Configurer OAuth

Lorsque vous publiez votre application, vous devez effectuer quatre tâches principales pour l'authentification et l'autorisation:

  1. Remplissez l'écran de consentement OAuth.
  2. Créez vos identifiants OAuth 2.0.
  3. Configurer tous les champs d'application dont l'application a besoin pour s'exécuter dans le SDK Google Workspace Marketplace
  4. Demandez la validation OAuth pour votre application.

Les niveaux d'accès que vous ajoutez à chaque lieu doivent correspondre et sont utilisés de la manière suivante:

  • Les champs d'application ajoutés à l'écran de consentement OAuth sont utilisés pour la validation OAuth.
  • Les champs d'application ajoutés au SDK Google Workspace Marketplace sont utilisés pour les installations à l'échelle du domaine et individuelles afin d'autoriser votre application lorsqu'elle est installée depuis Google Workspace Marketplace.
  • Les champs d'application ajoutés au fichier manifeste sont nécessaires au bon fonctionnement de votre application.

Par exemple, si vous publiez une application qui inclut un module complémentaire Google Sheets et un module complémentaire Google Docs, le fichier manifeste Apps Script de chaque module complémentaire n'inclut que les champs d'application spécifiques à ce module complémentaire. Dans votre projet Google Cloud, l'écran de consentement OAuth et le SDK Google Workspace Marketplace incluent les champs d'application des deux modules complémentaires.

Prérequis

L'écran de consentement OAuth est une invite qui indique aux utilisateurs qui demande l'accès à leurs données et à quel type de données ils autorisent votre application à accéder.

  1. Dans la console Google Cloud, accédez à Menu > API et services > Écran de consentement OAuth.

    Accéder à l'écran de consentement OAuth

  2. Sélectionnez le type d'utilisateur de votre application, puis cliquez sur Créer.
  3. Remplissez le formulaire d'enregistrement de l'application, puis cliquez sur Save and Continue (Enregistrer et continuer).
  4. Si vous créez une application pour l'utiliser en dehors de votre organisation Google Workspace, cliquez sur Ajouter ou supprimer des champs d'application. Nous vous recommandons de suivre les bonnes pratiques suivantes lors de la sélection des champs d'application:

    • Sélectionnez les champs d'application fournissant le niveau d'accès minimal requis par votre application. Pour obtenir la liste des champs d'application disponibles, consultez Champs d'application OAuth 2.0 pour les API Google.
    • Examinez les champs d'application répertoriés dans chacune des trois sections: champs d'application non sensibles, champs d'application sensibles et champs d'application restreints. Pour tous les champs d'application listés dans les sections "Vos champs d'application sensibles" ou "Vos champs d'application restreints", essayez d'identifier d'autres champs d'application non sensibles afin d'éviter des examens supplémentaires inutiles.
    • Certaines portées nécessitent un examen supplémentaire de la part de Google. Pour les applications utilisées uniquement en interne par votre organisation Google Workspace, les champs d'application ne sont pas répertoriés sur l'écran de consentement, et l'utilisation de champs d'application restreints ou sensibles ne nécessite pas d'examen supplémentaire de la part de Google. Pour en savoir plus, consultez la section Catégories de champs d'application.
  5. Après avoir sélectionné les champs d'application requis par votre application, cliquez sur Enregistrer et continuer.
  6. Si vous avez sélectionné le type d'utilisateur Externe, ajoutez des utilisateurs tests :
    1. Sous Utilisateurs test, cliquez sur Ajouter des utilisateurs.
    2. Saisissez votre adresse e-mail et celle de tout autre utilisateur test autorisé, puis cliquez sur Enregistrer et continuer.
  7. Consultez le résumé d'enregistrement de votre application. Pour apporter des modifications, cliquez sur Modifier. Si l'enregistrement de l'application semble correct, cliquez sur Back to Dashboard (Revenir au tableau de bord).

2. Créer vos identifiants OAuth 2.0

Selon la manière dont vous avez créé votre application, il existe deux façons de créer vos identifiants OAuth 2.0.

Si vous avez créé votre application dans Apps Script

Basculez votre projet Apps Script de son projet Google Cloud par défaut vers votre nouveau projet standard. Consultez Passer à un autre projet standard.

Une fois que vous avez associé votre projet Apps Script au projet Google Cloud, vos identifiants OAuth 2.0 sont automatiquement créés.

Si vous n'avez pas utilisé Apps Script pour créer votre application

Pour créer vos identifiants OAuth 2.0, consultez la section Identifiants d'ID client OAuth.

3. Configurer les champs d'application

Fournissez la liste complète des habilitations OAuth requises par votre application. Utilisez toujours les champs d'application les plus étroits possible.

Pour définir le niveau d'accès accordé à votre application, vous devez identifier et déclarer des champs d'application d'autorisation. Un champ d'application d'autorisation est une chaîne d'URI OAuth 2.0 contenant le nom de l'application Google Workspace, le type de données auxquelles elle accède et le niveau d'accès. Les champs d'application correspondent aux demandes d'utilisation de votre application avec les données Google Workspace, y compris les données des comptes Google des utilisateurs.

Lorsque votre application est installée, l'utilisateur est invité à valider les champs d'application utilisés par l'application. En règle générale, vous devez choisir le champ d'application le plus précis possible et éviter de demander les champs d'application dont votre application n'a pas besoin. Les utilisateurs accordent plus facilement l'accès à des champs d'application limités et clairement décrits.

4. Envoyer pour la validation OAuth (applications publiques uniquement)

Si une application publique utilise des niveaux d'accès sensibles ou restreints, elle doit être soumise à un processus de vérification OAuth.

  • Pour la validation OAuth, vous devez envoyer une vidéo de démonstration présentant le parcours ou le parcours qui explique aux utilisateurs l'utilisation des champs d'application ou des données demandés.
  • Si votre application utilise des niveaux d'accès restreints, elle devra peut-être également passer par une évaluation de sécurité. Consultez la section Pourquoi l'évaluation de sécurité est-elle nécessaire ?

Pour demander la validation, procédez comme suit:

  1. Dans la console Google Cloud, accédez à Menu > API et services > Écran de consentement OAuth.

    Accéder à l'écran de consentement OAuth

  2. Cliquez sur Sélecteur de projet, puis sélectionnez votre projet.
  3. Cliquez sur Modifier l'application.
  4. Saisissez les informations requises, puis cliquez sur Envoyer pour validation.
  5. Dans la boîte de dialogue Validation requise, saisissez les justifications appropriées, puis cliquez sur Envoyer pour lancer la procédure de validation.

Si vous mettez à jour votre application pour utiliser différents niveaux d'accès sensibles ou restrictifs, vous devez à nouveau demander la validation OAuth pour votre application. Vous n'avez pas besoin de la renvoyer pour examen de l'application.

En quoi la validation OAuth diffère-t-elle de l'examen des applications ?

La validation OAuth est un processus distinct de l'examen des applications. L'objectif est de vous assurer que votre écran de consentement représente fidèlement l'identité et l'intention de votre application, et que celle-ci n'utilise pas les données utilisateur de manière abusive. La fiche de votre application ne peut pas être approuvée tant que la validation OAuth de votre application n'est pas terminée. Pour en savoir plus sur la validation OAuth, consultez les questions fréquentes sur la validation de l'API OAuth.

L'examen des applications se concentre sur les informations que vous fournissez dans l'API Google Workspace Marketplace, ainsi que sur le fonctionnement et l'usabilité de votre application. Pour en savoir plus sur les critères d'examen des applications, consultez À propos de l'examen des applications.