Association de comptes via l'association "simplifiée" de Google Sign-In basée sur OAuth

Le type d'association Google Sign-In "simplifié" basé sur OAuth ajoute Google Sign-In à l'association de compte basée sur OAuth. Cela permet aux utilisateurs Google d'associer facilement leur compte par commande vocale, tout en permettant l'association de compte pour les utilisateurs qui se sont inscrits à votre service avec une identité non Google.

Ce type d'association commence par Se connecter avec Google, ce qui vous permet de vérifier si les informations du profil Google de l'utilisateur existent dans votre système. Si les informations de l'utilisateur ne sont pas trouvées dans votre système, un flux OAuth standard commence. L'utilisateur peut également choisir de créer un compte avec les informations de son profil Google.

Image 1 : Une fois que votre action a accès au profil Google de l'utilisateur, vous pouvez l'utiliser pour trouver une correspondance pour l'utilisateur dans votre système d'authentification.

Pour associer un compte avec le type d'association simplifiée, suivez ces étapes générales :

  1. Demandez d'abord à l'utilisateur d'autoriser l'accès à son profil Google.
  2. Utilisez les informations de son profil pour identifier l'utilisateur.
  3. Si vous ne trouvez pas d'utilisateur Google correspondant dans votre système d'authentification, le flux se poursuit selon que vous avez configuré votre projet Actions dans la console Actions pour autoriser la création de comptes utilisateur par commande vocale ou uniquement sur votre site Web.
    • Si vous autorisez la création de comptes par commande vocale, validez le jeton d'identité reçu de Google. Vous pouvez ensuite créer un utilisateur en fonction des informations de profil contenues dans le jeton d'identité.
    • Si vous n'autorisez pas la création de compte par commande vocale, l'utilisateur est redirigé vers un navigateur où il peut charger votre page d'autorisation et suivre le flux de création d'utilisateur.
Si vous autorisez la création de comptes par commande vocale et que vous ne trouvez pas de correspondance pour le profil Google dans votre système d'authentification, vous devez valider le jeton d'identité reçu de Google. Vous pouvez ensuite créer un utilisateur en fonction des informations de profil contenues dans le jeton d'identité. Si vous n'autorisez pas la création de comptes utilisateur par commande vocale, l'utilisateur est transféré vers un navigateur où il peut charger votre page d'autorisation et terminer le flux.
Figure 2. Représentation visuelle du flux OAuth et Google Sign-In lorsqu'aucune information sur l'utilisateur n'est trouvée dans votre système.

Créer un compte d'assistance par commande vocale

Si vous autorisez la création de comptes utilisateur par commande vocale, l'Assistant demande à l'utilisateur s'il souhaite effectuer les actions suivantes :

  • créer un compte sur votre système à l'aide des informations de son compte Google ;
  • Connectez-vous à votre système d'authentification avec un autre compte si vous en avez déjà un qui n'est pas un compte Google.

Nous vous recommandons d'autoriser la création de comptes par commande vocale si vous souhaitez minimiser les frictions du processus de création de compte. L'utilisateur n'a besoin de quitter le flux vocal que s'il souhaite se connecter à l'aide d'un compte existant autre que Google.

Interdire la création de comptes par commande vocale

Si vous avez interdit la création de comptes utilisateur par commande vocale, l'Assistant ouvre l'URL du site Web que vous avez fournie pour l'authentification des utilisateurs. Si l'interaction a lieu sur un appareil sans écran, l'Assistant redirige l'utilisateur vers un téléphone pour qu'il poursuive le parcours d'association de compte.

Il est recommandé de ne pas autoriser la création dans les cas suivants :

  • Vous ne souhaitez pas autoriser les utilisateurs disposant de comptes non Google à créer un compte utilisateur, mais plutôt à l'associer à leurs comptes utilisateur existants dans votre système d'authentification. Par exemple, si vous proposez un programme de fidélité, vous pouvez vous assurer que l'utilisateur ne perd pas les points accumulés sur son compte existant.

