlich:

  • Anwendungsfälle: Der E-Mail-Bestätigungsvorgang des Credential Managers wird nicht ausschließlich für die Registrierung oder Anmeldung verwendet, sondern kann in jedem Anwendungsfall verwendet werden, bei dem eine bestätigte E-Mail-Adresse abgerufen wird. Dazu kann auch die Kontowiederherstellung gehören.
  • Registrierung: Für den Anmeldedaten-Manager-Ablauf ist im Gegensatz zu „Über Google anmelden“ keine Google Registrierung erforderlich.
  • Plattformunterstützung: Der Credential Manager-Ablauf ist eine reine Android-Lösung.
  • Bereiche: Im Gegensatz zu „Über Google anmelden“, bei dem mit OAuth 2.0 der Zugriff auf Nutzerdaten (z. B. Kalender oder Drive über Bereiche) angefordert werden kann, dient die Digital Credentials API ausschließlich zum Abrufen bestätigter Identitätsattribute. Sie kann nicht verwendet werden, um zusätzliche Autorisierungsbereiche anzufordern.

Nächste Schritte

Informationen zum Implementieren dieser Funktion in Ihrer App finden Sie im Implementierungsleitfaden.