Merci d'avoir participé à Google I/O ! Regarder des contenus à la demande

Clés d'accès sécurisées et fluides: checklist de déploiement

Eiji Kitamura

Publié le 5 juin 2025

Les clés d'accès sont conçues pour révolutionner l'expérience de connexion en offrant une alternative plus simple, plus rapide et plus sécurisée aux mots de passe. Cette checklist vous guidera à travers les aspects clés de l'implémentation des clés d'accès pour obtenir une expérience utilisateur optimale.

Comment utiliser cette checklist

Cette checklist est destinée aux développeurs et aux équipes produit qui implémentent des clés d'accès dans leurs flux d'authentification. Utilisez-la pour :

vérifier que votre implémentation respecte les bonnes pratiques modernes en matière d'expérience utilisateur pour les clés d'accès, décrites dans les articles suivants ;
identifier les éléments obligatoires et facultatifs qui améliorent la facilité d'utilisation, la sécurité et la compatibilité ;
vérifier votre implémentation pendant le développement et avant le déploiement ;
vous conformer aux bonnes pratiques qui favorisent l'adoption par les utilisateurs et l'interopérabilité du système.

Cela vous aidera à offrir une expérience fluide et sécurisée aux utilisateurs finaux.

Enregistrement des clés d'accès

Pour passer facilement des mots de passe aux clés d'accès sur votre site Web, il est essentiel de disposer d'une fonctionnalité d'enregistrement sophistiquée. Suivez les instructions décrites dans Créer une clé d'accès pour les connexions sans mot de passe afin de créer une fonctionnalité d'enregistrement des clés d'accès sur votre site Web. Voici les éléments à vérifier en plus des fonctionnalités de base d'enregistrement des clés d'accès :

✅ Spécifiez "platform" comme valeur de pièce jointe de l'authentificateur à transmettre à navigator.credentials.create() pour une création de clé d'accès promue.

Fournissez un flux de création de clés d'accès optimisé et fluide pour ceux qui créent une clé d'accès de manière réactive.

✅ Vérifiez l'utilisateur avec la méthode d'authentification la plus puissante disponible avant de l'autoriser à créer une clé d'accès.

Cela est important pour empêcher un pirate informatique de créer une clé d'accès sur un compte piraté.

✅ Empêchez la création de clés d'accès en double pour le même fournisseur de clés d'accès à l'aide de excludeCredentials.

De nombreux fournisseurs de clés d'accès n'acceptent qu'une seule clé d'accès par compte et ID RP. Évitez de créer des doublons.

✅ Utilisez l'AAGUID pour identifier le fournisseur de clés d'accès et nommer les identifiants pour l'utilisateur.

Associer une clé d'accès à son fournisseur est un moyen intuitif de présenter un identifiant lorsque cela est possible.

✅ Indiquez si une tentative d'enregistrement d'une clé d'accès échoue avec PublicKeyCredential.signalUnknownCredential().

Les clés d'accès non valides peuvent être source de confusion. Informez le fournisseur de clés d'accès si le serveur n'a pas réussi à enregistrer une clé d'accès.

✅ Envoyez une notification à l' utilisateur après avoir créé et enregistré une clé d'accès pour son compte.

Assurez-vous que l'utilisateur est informé de la création d'une clé d'accès, en particulier lorsqu'elle est effectuée par une autre personne.

Authentification par clé d'accès

Il peut être difficile de prendre en charge les utilisateurs de mots de passe et les utilisateurs de clés d'accès sans friction minimale. Suivez les instructions décrites dans Se connecter avec une clé d'accès via le remplissage automatique de formulaire pour créer une fonctionnalité de remplissage automatique de formulaire de clé d'accès sur votre site Web. Voici les éléments à vérifier en plus des fonctionnalités de base d'authentification par clé d'accès :

✅ Autorisez les utilisateurs à se connecter avec une clé d'accès via le formulaire de remplissage automatique.

Si votre site Web passe des mots de passe aux clés d'accès, la meilleure approche pour prendre en charge les deux types d'utilisateurs consiste à utiliser la fonctionnalité de remplissage automatique de formulaire du navigateur.

✅ Indiquez quand les identifiants correspondants d'une clé d'accès ne sont pas trouvés sur le backend avec PublicKeyCredential.signalUnknownCredential().

Les clés d'accès non valides peuvent être source de confusion. Indiquez au fournisseur de clés d'accès quelle clé d'accès n'est pas utilisable afin qu'il puisse la supprimer.

✅ Invitez les utilisateurs à créer manuellement une clé d'accès s'ils n'en ont pas créé après une connexion.

Si l'utilisateur n'a pas encore créé de clé d'accès, encouragez-le à en créer une.

✅ Créez automatiquement une clé d'accès (création conditionnelle) une fois que l'utilisateur s'est connecté avec un mot de passe (et un deuxième facteur).

Accélérez l'adoption des clés d'accès par les utilisateurs.

✅ Demandez la création d'une clé d'accès locale si l'utilisateur s'est connecté avec une clé d'accès multi-appareil.

La création d'une clé d'accès locale permet à l'utilisateur de se connecter sans scanner de code QR la prochaine fois.

✅ Signalez la liste des clés d'accès disponibles et les informations utilisateur mises à jour (nom d'utilisateur, nom à afficher) au fournisseur après la connexion.

La synchronisation de la liste des clés d'accès et des informations utilisateur entre le serveur et le fournisseur de clés d'accès améliore l'expérience utilisateur.

Gestion des clés d'accès

Une bonne compréhension des clés d'accès permet aux utilisateurs de mieux comprendre le paysage et de contrôler les clés d'accès. Suivez les instructions décrites dans Aider les utilisateurs à gérer efficacement les clés d'accès pour créer une fonctionnalité de gestion des clés d'accès sur votre site Web. Voici les éléments à vérifier :

✅ Autorisez les utilisateurs à gérer les clés d'accès sur une page de gestion des clés d'accès.

Créez un emplacement centralisé où les utilisateurs peuvent gérer leurs clés d'accès.

✅ Autorisez l'enregistrement de plusieurs clés d'accès.

La possibilité d'enregistrer plusieurs clés d'accès permet aux utilisateurs d'éviter d'être bloqués sans avoir à recourir à une méthode d'authentification plus faible.

✅ Autorisez les utilisateurs à ajouter de nouveaux types de clés d'accès flexibles sur la page de gestion.

✅ Affichez le nom de la clé d'accès.

Nommez les clés d'accès en fonction de l'AAGUID et fournissez une représentation visuelle tangible des clés d'accès de l'utilisateur.

✅ Indiquez si une clé d'accès peut être synchronisée ou non synchronisée.

Informez l'utilisateur lorsqu'une clé d'accès n'est pas synchronisée.

✅ Autorisez les utilisateurs à supprimer une clé publique du serveur.

✅ Signalez la liste des clés d'accès lorsqu'une clé publique associée est supprimée du serveur.

La synchronisation de la liste des clés d'accès entre le serveur et le fournisseur de clés d'accès améliore l'expérience utilisateur.

Exemple de page de gestion des clés d'accès montrant les bonnes pratiques. — Exemple de page de gestion des clés d'accès présentant les bonnes pratiques.

Informations complémentaires

✅ Signalez les informations utilisateur mises à jour (nom d'utilisateur, nom à afficher) lorsque l'utilisateur les met à jour.

✅ Créez une clé d’accès au lieu d’un nouveau mot de passe lorsqu’un utilisateur clique sur « Mot de passe oublié ».

Clés d'accès sécurisées et fluides: checklist de déploiement Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.