  • Vous devez avoir le contrôle total du flux de création de compte. Par exemple, vous pouvez interdire la création si vous devez présenter vos conditions d'utilisation à l'utilisateur lors de la création du compte.

Implémenter l'association "simplifiée" de compte Google Sign-in basée sur OAuth

Les comptes sont associés à l'aide de flux OAuth 2.0 standards dans le secteur. Actions on Google est compatible avec les flux implicites et avec code d'autorisation.

Dans le flux de code implicite, Google ouvre votre point de terminaison d'autorisation dans le navigateur de l'utilisateur. Une fois connecté, vous renvoyez un jeton d'accès de longue durée à Google. Ce jeton d'accès est désormais inclus dans chaque requête envoyée à l'action par l'Assistant.

Dans le flux de code d'autorisation, vous avez besoin de deux points de terminaison:

  • Le point de terminaison authorization, qui consiste à présenter l'interface de connexion aux utilisateurs qui ne sont pas déjà connectés et à enregistrer le consentement demandé pour l'accès demandé sous la forme d'un code d'autorisation temporaire.
  • Le point de terminaison d'échange de jetons, responsable de deux types d'échanges :
    1. Échange un code d'autorisation contre un jeton d'actualisation de longue durée et un jeton d'accès de courte durée. Cet échange se produit lorsque l'utilisateur suit la procédure d'association de comptes.
    2. Échange un jeton d'actualisation de longue durée contre un jeton d'accès de courte durée. Cet échange se produit lorsque Google a besoin d'un nouveau jeton d'accès, car celui-ci a expiré.

Bien que le flux de code implicite soit plus facile à mettre en œuvre, Google recommande que les jetons d'accès émis à l'aide du flux implicite n'expirent jamais, car l'expiration du jeton avec le flux implicite oblige l'utilisateur à associer de nouveau son compte. Si vous avez besoin d'un jeton expiré pour des raisons de sécurité, envisagez plutôt d'utiliser le flux de code d'autorisation.

Configurer le projet

Pour configurer votre projet afin qu'il utilise l'association simplifiée, procédez comme suit :

  1. Ouvrez la console Actions et sélectionnez le projet que vous souhaitez utiliser.
  2. Cliquez sur l'onglet Develop (Développer), puis sélectionnez Account linking (Association de comptes).
  3. Activez le bouton à côté de Association de compte.
  4. Dans la section Création de compte, sélectionnez Oui.

  5. Dans Type d'association, sélectionnez OAuth et Se connecter avec Google, puis Implicite.

  6. Dans Client Information (Informations sur le client), procédez comme suit :

    • Attribuez une valeur à ID client émis par vos Actions sur Google pour identifier les requêtes provenant de Google.
    • Insérez les URL de vos points de terminaison d'autorisation et d'échange de jetons.

  7. Cliquez sur Enregistrer.

Implémenter votre serveur OAuth

Pour prendre en charge le flux implicite OAuth 2.0, votre service accorde une autorisation un point de terminaison unique disponible via HTTPS. Ce point de terminaison est responsable de l’authentification et l'obtention du consentement des utilisateurs pour l'accès aux données. Le point de terminaison d'autorisation présente une interface utilisateur de connexion aux utilisateurs qui ne sont pas déjà connectés et enregistre autoriser l'accès demandé.

Lorsque votre action doit appeler l'une des API autorisées de votre service, Google utilise ce point de terminaison pour obtenir l'autorisation de vos utilisateurs d'appeler ces API au nom de l'utilisateur.

Une session de flux implicite OAuth 2.0 typique lancée par Google possède le flux suivant:

  1. Google ouvre votre point de terminaison d'autorisation dans le navigateur de l'utilisateur. La l'utilisateur se connecte s'il n'est pas déjà connecté et autorise Google à y accéder leurs données avec votre API s'ils ne l'ont pas déjà accordé.
  2. Votre service crée un jeton d'accès et le renvoie à Google en redirigeant le navigateur de l'utilisateur vers Google à l'aide du jeton d'accès joint à la demande.
  3. Google appelle les API de votre service et associe le jeton d'accès chaque requête. Votre service vérifie que le jeton d'accès accorde à Google l'autorisation d'accès à l'API, puis termine l'appel d'API.

