Configuration initiale

Configuration pour un développeur

Activer la suite d'API pour le projet Cloud

  • Accédez à la console Cloud: https://console.cloud.google.com/.
  • Sélectionnez un projet cloud existant ou créez-en un.
  • Accédez à APIs & Services > Enable APIs and Services.
  • Recherchez "Chrome".
  • Sélectionnez "API Chrome Management".
  • Familiarisez-vous avec les conditions d’utilisation.
  • Cliquez sur Enable.

Créer des identifiants

Option 1: ID client OAuth 2.0

  • Avant de pouvoir créer un "ID client OAuth 2.0", vous devez configurer l'écran de consentement OAuth avec des informations sur votre application. Dans la console Cloud, accédez à APIs & Services > OAuth consent screen.
  • Sur la page de configuration de l'écran de consentement, saisissez les champs d'application:

    • Pour l'API Reports, ajoutez: https://www.googleapis.com/auth/chrome.management.reports.readonly
    • Pour l'API App Details, ajoutez https://www.googleapis.com/auth/chrome.management.appdetails.readonly.
    • Pour l'API Telemetry, ajoutez: https://www.googleapis.com/auth/chrome.management.telemetry.readonly

    Notez que les champs d'application ajoutés sont sensibles. Vous devrez peut-être faire valider votre application. Dans le cas contraire, un avertissement de sécurité peut s'afficher si votre application n'est pas interne.

  • Accédez à APIs & Services > Credentials > Create Credentials > OAuth client ID et suivez la procédure pour créer les identifiants.

  • Si vous le souhaitez, vous pouvez tester votre application dans OAuth Playground (voir la procédure).

Option 2: compte de service

  • Accédez à APIs & Services > Credentials > Create Credentials > Service account.
  • Saisissez le nom du compte de service, puis cliquez sur Create.
  • Créez une clé pour votre compte de service. Cliquez sur Add Key et créez une clé "json". Gardez une trace du fichier dans un emplacement sécurisé.
  • Utilisez votre compte de service avec les droits d'administrateur appropriés pour le client :
    • Le Client peut configurer une délégation au niveau du domaine, puis le compte de service peut emprunter l'identité d'un utilisateur ou d'un administrateur disposant des droits appropriés (voir la procédure à suivre).
    • ou le client peut attribuer directement un rôle d'administrateur avec les droits appropriés au compte de service (voir comment procéder).

Configuration pour un client

L'administrateur du client dispose de différentes options de configuration selon le type d'application créé par le développeur.

Applications "Client OAuth 2.0"

Aucune configuration spéciale n'est nécessaire.

Les utilisateurs de l'application doivent disposer des droits d'administrateur appropriés (voir la marche à suivre).

Les utilisateurs de l'application doivent accepter l'écran de consentement du pop-up OAuth de l'application. Si vous le souhaitez, vous pouvez autoriser cette application à utiliser la délégation au niveau du domaine (voir comment), afin que les utilisateurs ne voient pas l'écran de consentement OAuth.

Si vous le souhaitez, vérifiez si l'application n'est pas bloquée ou faites-la explicitement confiance (voir comment).

Applications "Compte de service"

Le compte de service doit disposer des droits d'administrateur appropriés. Vous pouvez le faire de deux manières:

  • Autorisez la délégation au niveau du domaine afin que le compte de service puisse emprunter l'identité d'un administrateur disposant des droits appropriés (voir la procédure).
  • Attribuez directement des rôles d'administrateur au compte de service (découvrez comment procéder).

Guides d'utilisation

Bloquer une application ou lui faire confiance

  • En tant qu'administrateur du client, accédez à la console d'administration (https://admin.google.com/).
  • Accédez à Security > Access and data control > API controls.
  • Dans la section App access control, cliquez sur Manage third party app access.
  • Si l'application ne figure pas dans la liste "Applications associées", vous pouvez en configurer une nouvelle.
  • Vous pouvez désormais bloquer l'application ou lui faire confiance explicitement.

Activer la délégation au niveau du domaine

  • En tant qu'administrateur du client, accédez à la console d'administration (https://admin.google.com/).
  • Accédez à Security > Access and data control > API controls > Domain-wide delegation.
  • Cliquez sur Add new.
  • Saisissez l'ID client ("ID unique du compte de service" ou "ID client d'application").
  • Saisissez tous les champs d'application OAuth nécessaires. Selon l'application, vous devrez peut-être saisir des champs d'application pour d'autres services que l'API Chrome Management (par exemple, l'API Directory pour gérer les appareils, les utilisateurs, les navigateurs, les UO, les groupes, etc.).
  • Cliquez sur Authorize.

Gérer les droits d'administrateur

Différents droits d'administrateur sont nécessaires pour différentes parties des API Chrome Management. Découvrez les droits d'administrateur requis pour l'API Reports, l'API App Details ou l'API Telemetry.

Pour accorder des droits:

  • En tant qu'administrateur du client, accédez à la console d'administration (https://admin.google.com/).
  • Accéder à la page Admin roles.
  • Recherchez un rôle existant ou créez-en un avec les droits nécessaires.
  • Attribuez ce rôle à l'adresse e-mail de l'utilisateur ou du compte de service.

Tester votre application dans OAuth Playground

  • Dans la console Cloud, lorsque vous créez un ID client OAuth pour votre application (voir la section ID client OAuth 2.0 ci-dessus), sélectionnez le type d'application "Applications Web".
  • Saisissez un nom.
  • Pour tester votre application, ajoutez https://developers.google.com/oauthplayground au champ "URI de redirection autorisés". Vous pouvez supprimer l'URI de redirection de votre application une fois les tests terminés.
  • Cliquez sur Create, puis copiez l'ID client et le code secret du client.
  • Accédez à OAuth Playground.
  • Dans l'angle supérieur droit, cliquez sur l'icône en forme de roue dentée ("Configuration OAuth 2.0"), sélectionnez Use your own OAuth credentials, puis saisissez "ID client OAuth" et "Code secret du client OAuth".
  • Procédez comme suit dans OAuth Playground

    • Sélectionner et autoriser des API

      Ajoutez https://www.googleapis.com/auth/chrome.management.reports.readonly (ou tout autre champ d'application d'API) dans le champ de saisie du champ d'application, puis cliquez sur "Autoriser les API". Utilisez un compte administrateur client pour autoriser l'opération. Acceptez les conditions.

    • Échangez un code d'autorisation contre des jetons.

      Cliquez sur Exchange authorization code for tokens. Vous pouvez également cliquer sur Auto-refresh the token before it expires.

    • Configurer la requête vers l'API

      Saisissez l'URL de votre API dans la zone de texte "URI de la demande". Modifiez la méthode HTTP, la valeur "Saisir le corps de la requête", etc., conformément aux spécifications de l'API. Par exemple, utilisez l'URL suivante pour comptabiliser les applications installées dans votre organisation: https://chromemanagement.googleapis.com/v1alpha1/customers/my_customer/reports:countInstalledApps