Comptes de service

Ce guide explique comment accéder à l'API Google Ads à l'aide des comptes de service.

Un compte de service est un compte qui appartient à votre application et non à un utilisateur final individuel. Les comptes de service permettent des interactions de serveur à serveur entre une application Web et un service Google. Votre application appelle des API Google au nom du compte de service. Les utilisateurs ne sont donc pas directement impliqués.

Les comptes de service emploient un flux OAuth2 qui ne nécessite pas d'autorisation humaine. Il utilise à la place un fichier de clé auquel seule votre application peut accéder.

L'utilisation de comptes de service offre deux avantages principaux:

  • L'autorisation d'accès à l'API Google est effectuée en tant qu'étape de configuration, évitant ainsi les complications associées à d'autres flux OAuth2 qui nécessitent des interactions utilisateur.
  • Le flux d'assertion OAuth2 permet à votre application d'emprunter l'identité d'autres utilisateurs si nécessaire.

Conditions préalables

  • Un domaine Google Workspace qui vous appartient, tel que mydomain.com ou mybusiness.com
  • Un jeton de développeur pour l'API Google Ads et éventuellement un compte de test.
  • La bibliothèque cliente pour le langage que vous utilisez
  • Un projet de la console Google APIs qui a été configuré pour l'API Google Ads
  • Un utilisateur Google Ads disposant d'autorisations au niveau du compte Google Ads auquel vous souhaitez accéder Google Ads ne permet pas d'utiliser des comptes de service sans emprunt d'identité.

Configuration de l'accès au compte de service

Étant donné que l'emprunt d'identité des utilisateurs n'est contrôlé qu'au niveau du domaine, l'utilisation des comptes de service et du flux d'assertion avec Google OAuth2 nécessite l'enregistrement de votre propre domaine auprès de Google Workspace. Votre application et ses utilisateurs peuvent ensuite emprunter l'identité de n'importe quel utilisateur du domaine.

  1. Commencez par créer un compte de service et des identifiants.

    Téléchargez la clé de compte de service au format JSON et notez l'ID du compte de service.

  2. Partagez l'ID de compte de service et le champ d'application de l'API Google Ads (https://www.googleapis.com/auth/adwords) avec l'administrateur de votre domaine.

    Demandez à l'administrateur du domaine de déléguer l'autorité au niveau du domaine à votre compte de service.

  3. Si vous êtes l'administrateur du domaine, suivez les instructions du centre d'aide.

Vous pouvez désormais utiliser le compte de service pour accéder à votre compte Google Ads à l'aide du flux d'assertion OAuth2.

Configuration de la bibliothèque cliente

Sélectionnez votre langage ci-dessous pour savoir comment configurer votre bibliothèque cliente.

Problèmes de sécurité

Étant donné que le compte de service dispose d'un contrôle de délégation au niveau du domaine pour votre domaine Google Workspace, il est important de protéger le fichier de clé permettant à un compte de service d'accéder aux services Google pour lesquels il est autorisé. C'est d'autant plus vrai que ce compte de service peut emprunter l'identité de n'importe quel utilisateur du domaine.

Une autre bonne pratique consiste à autoriser les comptes de service à n'accéder qu'à l'ensemble minimal d'API requis. Il s'agit d'une mesure préventive visant à limiter la quantité de données auxquelles un pirate informatique peut accéder si le fichier de clé du compte de service est compromis.