Gérer les requêtes d'autorisation

Lorsque votre action doit associer des comptes via un flux implicite OAuth 2.0, Google renvoie l'utilisateur vers votre point de terminaison d'autorisation avec une requête qui inclut les paramètres suivants:

Paramètres du point de terminaison de l'autorisation
client_id ID client que vous avez attribué à Google.
redirect_uri URL à laquelle vous envoyez la réponse à cette requête.
state Une valeur de tenue de registre renvoyée à Google telle quelle dans le l'URI de redirection.
response_type Type de valeur à renvoyer dans la réponse. Pour l'authentification OAuth 2.0 le type de réponse est toujours token.

Par exemple, si votre point de terminaison d'autorisation est disponible à l'adresse https://myservice.example.com/auth, une requête peut se présenter comme suit:

GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&response_type=token

Pour que votre point de terminaison d'autorisation traite les requêtes de connexion, procédez comme suit:

  1. Vérifiez les valeurs client_id et redirect_uri pour pour empêcher l'octroi d'accès à des applications clientes non intentionnelles ou mal configurées:

    • Vérifiez que client_id correspond à l'ID client que vous attribué à Google.
    • Vérifiez que l'URL spécifiée par redirect_uri a la forme suivante: 
      https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID
       YOUR_PROJECT_ID est l'ID indiqué sur la page Paramètres du projet. de la console Actions.

  2. Vérifiez si l'utilisateur est connecté à votre service. Si l'utilisateur n'est pas signé suivez la procédure de connexion ou d'inscription de votre service.

  3. Générez un jeton d'accès que Google utilisera pour accéder à votre API. La Le jeton d'accès peut correspondre à n'importe quelle valeur de chaîne, mais il doit représenter de manière unique le user et le client pour lequel le jeton est destiné et ne doit pas être devinable.

  4. Envoyer une réponse HTTP qui redirige le navigateur de l'utilisateur vers l'URL spécifiée par le paramètre redirect_uri. Incluez tous les les paramètres suivants dans le fragment d'URL:

    • access_token: jeton d'accès que vous venez de générer
    • token_type: chaîne bearer
    • state: valeur de l'état non modifié de l'original demander Voici un exemple de l'URL obtenue: 
      https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID#access_token=ACCESS_TOKEN&token_type=bearer&state=STATE_STRING

Le gestionnaire de redirection OAuth 2.0 de Google recevra le jeton d'accès et confirmera que la valeur state n'a pas changé. Une fois que Google a obtenu pour votre service, Google l'associe aux appels suivants à votre action dans le cadre de AppRequest.

处理自动关联

在用户同意你的 Action 访问他们的 Google 个人资料后,Google 发送请求,其中包含 Google 用户身份的已签名断言。 该断言包含的信息包括用户的 Google 账号 ID、姓名、 和电子邮件地址。为项目配置的令牌交换端点处理 请求。

如果您的身份验证系统中已经存在相应的 Google 账号, 您的令牌交换端点为用户返回令牌。如果 Google 账号没有 匹配现有用户,您的令牌交换端点会返回 user_not_found 错误。

请求的格式如下:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&consent_code=CONSENT_CODE&scope=SCOPES

您的令牌交换端点必须能够处理以下参数:

令牌端点参数
grant_type 所交换的令牌的类型。对于这类请求 参数的值为 urn:ietf:params:oauth:grant-type:jwt-bearer
intent 对于这些请求,此参数的值为 `get`。
assertion 一个 JSON Web 令牌 (JWT),提供 Google 用户身份。JWT 包含的信息包括 账号 ID、名称和电子邮件地址。
consent_code 可选:一个一次性代码(如果存在)用于表明 用户已同意你的 Action 访问指定范围。
scope 可选:您配置 Google 向用户请求的任何范围。

