1.1: Association de comptes OAuth

Introduction et impact commercial

Pour exploiter les API Google, OAuth doit accorder à votre intégration l'accès marchand nécessaire pour les intégrer aux fiches gratuites et aux annonces payantes.

alt-oauth

Votre application doit autoriser les requêtes via le protocole OAuth 2.0. Les autres protocoles d'autorisation ne sont pas acceptés.

Conseils sur l'expérience utilisateur

Objectif: Permettre aux marchands de partager l'utilisation de leurs données pour l'application Google.

Principe de conception: demander la bonne autorisation au bon moment. Si les marchands ne donnent pas leur autorisation, échouez sans difficulté.

Le marchand est invité à fournir des autorisations d'accès. Voici un exemple montrant comment ces instructions peuvent être présentées au marchand:

oauth_1

oauth_2

Une fois que le marchand a effectué ces étapes initiales, trois résultats sont possibles:

Résultat 1: si le marchand accepte toutes les autorisations :

oauth_3

Si le marchand fournit toutes les autorisations, il coche toutes les cases et est invité à poursuivre le processus d'intégration.

Résultat 2: Si le marchand n'accepte pas Ads

oauth_4

Le marchand coche toutes les cases, à l'exception de l'autorisation liée à Google Ads. Ils poursuivent le processus d'intégration. Plus tard, lorsqu'ils créent un compte Google Ads ou se connectent à un compte existant, ils sont de nouveau invités à accorder des autorisations:

oauth_5 oauth_6

Résultat 3: Si les données produit ou la validation du site ne sont pas cochées, le marchand ne pourra pas poursuivre l'intégration.

oauth_7

oauth_8

oauth_9

oauth_10

Toutes les options précédentes génèrent le même message d'erreur:

oauth_11

Conseils techniques

Choisir les requêtes d'autorisation avec OAuth 2.0

Il existe deux façons de sélectionner une méthode d'authentification pour les marchands:

OAuth 2.0 pour les comptes hors service (fortement recommandé) OAuth 2.0 pour les comptes de service
Un client OAuth 2.0 identifie l'application et permet aux utilisateurs finaux de lui accorder un accès limité à leurs données Google. Il permet à votre application d'accéder aux API Google Cloud au nom de l'utilisateur final.

Les occurrences indiquées entraînent l'annulation du jeton d'accès, qui doit être pris en compte dans le code:

● L'utilisateur a révoqué l'accès
● L'utilisateur a modifié son mot de passe
● Le nombre de jetons d'actualisation accordés a dépassé la limite
● Le jeton d'actualisation n'a pas été utilisé depuis six mois		 Les comptes de service sont des comptes Google spéciaux qui permettent aux applications d'accéder aux API Google de façon automatisée à l'aide d'OAuth 2.0.Ils utilisent un flux OAuth 2.0 qui ne nécessite aucune autorisation humaine. Elle utilise à la place un fichier de clé auquel seule votre application a accès.

Remarque:Les applications qui utilisent des comptes de service pour l'authentification ne peuvent accéder qu'à leur propre compte Merchant Center. Si vous écrivez une application tierce qui doit accéder aux comptes Merchant Center de vos clients, consultez plutôt le guide "Autoriser les requêtes".

Remarque:Un projet Cloud est requis et permet de créer jusqu'à 100 comptes de service. Consultez la documentation.

Configurer le flux OAuth

Le framework d'autorisation OAuth 2.0 permet à une application tierce d'obtenir un accès limité à un service HTTP, soit pour le compte d'un propriétaire de la ressource, soit en ordonnant une interaction d'approbation entre le propriétaire de la ressource et le service HTTP, soit en autorisant l'application tierce à obtenir l'accès en son propre nom.

Étant donné que votre application accède à des données protégées (non publiques), vous avez besoin d'un ID client OAuth 2.0. Les API Google utilisent le protocole OAuth 2.0 pour l'authentification et l'autorisation. Google accepte les scénarios OAuth 2.0 courants, tels que ceux liés au serveur Web, aux applications installées et aux applications côté client.

En savoir plus

Remarques concernant l'utilisation d'OAuth pour Content API pour Shopping:

  1. Assurez-vous d'avoir défini "access_type" sur "offline":les jetons d'accès expirent régulièrement et deviennent des identifiants non valides pour une requête API associée.

  2. Actualiser un jeton d'accès:vous pouvez effectuer cette opération sans demander l'autorisation à l'utilisateur (y compris lorsqu'il n'est pas présent) si vous avez demandé l'accès hors connexion aux champs d'application associés au jeton (en savoir plus).

  3. Implémentation OAuth dans les bibliothèques:nous vous recommandons vivement d'utiliser les bibliothèques clientes des API Google.

  4. Champ d'application : vous devez demander à votre marchand de vous accorder un accès en lecture et en écriture à son compte Google avec le champ d'application OAuth de Google Merchant Center (https://www.googleapis.com/auth/content).

  5. Vous pouvez utiliser OAuth pour obtenir des informations clés sur le profil utilisateur.

Champs d'application à utiliser pour votre intégration

En fonction du type d'intégration que vous prévoyez de créer pour vos marchands, nous vous recommandons de demander toutes les portées nécessaires dès maintenant.

Programme Définition du champ d'application Format requis pour le champ d'application
Content API https://www.googleapis.com/auth/content Fiches gratuites
Validation de site https://www.googleapis.com/auth/siteverification Fiches gratuites et annonces payantes
Annonces https://www.googleapis.com/auth/adwords Fiches gratuites et annonces payantes

Vérifier si les marchands ont accordé l'accès OAuth

Les marchands doivent cocher des cases dans le flux de consentement OAuth pour vous accorder l'accès à des champs d'application spécifiques:si les champs d'application requis ne sont pas renseignés, expliquez-leur en quoi ils sont nécessaires et demandez à nouveau l'autorisation (en savoir plus). Le fait de ne pas avoir accès à toutes ces autorisations empêche les marchands de procéder à l'intégration complète.

access

Appelez le point de terminaison d'API suivant pour vérifier les champs d'application accordés:

https://www.oauth2.googleapis.com/token

L'URL renvoie les informations suivantes:

  • access_token
  • de champs d'application accordés à l'utilisateur
  • délai avant l'expiration du jeton

request

Champs d'application sensibles et procédure de validation OAuth

Certains champs d'application utilisés par les API OAuth sont considérés comme sensibles et nécessitent un processus de validation. Pour obtenir des informations supplémentaires et des exemples, consultez OAuth pour Content API.

  1. Champ d'application sensible à respecter: vous devez vous assurer que votre application respecte le Règlement sur les données utilisateur dans les services d'API Google. Vous devez également accepter les Conditions d'utilisation de l'API.

  2. Vérifiez que votre application ne correspond à aucun des cas d'utilisation listés dans Exceptions aux exigences de validation.

  3. Validez la propriété des domaines autorisés de votre projet à l'aide de la Search Console. Utilisez un compte propriétaire ou éditeur de votre projet dans la console Cloud.

  4. Assurez-vous que toutes les informations de branding affichées sur l'écran de consentement OAuth correspondent et sont valides, par exemple: le nom du projet présenté aux utilisateurs, l'adresse e-mail d'assistance, l'URL de la page d'accueil et l'URL des règles de confidentialité représentent avec précision l'identité de l'application.

  5. Demandez le champ d'application sensible à votre application à l'aide du processus de validation : suivez la procédure, qui nécessite de remplir un formulaire, de fournir une justification et d'envoyer une vidéo.

Précédent
Vue d'ensemble
Suivant
1.2 Présentation de l'infrastructure des comptes Merchant Center