Connessione a servizi non Google da un componente aggiuntivo di Google Workspace

Il tuo progetto Google Workspace componente aggiuntivo può collegarsi direttamente a molti prodotti Google con i servizi integrati e avanzati di Apps Script.

Puoi anche accedere ad API e servizi non Google. Se il servizio non richiede l'autorizzazione, di solito puoi semplicemente effettuare una richiesta UrlFetch appropriata e far interpretare la risposta al componente aggiuntivo.

Tuttavia, se il servizio non Google richiede l'autorizzazione, dovrai configurare OAuth per tale servizio. Puoi semplificare questo processo utilizzando la libreria OAuth2 per Apps Script (esiste anche una versione OAuth1).

Utilizzo di un servizio OAuth

Quando utilizzi un oggetto OAuth per connetterti a un servizio non Google, ilGoogle Workspace componente aggiuntivo deve rilevare quando è richiesta l'autorizzazione e, in tal caso, richiamare il flusso di autorizzazione.

Il flusso di autorizzazione è costituito da:

  1. Avvisare l'utente dell'autenticazione e fornire un link per avviare la procedura.
  2. Acquisizione dell'autorizzazione dal servizio non Google.
  3. Aggiornamento del componente aggiuntivo per riprovare ad accedere alla risorsa protetta.

Quando è necessaria un'autorizzazione non Google, l'Google Workspace infrastruttura aggiuntiva gestisce questi dettagli. Il componente aggiuntivo deve rilevare solo quando è necessaria l'autorizzazione e richiamare il flusso di autorizzazione quando necessario.

Rilevamento della necessità dell'autorizzazione

Una richiesta potrebbe non disporre dell'autorizzazione per accedere a una risorsa protetta per diversi motivi, tra cui:

  • Il token di accesso non è stato ancora generato o è scaduto.
  • Il token di accesso non riguarda la risorsa richiesta.
  • Il token di accesso non copre gli ambiti richiesti della richiesta.

Il codice del componente aggiuntivo dovrebbe rilevare questi casi. La funzione OAuth libreria hasAccess() consente di sapere se al momento hai accesso a un servizio. In alternativa, quando utilizzi le richieste UrlFetchApp fetch(), puoi impostare il parametro muteHttpExceptions su true. Ciò impedisce alla richiesta di generare un'eccezione sul tentativo non riuscito e ti consente di esaminare il codice di risposta della richiesta e i contenuti nell'oggetto HttpResponse restituito.

Quando il componente aggiuntivo rileva la necessità di un'autorizzazione, dovrebbe attivarne la procedura.

Richiamare il flusso dell'autorizzazione

Puoi richiamare il flusso di autorizzazione utilizzando il servizio Card per creare un oggetto AuthorizationException, impostarne le proprietà e chiamare la funzione throwException(). Prima di generare l'eccezione, fornisci le seguenti informazioni:

  1. Obbligatorio. Un URL di autorizzazione. È specificato dal servizio non Google ed è la località a cui l'utente viene indirizzato quando inizia il flusso di autorizzazione. Puoi impostare questo URL utilizzando la funzione setAuthorizationUrl().
  2. Obbligatorio. Una stringa del nome visualizzato della risorsa. Identifica la risorsa all'utente quando viene richiesta l'autorizzazione. Puoi impostare questo nome utilizzando la funzione setResourceDisplayName().
  3. Il nome di una funzione di callback che crea un messaggio di autorizzazione personalizzato. Questo callback restituisce un array di oggetti Card creati che compongono una UI per gestire l'autorizzazione. Questa operazione è facoltativa; se non è impostata, viene utilizzata la carta di autorizzazione predefinita. Puoi impostare la funzione di callback utilizzando la funzione setCustomUiCallback().

Esempio di configurazione OAuth non Google

Questo esempio di codice mostra come configurare un componente aggiuntivo per utilizzare un'API non Google che richiede OAuth. Utilizza OAuth2 per Apps Script per creare un servizio di accesso all'API.

/**
 * Attempts to access a non-Google API using a constructed service
 * object.
 *
 * If your add-on needs access to non-Google APIs that require OAuth,
 * you need to implement this method. You can use the OAuth1 and
 * OAuth2 Apps Script libraries to help implement it.
 *
 * @param {String} url         The URL to access.
 * @param {String} method_opt  The HTTP method. Defaults to GET.
 * @param {Object} headers_opt The HTTP headers. Defaults to an empty
 *                             object. The Authorization field is added
 *                             to the headers in this method.
 * @return {HttpResponse} the result from the UrlFetchApp.fetch() call.
 */
function accessProtectedResource(url, method_opt, headers_opt) {
  var service = getOAuthService();
  var maybeAuthorized = service.hasAccess();
  if (maybeAuthorized) {
    // A token is present, but it may be expired or invalid. Make a
    // request and check the response code to be sure.