当您的令牌交换端点收到关联请求时,它应该 以下:

验证和解码 JWT 断言

您可以使用适用于您语言的 JWT 解码库来验证和解码 JWT 断言。 使用 Google 的公钥(适用于 JWKPEM 格式)来验证令牌的 签名。

解码后,JWT 断言如以下示例所示: 

{
  "sub": 1234567890,        // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "locale": "en_US"
}

除了验证令牌的签名之外,还要验证断言的颁发者 (iss 字段)为 https://accounts.google.com,且受众群体(aud 字段) 是分配给您的 Action 的客户端 ID。

检查您的身份验证系统中是否已存在该 Google 账号

请检查以下任一条件是否成立:

  • Google 账号 ID 可在断言的 sub 字段中找到,也可位于您的用户数据库中。
  • 断言中的电子邮件地址与用户数据库中的用户匹配。

如果满足上述任一条件,则表明用户已经注册,您可以发出 访问令牌。

如果断言中指定的 Google 账号 ID 和电子邮件地址都没有 与您数据库中的用户匹配,表示该用户尚未注册。在这种情况下,您的 令牌交换端点应回复 HTTP 401 错误,指定 error=user_not_found, 如以下示例中所示:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"user_not_found",
}
当 Google 收到包含 user_not_found 错误的 401 错误响应时, 使用 intent 参数的值调用您的令牌交换端点 设置为 create 并发送包含用户个人资料信息的 ID 令牌 一起发送。

Gérer la création de compte via Google Sign-In

Lorsqu'un utilisateur doit créer un compte sur votre service, Google effectue une à votre point de terminaison d'échange de jetons, qui spécifie intent=create, comme dans l'exemple suivant:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&consent_code=CONSENT_CODE&assertion=JWT[&NEW_ACCOUNT_INFO]

Le paramètre assertion contient un jeton Web JSON (JWT) qui fournit une assertion signée de l'identité de l'utilisateur Google. Le jeton JWT contient des informations qui inclut l'ID, le nom et l'adresse e-mail du compte Google de l'utilisateur, que vous pouvez utiliser pour créer un nouveau compte sur votre service.

Pour répondre aux demandes de création de compte, le point de terminaison de votre échange de jetons doit les éléments suivants:

验证和解码 JWT 断言

您可以使用适用于您语言的 JWT 解码库来验证和解码 JWT 断言。 使用 Google 的公钥(适用于 JWKPEM 格式)来验证令牌的 签名。

解码后,JWT 断言如以下示例所示: 

{
  "sub": 1234567890,        // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "locale": "en_US"
}

除了验证令牌的签名之外,还要验证断言的颁发者 (iss 字段)为 https://accounts.google.com,且受众群体(aud 字段) 是分配给您的 Action 的客户端 ID。

Valider les informations sur l'utilisateur et créer un compte

Vérifiez si l'une des conditions suivantes est remplie:

  • L'ID de compte Google, qui se trouve dans le champ sub de l'assertion, se trouve dans votre base de données d'utilisateurs.
  • L'adresse e-mail indiquée dans l'assertion correspond à un utilisateur de votre base de données utilisateur.

Si l'une des conditions est vraie, invitez l'utilisateur à associer son compte existant à son compte Google en répondant à la requête avec une erreur HTTP 401, en spécifiant error=linking_error et l'adresse e-mail de l'utilisateur en tant que login_hint, comme dans l'exemple suivant:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Si aucune condition n'est remplie, créez un nouveau compte d'utilisateur à l'aide des informations fournies dans le JWT. En règle générale, aucun mot de passe n'est défini pour les nouveaux comptes. Il est recommandé d'ajouter Google Sign-In aux autres plates-formes pour permettre aux utilisateurs de se connecter via Google sur toutes les surfaces de votre application. Vous pouvez également envoyer par e-mail à l'utilisateur un lien qui lance le processus de récupération de mot de passe pour lui permettre de définir un mot de passe pour se connecter sur d'autres plateformes.

