Créer des identifiants d'accès

Les identifiants permettent d'obtenir un jeton d'accès auprès des serveurs d'autorisation de Google afin que votre application puisse appeler les API Google Workspace. Ce guide explique comment choisir et configurer les identifiants dont votre application a besoin.

Pour connaître la définition des termes figurant sur cette page, consultez Présentation de l'authentification et des autorisations.

Choisissez l'identifiant d'accès qui vous convient

Les identifiants requis dépendent du type de données, de la plate-forme et de la méthodologie d'accès à votre application. Trois types de identifiants sont disponibles:

Cas d'utilisation	Méthode d'authentification	À propos de cette méthode d'authentification
accéder aux données accessibles au public de manière anonyme dans votre application ;	Clés API	Vérifiez que l'API que vous souhaitez utiliser est compatible avec les clés API avant de vous servir de cette méthode d'authentification.
Accéder aux données utilisateur telles que l'adresse e-mail ou l'âge	ID client OAuth	Nécessite que votre application demande ou obtienne le consentement de l'utilisateur.
Accédez aux données appartenant à votre propre application ou aux ressources d'accès pour le compte des utilisateurs Google Workspace ou Cloud Identity via la délégation au niveau du domaine.	Compte de service	Lorsqu'une application s'authentifie en tant que compte de service, elle a accès à toutes les ressources auxquelles le compte de service est autorisé à accéder.

Identifiants de la clé API

Une clé API est une longue chaîne contenant des lettres majuscules et minuscules, des chiffres, des traits de soulignement et des traits d'union, comme AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe. Cette méthode d'authentification permet d'accéder anonymement aux données accessibles au public, telles que les fichiers Google Workspace partagés via le paramètre de partage "Tous les internautes disposant de ce lien". Pour en savoir plus, consultez la page Utiliser des clés API.

Pour créer une clé API :

1. Dans la console Google Cloud, accédez au menu menu > API et services > Identifiants.

   Accéder à "Identifiants"

2. Cliquez sur Créer des identifiants > Clé API.
3. Votre nouvelle clé API s'affiche.
   • Cliquez sur Copier content_copy pour copier votre clé API à utiliser dans le code de votre application. La clé API est également disponible dans la section "Clés API" des identifiants de votre projet.
   • Cliquez sur Restreindre la clé pour mettre à jour les paramètres avancés et limiter l'utilisation de votre clé API. Pour en savoir plus, consultez Appliquer des restrictions de clés API.

Identifiants d'ID client OAuth

Pour vous authentifier en tant qu'utilisateur final et accéder aux données utilisateur dans votre application, vous devez créer un ou plusieurs ID client OAuth 2.0. Un ID client permet d'identifier une application unique auprès des serveurs OAuth de Google. Si votre application s'exécute sur plusieurs plates-formes, vous devez créer un ID client distinct pour chacune d'elles.

Choisissez votre type d'application pour obtenir des instructions spécifiques sur la création d'un ID client OAuth:

Application Web

1. Dans la console Google Cloud, accédez au menu menu > API et services > Identifiants.

   Accéder à "Identifiants"

2. Cliquez sur Créer des identifiants > ID client OAuth.
3. Cliquez sur Type d'application > Application Web.
4. Dans le champ Nom, saisissez le nom des identifiants. Ce nom ne s'affiche que dans la console Google Cloud.
5. Ajoutez des URI autorisés associés à votre application :
   • Applications côté client (JavaScript) : sous Origines JavaScript autorisées, cliquez sur Ajouter un URI. Saisissez ensuite un URI à utiliser pour les requêtes de navigateur. Elle identifie les domaines à partir desquels votre application peut envoyer des requêtes API au serveur OAuth 2.0.
   • Applications côté serveur (Java, Python, etc.) : sous URI de redirection autorisés, cliquez sur Ajouter un URI. Saisissez ensuite un URI de point de terminaison auquel le serveur OAuth 2.0 peut envoyer des réponses.
6. Cliquez sur Créer. L'écran du client OAuth créé s'affiche, avec votre nouvel identifiant et votre code secret du client.

   Notez l'ID client. Les codes secrets du client ne sont pas utilisés pour les applications Web.