    // Make the UrlFetch request and return the result.
    var accessToken = service.getAccessToken();
    var method = method_opt || 'get';
    var headers = headers_opt || {};
    headers['Authorization'] =
        Utilities.formatString('Bearer %s', accessToken);
    var resp = UrlFetchApp.fetch(url, {
      'headers': headers,
      'method' : method,
      'muteHttpExceptions': true, // Prevents thrown HTTP exceptions.
    });

    var code = resp.getResponseCode();
    if (code >= 200 && code < 300) {
      return resp.getContentText("utf-8"); // Success
    } else if (code == 401 || code == 403) {
       // Not fully authorized for this action.
       maybeAuthorized = false;
    } else {
       // Handle other response codes by logging them and throwing an
       // exception.
       console.error("Backend server error (%s): %s", code.toString(),
                     resp.getContentText("utf-8"));
       throw ("Backend server error: " + code);
    }
  }

  if (!maybeAuthorized) {
    // Invoke the authorization flow using the default authorization
    // prompt card.
    CardService.newAuthorizationException()
        .setAuthorizationUrl(service.getAuthorizationUrl())
        .setResourceDisplayName("Display name to show to the user")
        .throwException();
  }
}

/**
 * Create a new OAuth service to facilitate accessing an API.
 * This example assumes there is a single service that the add-on needs to
 * access. Its name is used when persisting the authorized token, so ensure
 * it is unique within the scope of the property store. You must set the
 * client secret and client ID, which are obtained when registering your
 * add-on with the API.
 *
 * See the Apps Script OAuth2 Library documentation for more
 * information:
 *   https://github.com/googlesamples/apps-script-oauth2#1-create-the-oauth2-service
 *
 *  @return A configured OAuth2 service object.
 */
function getOAuthService() {
  return OAuth2.createService('SERVICE_NAME')
      .setAuthorizationBaseUrl('SERVICE_AUTH_URL')
      .setTokenUrl('SERVICE_AUTH_TOKEN_URL')
      .setClientId('CLIENT_ID')
      .setClientSecret('CLIENT_SECRET')
      .setScope('SERVICE_SCOPE_REQUESTS')
      .setCallbackFunction('authCallback')
      .setCache(CacheService.getUserCache())
      .setPropertyStore(PropertiesService.getUserProperties());
}

/**
 * Boilerplate code to determine if a request is authorized and returns
 * a corresponding HTML message. When the user completes the OAuth2 flow
 * on the service provider's website, this function is invoked from the
 * service. In order for authorization to succeed you must make sure that
 * the service knows how to call this function by setting the correct
 * redirect URL.
 *
 * The redirect URL to enter is:
 * https://script.google.com/macros/d/<Apps Script ID>/usercallback
 *
 * See the Apps Script OAuth2 Library documentation for more
 * information:
 *   https://github.com/googlesamples/apps-script-oauth2#1-create-the-oauth2-service
 *
 *  @param {Object} callbackRequest The request data received from the
 *                  callback function. Pass it to the service's
 *                  handleCallback() method to complete the
 *                  authorization process.
 *  @return {HtmlOutput} a success or denied HTML message to display to
 *          the user. Also sets a timer to close the window
 *          automatically.
 */
function authCallback(callbackRequest) {
  var authorized = getOAuthService().handleCallback(callbackRequest);
  if (authorized) {
    return HtmlService.createHtmlOutput(
      'Success! <script>setTimeout(function() { top.window.close() }, 1);</script>');
  } else {
    return HtmlService.createHtmlOutput('Denied');
  }
}

/**
 * Unauthorizes the non-Google service. This is useful for OAuth
 * development/testing.  Run this method (Run > resetOAuth in the script
 * editor) to reset OAuth to re-prompt the user for OAuth.
 */
function resetOAuth() {
  getOAuthService().reset();
}

Creazione di una richiesta di autorizzazione personalizzata

scheda di autorizzazione di un servizio non Google

Per impostazione predefinita, un prompt di autorizzazione non ha alcun branding e utilizza solo la stringa del nome visualizzato per indicare la risorsa a cui il componente aggiuntivo sta tentando di accedere. Il componente aggiuntivo, tuttavia, può definire una scheda di autorizzazione personalizzata che abbia lo stesso scopo e possa includere informazioni aggiuntive e un branding.

Puoi definire un prompt personalizzato implementando una funzione di callback dell'interfaccia utente personalizzata che restituisce un array di oggetti Card creati. Questo array deve contenere una sola scheda. Se ne vengono fornite altre, le intestazioni verranno visualizzate in un elenco e potrebbero creare un'esperienza utente poco chiara.