Une fois la création terminée, émettez un jeton d'accès et qui renvoient les valeurs dans un objet JSON le corps de votre réponse HTTPS, comme dans l'exemple suivant: 

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",
  
  "expires_in": SECONDS_TO_EXPIRATION
}

Concevoir l'interface utilisateur vocale pour le flux d'authentification

Vérifiez si l'utilisateur est validé et lancez le processus d'association de compte.

  1. Ouvrez votre projet Actions Builder dans la console Actions.
  2. Créez une scène pour lancer l'association de compte dans votre action :
    1. Cliquez sur Scènes.
    2. Cliquez sur l'icône Ajouter (+) pour ajouter une scène.
  3. Dans la scène que vous venez de créer, cliquez sur l'icône Ajouter  pour Conditions.
  4. Ajoutez une condition qui vérifie si l'utilisateur associé à la conversation est un utilisateur validé. Si la vérification échoue, votre action ne peut pas associer de compte pendant la conversation et doit revenir à l'accès aux fonctionnalités qui ne nécessitent pas d'association de compte.
    1. Dans le champ Enter new expression sous Condition, saisissez la logique suivante : user.verificationStatus != "VERIFIED"
    2. Sous Transition, sélectionnez une scène qui ne nécessite pas d'association de compte ou une scène qui constitue le point d'entrée de la fonctionnalité réservée aux invités.

  1. Cliquez sur l'icône Ajouter  pour Conditions.
  2. Ajoutez une condition pour déclencher un parcours d'association de compte si l'utilisateur n'a pas d'identité associée.
    1. Dans le champ Enter new expression sous Condition, saisissez la logique suivante : user.verificationStatus == "VERIFIED"
    2. Sous Transition, sélectionnez la scène système Association de compte.
    3. Cliquez sur Enregistrer.

Une fois l'enregistrement effectué, une scène de système d'association de compte appelée <SceneName>_AccountLinking est ajoutée à votre projet.

Personnaliser la scène d'association de comptes

  1. Sous Scènes, sélectionnez la scène du système d'association de comptes.
  2. Cliquez sur Envoyer le prompt et ajoutez une brève phrase pour expliquer à l'utilisateur pourquoi l'action doit accéder à son identité (par exemple, "Pour enregistrer vos préférences").
  3. Cliquez sur Enregistrer.

  1. Sous Conditions, cliquez sur Si l'utilisateur associe son compte.
  2. Configurez la façon dont le flux doit se dérouler si l'utilisateur accepte d'associer son compte. Par exemple, appelez le webhook pour traiter toute logique métier personnalisée requise et revenez à la scène d'origine.
  3. Cliquez sur Enregistrer.

  1. Sous Conditions, cliquez sur Si l'utilisateur annule ou ignore l'association de compte.
  2. Configurez la façon dont le flux doit se dérouler si l'utilisateur n'accepte pas d'associer son compte. Par exemple, envoyez un message de confirmation et redirigez l'utilisateur vers des scènes qui fournissent des fonctionnalités ne nécessitant pas l'association de comptes.
  3. Cliquez sur Enregistrer.

  1. Sous Conditions, cliquez sur En cas d'erreur système ou réseau.
  2. Configurez la façon dont le flux doit se dérouler si le flux d'association de compte ne peut pas être terminé en raison d'erreurs système ou réseau. Par exemple, envoyez un message de confirmation et redirigez l'utilisateur vers des scènes qui fournissent des fonctionnalités ne nécessitant pas l'association de comptes.
  3. Cliquez sur Enregistrer.

Gérer les demandes d'accès aux données

Si la requête de l'Assistant contient un jeton d'accès, vérifiez d'abord que le jeton d'accès est valide et n'a pas expiré, puis récupérez le compte utilisateur associé au jeton à partir de votre base de données de comptes utilisateur.