7. Cliquez sur OK. Les identifiants que vous venez de créer apparaissent sous le champ ID client OAuth 2.0.

Android

1. Dans la console Google Cloud, accédez au menu menu > API et services > Identifiants.

   Accéder à "Identifiants"

2. Cliquez sur Créer des identifiants > ID client OAuth.
3. Cliquez sur Type d'application > Android.
4. Dans le champ "Nom", saisissez le nom des identifiants. Ce nom ne s'affiche que dans la console Google Cloud.
5. Dans le champ "Nom du package", saisissez le nom du package indiqué dans le fichier AndroidManifest.xml.
6. Dans le champ "Empreinte du certificat SHA-1", saisissez l'empreinte du certificat SHA-1 générée.
7. Cliquez sur Créer. L'écran du client OAuth créé s'affiche, avec votre nouvel ID client.
8. Cliquez sur OK. Les identifiants que vous venez de créer apparaissent sous "ID client OAuth 2.0".

iOS

1. Dans la console Google Cloud, accédez au menu menu > API et services > Identifiants.

   Accéder à "Identifiants"

2. Cliquez sur Créer des identifiants > ID client OAuth.
3. Cliquez sur Type d'application > iOS.
4. Dans le champ "Nom", saisissez le nom des identifiants. Ce nom ne s'affiche que dans la console Google Cloud.
5. Dans le champ "Bundle ID" (ID de bundle), saisissez l'identifiant du bundle dans le fichier Info.plist de l'application.
6. (Facultatif) Si votre application apparaît sur l'App Store d'Apple, saisissez son ID.
7. Facultatif: dans le champ "ID d'équipe", saisissez la chaîne de 10 caractères unique générée par Apple et attribuée à votre équipe.
8. Cliquez sur Créer. L'écran du client OAuth créé s'affiche, avec votre nouvel identifiant et votre code secret du client.
9. Cliquez sur OK. Les identifiants que vous venez de créer apparaissent sous "ID client OAuth 2.0".

Application Chrome

1. Dans la console Google Cloud, accédez au menu menu > API et services > Identifiants.

   Accéder à "Identifiants"

2. Cliquez sur Créer des identifiants > ID client OAuth.
3. Cliquez sur Type d'application > Application Chrome.
4. Dans le champ "Nom", saisissez le nom des identifiants. Ce nom ne s'affiche que dans la console Google Cloud.
5. Dans le champ "ID de l'application", saisissez la chaîne d'ID unique de 32 caractères de votre application. Vous pouvez trouver cet ID dans l'URL du Chrome Web Store de votre application et dans le tableau de bord du développeur du Chrome Web Store.
6. Cliquez sur Créer. L'écran du client OAuth créé s'affiche, avec votre nouvel identifiant et votre code secret du client.
7. Cliquez sur OK. Les identifiants que vous venez de créer apparaissent sous "ID client OAuth 2.0".

Application de bureau

1. Dans la console Google Cloud, accédez au menu menu > API et services > Identifiants.

   Accéder à "Identifiants"

2. Cliquez sur Créer des identifiants > ID client OAuth.
3. Cliquez sur Type d'application > Application de bureau.
4. Dans le champ Nom, saisissez le nom des identifiants. Ce nom ne s'affiche que dans la console Google Cloud.
5. Cliquez sur Créer. L'écran du client OAuth créé s'affiche, avec votre nouvel identifiant et votre code secret du client.
6. Cliquez sur OK. Les identifiants que vous venez de créer apparaissent sous ID client OAuth 2.0.

Téléviseurs et périphériques d'entrée à accès limité

1. Dans la console Google Cloud, accédez au menu menu > API et services > Identifiants.

   Accéder à "Identifiants"

2. Cliquez sur Créer des identifiants > ID client OAuth.
3. Cliquez sur Type d'application > Téléviseurs et périphériques d'entrée à accès limité.
4. Dans le champ "Nom", saisissez le nom des identifiants. Ce nom ne s'affiche que dans la console Google Cloud.
5. Cliquez sur Créer. L'écran du client OAuth créé s'affiche, avec votre nouvel identifiant et votre code secret du client.
6. Cliquez sur OK. Les identifiants que vous venez de créer apparaissent sous "ID client OAuth 2.0".

Plate-forme Windows universelle (UWP)

1. Dans la console Google Cloud, accédez au menu menu > API et services > Identifiants.

   Accéder à "Identifiants"

2. Cliquez sur Créer des identifiants > ID client OAuth.
3. Cliquez sur Type d'application > Plate-forme Windows universelle (UWP).
4. Dans le champ "Nom", saisissez le nom des identifiants. Ce nom ne s'affiche que dans la console Google Cloud.
5. Dans le champ "ID sur l'App Store", saisissez la valeur unique de votre application (12 caractères) correspondant à l'ID Microsoft Store. Vous pouvez trouver cet ID dans l'URL Microsoft Store de votre application et dans le Centre des partenaires.
6. Cliquez sur Créer. L'écran du client OAuth créé s'affiche, avec votre nouvel identifiant et votre code secret du client.
7. Cliquez sur OK. Les identifiants que vous venez de créer apparaissent sous "ID client OAuth 2.0".

