GoogleはCredential Manager APIを通じて、Androidのための暗号化された検証済みメール認証情報を導入しました。このAPIはW3Cデジタル認証情報API標準に準拠しています。アプリが認証と認可のためにユーザー認証情報をリクエストして取得するための統一された方法を提供します。
「Credential Manager APIに新しい検証済みメールを統合することにより、オンボーディングの摩擦を減らし、より効率化され安全な認証フローを提供できます。これは、検証がネイティブモバイル体験の一部となるシームレスな未来への転換を反映しています」と、GoogleのシニアデベロッパーリレーションズエンジニアのNiharika AroraとCredential ManagerのプロダクトマネージャーのJean-Pierre Pralleは説明しました。
この機能は個人用Googleアカウントに限定され、Workspaceおよび監督対象のアカウントは除外されます。Android 9(APIレベル28)以上(スマートフォン、タブレット、折りたたみデバイスを含む)でサポートされており、Google Playサービスバージョン25.49.x以降が必要です。
ユーザーはワンタイムパスワードやメールリンクなどの外部チャネルを通じてメールを検証する必要がありません。開発者は検証済みメール請求を直接受け取り、これをアカウント作成、アカウント回復、またはステップアップ認証フローに使用できます。
検証済みメール認証情報は、デバイス上のユーザーのGoogleアカウントから取得されます。基盤となるデジタル認証情報APIは発行者に依存しない設計で、異なるプロバイダーが独自のポリシーに従って認証情報を発行し、アプリがリクエストして検証することができます。
仕組み
Credential Manager APIを通じて認証情報が返され、検証済み請求が含まれている場合、発行者はそのデータを検証したことを示します。アプリは発行者を信頼するかどうかを決定する必要があります。
サインアップ時のメール確認(出典:Google)
ユーザーがメール入力フィールドにフォーカスするか、Credential Manager APIをトリガーする「サインアップ」または「アカウント回復」ボタンをタップすると、検証済みメールアドレスなどのリクエストされたデータを表示するネイティブAndroidボトムシートが表示されます。ユーザーはリクエストを確認し、「同意して続行」をタップしてデータを共有します。同意後、アプリは情報をすぐに受け取ります。
Googleは、将来のサインインを簡素化するために、サインアップ時にユーザーにパスキーの作成を促すことを推奨しています。
重要な考慮事項
メールアドレスのみがGoogleによって検証されます。アプリは名前またはプロフィール画像などの追加のプロフィール情報をリクエストできますが、これらのフィールドは検証されません。
同社は、@gmail.comユーザーを自動的に検証し、Googleによって管理されていないドメインへのアクセスを保持するために、カスタムドメインを持つユーザーを既存の検証フローを通じてルーティングすることを推奨しています。
検証済みメール認証情報機能は「Googleでサインイン」を補完します。開発者はフェデレートログインセッションを作成する際に「Googleでサインイン」を使用する必要があります。検証済みメールはユーザーがユーザー名とパスワード、またはパスキーで認証し、メール検証が必要なフローに適しています。
翻訳元: https://www.helpnetsecurity.com/2026/04/23/android-verified-email-credentials-feature/