La carta restituita deve:

  • Comunica all'utente che il componente aggiuntivo richiede l'autorizzazione ad accedere a un servizio non Google per suo conto.
  • Specifica cosa può fare il componente aggiuntivo se autorizzato.
  • Contengono un pulsante o un widget simile che indirizza l'utente all'URL di autorizzazione del servizio. Assicurati che la funzione di questo widget sia evidente all'utente.
  • Il widget riportato sopra deve utilizzare l'impostazione OnClose.RELOAD_ADD_ON nell'oggetto OpenLink per garantire che il componente aggiuntivo venga ricaricato dopo la ricezione dell'autorizzazione.
  • Tutti i link aperti dalla richiesta di autorizzazione devono utilizzare HTTPS.

Indirizza la procedura di autorizzazione all'utilizzo della tua carta chiamando la funzione setCustomUiCallback() sull'oggetto AuthorizationException.

L'esempio seguente mostra una funzione di callback di richiesta di autorizzazione personalizzata:

/**
 * Returns an array of cards that comprise the customized authorization
 * prompt. Includes a button that opens the proper authorization link
 * for a non-Google service.
 *
 * When creating the text button, using the
 * setOnClose(CardService.OnClose.RELOAD_ADD_ON) function forces the add-on
 * to refresh once the authorization flow completes.
 *
 * @return {Card[]} The card representing the custom authorization prompt.
 */
function create3PAuthorizationUi() {
  var service = getOAuthService();
  var authUrl = service.getAuthorizationUrl();
  var authButton = CardService.newTextButton()
      .setText('Begin Authorization')
      .setAuthorizationAction(CardService.newAuthorizationAction()
          .setAuthorizationUrl(authUrl));

  var promptText =
      'To show you information from your 3P account that is relevant' +
      ' to the recipients of the email, this add-on needs authorization' +
      ' to: <ul><li>Read recipients of the email</li>' +
      '         <li>Read contact information from 3P account</li></ul>.';

  var card = CardService.newCardBuilder()
      .setHeader(CardService.newCardHeader()
          .setTitle('Authorization Required'))
      .addSection(CardService.newCardSection()
          .setHeader('This add-on needs access to your 3P account.')
          .addWidget(CardService.newTextParagraph()
              .setText(promptText))
          .addWidget(CardService.newButtonSet()
              .addButton(authButton)))
      .build();
  return [card];
}

/**
 * When connecting to the non-Google service, pass the name of the
 * custom UI callback function to the AuthorizationException object
 */
function accessProtectedResource(url, method_opt, headers_opt) {
  var service = getOAuthService();
  if (service.hasAccess()) {
    // Make the UrlFetch request and return the result.
    // ...
  } else {
    // Invoke the authorization flow using a custom authorization
    // prompt card.
    CardService.newAuthorizationException()
        .setAuthorizationUrl(service.getAuthorizationUrl())
        .setResourceDisplayName("Display name to show to the user")
        .setCustomUiCallback('create3PAuthorizationUi')
        .throwException();
  }
}

Gestione degli accessi di terze parti nelle Google Workspace app

Un'applicazione comune per Google Workspace componenti aggiuntivi consiste nel fornire un'interfaccia per l'interazione con un sistema di terze parti dall'interno di un' Google Workspace applicazione host. La libreria OAuth2 per Apps Script può aiutarti a creare e gestire le connessioni a servizi di terze parti.

I sistemi di terze parti richiedono spesso che l'utente acceda utilizzando un ID utente, una password o altre credenziali. Quando un utente accede al servizio di terze parti mentre sta utilizzando un Google Workspace host, devi assicurarti che non sia necessario accedere di nuovo quando passa a un altro host.Google Workspace Per impedire richieste di accesso ripetute, utilizza le proprietà utente o i token ID. Sono illustrati nelle sezioni seguenti.

Proprietà utente

Puoi archiviare i dati di accesso di un utente nelle proprietà utente di Apps Script. Ad esempio, potresti creare il tuo JWT dal tuo servizio di accesso e registrarlo in una proprietà utente oppure registrare il nome utente e la password del suo servizio.

Le proprietà utente hanno un ambito in modo che siano accessibili solo all'interno dello script del componente aggiuntivo. Altri utenti e altri script non possono accedere a queste proprietà. Per ulteriori dettagli, consulta PropertiesService.

Token ID

Puoi utilizzare un token ID Google come credenziale di accesso per il tuo servizio. Questo è un modo per raggiungere il Single Sign-On. Gli utenti hanno già eseguito l'accesso a Google perché si trovano in un'app host Google.