Configurer OAuth

Lorsque vous publiez votre application, vous devez effectuer quatre tâches principales pour l'authentification et l'autorisation:

  1. Remplissez l'écran d'autorisation OAuth.
  2. Créez vos identifiants OAuth 2.0.
  3. Configurer tous les champs d'application dont l'application a besoin pour s'exécuter dans le SDK Google Workspace Marketplace
  4. Faites valider votre application OAuth.

Les champs d'application que vous ajoutez à chaque lieu doivent correspondre et sont utilisés comme suit:

  • Les niveaux d'accès ajoutés à l'écran de consentement OAuth sont utilisés pour la validation OAuth.
  • Les habilitations ajoutées au SDK Google Workspace Marketplace sont utilisées pour les installations au niveau du domaine et individuelles afin d'autoriser votre application lorsqu'elle est installée à partir de Google Workspace Marketplace.
  • Les champs d'application ajoutés au fichier manifeste sont nécessaires au bon fonctionnement de votre application.

Par exemple, si vous publiez une application qui inclut un module complémentaire Google Sheets et un module complémentaire Google Docs, le fichier manifeste Apps Script de chaque module complémentaire n'inclut que les portées spécifiques au module complémentaire. Dans votre projet Google Cloud, l'écran de consentement OAuth et le SDK Google Workspace Marketplace incluent les champs d'application des deux modules complémentaires.

Prérequis

L'écran d'autorisation OAuth est une invite qui indique aux utilisateurs qui demande l'accès à leurs données et à quel type de données les utilisateurs autorisent votre application à accéder.

  1. Dans la console Google Cloud, accédez à Menu  > API et services > Écran de consentement OAuth.

    Accéder à l'écran de consentement OAuth

  2. Sélectionnez le type d'utilisateur pour votre application, puis cliquez sur Créer.
  3. Remplissez le formulaire d'enregistrement de l'application, puis cliquez sur Enregistrer et continuer.
  4. Si vous créez une application à utiliser en dehors de votre organisation Google Workspace, cliquez sur Ajouter ou supprimer des champs d'application. Nous vous recommandons de suivre les bonnes pratiques suivantes lorsque vous sélectionnez des champs d'application:

    • Sélectionnez les champs d'application qui fournissent le niveau d'accès minimal requis par votre application. Pour obtenir la liste des champs d'application disponibles, consultez la section Champs d'application OAuth 2.0 pour les API Google.
    • Examinez les portées listées dans chacune des trois sections: portées non sensibles, portées sensibles et portées restreintes. Pour tous les champs d'application listés dans les sections "Vos champs d'application sensibles" ou "Vos champs d'application limités", essayez d'identifier d'autres champs d'application non sensibles pour éviter des examens supplémentaires inutiles.
    • Certaines portées nécessitent des examens supplémentaires de la part de Google. Pour les applications utilisées uniquement en interne par votre organisation Google Workspace, les portées ne sont pas listées sur l'écran de consentement, et l'utilisation de portées restreintes ou sensibles ne nécessite pas d'examen supplémentaire de la part de Google. Pour en savoir plus, consultez la section Catégories de champ d'application.
  5. Après avoir sélectionné les champs d'application requis par votre application, cliquez sur Enregistrer et continuer.
  6. Si vous avez sélectionné Externe comme type d'utilisateur, ajoutez des utilisateurs de test :
    1. Sous Utilisateurs tests, cliquez sur Ajouter des utilisateurs.
    2. Saisissez votre adresse e-mail et celle des autres utilisateurs de test autorisés, puis cliquez sur Enregistrer et continuer.
  7. Consultez le résumé de l'enregistrement de votre application. Pour y apporter des modifications, cliquez sur Modifier. Si l'enregistrement de l'application semble correct, cliquez sur Revenir au tableau de bord.

2. Créer vos identifiants OAuth 2.0

Selon la façon dont vous avez créé votre application, il existe deux façons différentes de créer vos identifiants OAuth 2.0.

Si vous avez créé votre application dans Apps Script

Passez de votre projet Apps Script à votre nouveau projet Google Cloud standard. Consultez la section Basculer vers un autre projet standard.

Une fois que vous avez associé votre projet Apps Script au projet Google Cloud, vos identifiants OAuth 2.0 sont créés automatiquement.

Si vous n'avez pas utilisé Apps Script pour créer votre application

Pour créer vos identifiants OAuth 2.0, consultez la section Identifiants ID client OAuth.

3. Configurer les champs d'application

Fournissez la liste complète des champs d'application OAuth dont votre application a besoin. Utilisez toujours les champs d'application les plus restreints possible.

Pour définir le niveau d'accès accordé à votre application, vous devez identifier et déclarer des champs d'application de l'autorisation. Un champ d'application d'autorisation est une chaîne d'URI OAuth 2.0 qui contient le nom de l'application Google Workspace, le type de données auxquelles elle accède et le niveau d'accès. Les champs d'application correspondent aux demandes de votre application pour utiliser les données Google Workspace, y compris les données du compte Google des utilisateurs.

Lorsque votre application est installée, un utilisateur est invité à valider les champs d'application utilisés par l'application. En règle générale, vous devez choisir le champ d'application le plus ciblé possible et éviter de demander des champs d'application dont votre application n'a pas besoin. Les utilisateurs accordent plus facilement l'accès à des champs d'application limités et clairement décrits.

4. Envoyer pour validation OAuth (applications publiques uniquement)

Si une application publique utilise des champs d'application sensibles ou restreints, elle doit faire l'objet d'un examen de validation OAuth.

  • Pour la validation OAuth, vous devez envoyer une vidéo de démonstration illustrant le parcours ou le flux qui explique l'utilisation des champs d'application ou des données demandées aux utilisateurs.
  • Si votre application utilise des champs d'application restreints, elle peut également être soumise à une évaluation de la sécurité. Consultez la section Pourquoi l'évaluation de la sécurité est-elle nécessaire ?

Pour demander la validation de votre compte, procédez comme suit:

  1. Dans la console Google Cloud, accédez à Menu  > API et services > Écran de consentement OAuth.

    Accéder à l'écran de consentement OAuth

  2. Cliquez sur Sélecteur de projet, puis sélectionnez votre projet.
  3. Cliquez sur Modifier l'application.
  4. Saisissez les informations requises, puis cliquez sur Soumettre pour validation.
  5. Dans la boîte de dialogue Validation requise, saisissez les justifications appropriées, puis cliquez sur Envoyer pour lancer la procédure de validation.

Si vous mettez à jour votre application pour qu'elle utilise des champs d'application sensibles ou restrictifs, vous devez la renvoyer pour validation OAuth. Vous n'avez pas besoin de l'envoyer à nouveau pour examen.

Différences entre la validation OAuth et l'examen des applications

La validation OAuth est un processus distinct de l'examen des applications. Il vise à s'assurer que votre écran d'autorisation représente précisément l'identité et l'intention de votre application, et qu'elle n'utilise pas de manière abusive les données utilisateur. Votre fiche d'application ne peut pas être approuvée tant que la validation OAuth de votre application n'est pas terminée. Pour en savoir plus sur la validation OAuth, consultez les questions fréquentes sur la validation de l'API OAuth.

L'examen de l'application se concentre sur les informations que vous fournissez dans l'API Google Workspace Marketplace, ainsi que sur les fonctionnalités et la facilité d'utilisation de votre application. Pour en savoir plus sur les critères d'examen des applications, consultez À propos de l'examen des applications.