Identifiants du compte de service

Un compte de service est un type de compte spécifique utilisé par une application plutôt que par une personne. Vous pouvez utiliser un compte de service pour accéder à des données ou pour effectuer des actions par le compte robot, ou pour accéder à des données au nom d'utilisateurs Google Workspace ou Cloud Identity. Pour en savoir plus, consultez la page Comprendre les comptes de service.

Créer un compte de service

1. Dans la console Google Cloud, accédez au menu menu > IAM et administration > Comptes de service.

   Accéder à la page "Comptes de service"

2. Cliquez sur Create service account (Créer un compte de service).
3. Saisissez les informations du compte de service, puis cliquez sur Créer et continuer.
4. Facultatif: attribuez des rôles à votre compte de service pour accorder l'accès aux ressources de votre projet Google Cloud. Pour en savoir plus, consultez Accorder, modifier et révoquer les accès à des ressources.
5. Cliquez sur Continuer.
6. Facultatif: saisissez les utilisateurs ou groupes pouvant gérer et effectuer des actions avec ce compte de service. Pour en savoir plus, consultez Gérer l'emprunt d'identifiants pour un compte de service.
7. Cliquez sur OK. Notez l'adresse e-mail du compte de service.

Attribuer un rôle à un compte de service

Vous devez attribuer un rôle prédéfini ou personnalisé à un compte de service par un compte super-administrateur.

1. Dans la console d'administration Google, accédez à Menu menu> Compte > Rôles d'administrateur.

2. Placez le curseur sur le rôle que vous souhaitez attribuer, puis cliquez sur Attribuer un rôle d'administrateur.

3. Cliquez sur Attribuer des comptes de service.

4. Saisissez l'adresse e-mail du compte de service.

5. Cliquez sur Ajouter > Attribuer un rôle.

Créer des identifiants pour un compte de service

Vous devez obtenir les identifiants sous la forme d'une paire de clés publique/privée. Ces identifiants sont utilisés par votre code pour autoriser les actions du compte de service dans votre application.

Pour obtenir des identifiants pour votre compte de service:

1. Dans la console Google Cloud, accédez au menu menu > IAM et administration > Comptes de service.

   Accéder à la page "Comptes de service"

2. Sélectionnez votre compte de service.
3. Cliquez sur Clés > Ajouter une clé > Créer une clé.
4. Sélectionnez JSON, puis cliquez sur Créer.

   Votre nouvelle paire de clés publique/privée est générée et téléchargée sur votre ordinateur en tant que nouveau fichier. Ce fichier est la seule copie de cette clé. Pour savoir comment stocker votre clé en toute sécurité, consultez Gérer les clés de compte de service.

5. Cliquez sur Fermer.

(Facultatif) Configurer la délégation au niveau du domaine pour un compte de service

Pour appeler des API au nom des utilisateurs d'une organisation Google Workspace, un compte super-administrateur doit disposer d'une délégation d'autorité au niveau du domaine dans la console d'administration Google Workspace. Pour en savoir plus, consultez la délégation d'une autorité à l'échelle du domaine à un compte de service.

Pour configurer la délégation des autorisations au niveau du domaine pour un compte de service:

1. Dans la console Google Cloud, accédez au menu menu > IAM et administration > Comptes de service.

   Accéder à la page "Comptes de service"

2. Sélectionnez votre compte de service.
3. Cliquez sur Afficher les paramètres avancés.
4. Sous "Délégation au niveau du domaine", recherchez l'ID client de votre compte de service. Cliquez sur Copier content_copy pour copier la valeur de l'ID client dans votre presse-papiers.

5. Si vous disposez d'un accès super-administrateur au compte Google Workspace concerné, cliquez sur Afficher la console d'administration Google Workspace, puis connectez-vous à l'aide d'un compte super-administrateur et suivez la procédure ci-dessous.

   Si vous ne disposez pas d'un accès super-administrateur au compte Google Workspace concerné, contactez un super-administrateur de ce compte et envoyez-lui l'ID client de votre compte de service ainsi que la liste des champs d'application OAuth pour qu'il puisse effectuer les étapes suivantes dans la console d'administration.

1. Dans la console d'administration Google, accédez à Menu menu > Sécurité > Accès et contrôle des données > Commandes des API.

   Accéder aux commandes de l'API

2. Cliquez sur Gérer la délégation au niveau du domaine.
3. Cliquez sur Ajouter.
4. Dans le champ "ID client", collez l'ID client que vous avez copié précédemment.
5. Dans le champ "Champs d'application OAuth", saisissez la liste des champs d'application requis par votre application, séparés par une virgule. Il s'agit du même ensemble de niveaux d'accès que celui que vous avez défini lors de la configuration de l'écran de consentement OAuth.
6. Cliquez sur Autoriser.

Étape suivante

Vous êtes prêt à développer sur Google Workspace. Consultez la liste des produits Google Workspace pour les développeurs et découvrez comment obtenir de l'aide.