Validation des clients OAuth

Projets Apps Script qui demandent des champs d'application OAuth sensibles.

Les clients Google OAuth qui demandent certains champs d'application OAuth sensibles sont soumis à la validation de Google. Pour obtenir une présentation générale du processus d'autorisation, consultez Autorisation pour les services Google.

La validation n'est pas requise pour les projets Google Apps Script dont le propriétaire et les utilisateurs appartiennent au même domaine ou client Google Workspace.

Si vous ne validez pas le client OAuth de votre projet de script, les utilisateurs en dehors de votre domaine verront un écran d'application non validée lorsqu'ils tenteront d'autoriser votre script. Un flux d'autorisation non validé permet à ces utilisateurs d'autoriser des applications non validées et de les utiliser, mais uniquement après avoir confirmé qu'ils comprennent les risques. Le nombre total d'utilisateurs d'applications non validées est également limité.

Pour en savoir plus, consultez les articles suivants :

 

Écran d'avertissement d'application non validée.
Figure 1 : Écran d'application non validée
GIF animé montrant le flux d'autorisation pour une application non validée.
Figure 2 : Flux d'autorisation d'application non validée

 

Cette modification s'applique aux clients Web Google OAuth, y compris ceux utilisés par tous les projets Apps Script. En validant votre application auprès de Google, vous pouvez supprimer l'écran d'application non validée de votre flux d'autorisation et rassurer vos utilisateurs sur le fait que votre application n'est pas malveillante.

Applications non validées

Les modules complémentaires Google Workspace, les applications Web et d'autres déploiements (tels que les applications qui utilisent l' API Apps Script) peuvent nécessiter une validation.

Les modules complémentaires ne sont plus validés dans le cadre du processus d'examen des modules complémentaires Google Workspace, et doivent être validés avant d'être publiés.

Applicabilité

Si l'application utilise des champs d'application OAuth sensibles, l'écran d'application non validée peut s'afficher dans le cadre du flux d'autorisation. Sa présence (et le flux d'autorisation d'application non validée qui en résulte) dépend du compte à partir duquel l'application est publiée et du compte qui tente d'utiliser l'application. Par exemple, les applications publiées en interne au sein d'une organisation Google Workspace spécifique n'entraînent pas le flux d'autorisation d'application non validée pour les comptes de ce domaine, même si l'application n'a pas été validée.

Le tableau suivant illustre les situations qui entraînent le flux d'autorisation d'application non validée :

Le client est validé L'éditeur est un compte Google Workspace du client A Le script se trouve dans un Drive partagé du client A L'éditeur est un compte Gmail
L'utilisateur est un compte Google Workspace du client A Flux d'authentification normal Flux d'authentification normal Flux d'authentification normal Flux d'authentification non validé
L'utilisateur est un compte Google Workspace qui n'appartient pas au client A Flux d'authentification normal Flux d'authentification non validé Flux d'authentification non validé Flux d'authentification non validé
L'utilisateur est un compte Gmail1 Flux d'authentification normal Flux d'authentification non validé Flux d'authentification non validé Flux d'authentification non validé

1 Tout compte Gmail, y compris celui utilisé pour publier l'application.

Limite d'utilisateurs

Le nombre d'utilisateurs pouvant autoriser une application à l'aide du flux d'application non validée est limité afin de restreindre les abus potentiels. Pour en savoir plus, consultez Limites d'utilisateurs pour les applications OAuth.

Faire valider

Vous pouvez demander la validation du client OAuth utilisé par votre application et de son projet Google Cloud associé. Une fois votre application validée, l'écran d'application non validée ne s'affiche plus pour vos utilisateurs. De plus, votre application n'est plus soumise à la limite d'utilisateurs.

Conditions requises

Pour envoyer votre client OAuth à des fins de validation, vous devez remplir les conditions suivantes :

  1. Vous devez posséder un site Web sur un domaine. Le site doit héberger des pages accessibles au public qui décrivent votre application et ses règles de confidentialité. Vous devez également valider la propriété de votre site auprès de Google.

    Vous n'avez pas besoin de publier votre application à partir d'un compte de ce domaine, mais le propriétaire du domaine doit être éditeur ou propriétaire du projet de script.

  2. Le projet Google Cloud utilisé par votre projet de script doit être un projet Google Cloud standard pour lequel vous disposez d'un accès en modification. Si votre script utilise son projet Google Cloud par défaut, vous devez passer à un projet Google Cloud standard.

De plus, vous devez disposer des éléments obligatoires suivants :

  • Nom de l'application : nom de l'application affiché sur l'écran de consentement. Il doit correspondre au nom utilisé pour l'application dans d'autres emplacements, comme la fiche Google Workspace Marketplace pour les applications publiées.
  • Logo de l'application : image au format JPEG, PNG ou BMP à utiliser dans l'écran de consentement. La taille du fichier ne doit pas dépasser 1 Mo.
  • Adresse e-mail d'assistance : adresse e-mail affichée sur l'écran de consentement que les utilisateurs peuvent contacter s'ils ont besoin d'aide pour l'application. Il peut s'agir de votre adresse e-mail ou d'un groupe Google dont vous êtes le propriétaire ou l'administrateur.
  • Champs d'application : liste de tous les champs d'application utilisés par votre application. Vous pouvez afficher vos champs d'application dans l'éditeur de script Apps Script.
  • Domaines autorisés : liste des domaines contenant des informations sur votre application. Tous les liens de votre application (tels que la page obligatoire des règles de confidentialité) doivent être hébergés sur des domaines autorisés.
  • URL de la page d'accueil de l'application : emplacement d'une page d'accueil décrivant votre application. Cet emplacement doit être hébergé sur un domaine autorisé.
  • URL des règles de confidentialité de l'application : emplacement d'une page décrivant les règles de confidentialité de votre application. Cet emplacement doit être hébergé sur un domaine autorisé.

En plus des éléments obligatoires précédents, vous pouvez éventuellement fournir une URL des conditions d'utilisation de l'application qui pointe vers une page décrivant les conditions d'utilisation de votre application. Si vous la fournissez, cet emplacement doit se trouver dans un domaine autorisé.

Étapes

  1. Si ce n'est pas déjà fait, validez la propriété de tous les domaines autorisés que vous utilisez pour héberger les règles de confidentialité et d'autres informations de votre projet de script. Les propriétaires validés des domaines doivent être éditeurs ou propriétaires du projet de script.
  2. Dans le projet Apps Script, cliquez sur Aperçu . Sous Champs d'application OAuth du projet, copiez les champs d'application utilisés par votre projet de script.

  3. Remplissez l'écran de consentement OAuth pour le projet Google Cloud de votre application à l'aide du texte et des éléments d'URL que vous avez collectés.

    1. Répertoriez les domaines autorisés où sont hébergées les informations de votre application (telles que ses règles de confidentialité).

    2. Pour ajouter les champs d'application de votre application, cliquez sur Ajouter ou supprimer des champs d'application. La boîte de dialogue qui s'affiche tente de détecter automatiquement les champs d'application des API que vous avez activées dans la console Google Cloud (tels que les services avancés). Vous pouvez sélectionner des champs d'application dans cette liste en cochant les cases correspondantes.

      Cette liste détectée automatiquement n'inclut pas toujours les champs d'application utilisés par Apps Script services intégrés. Vous devez saisir ces champs d'application sous Ajouter manuellement des champs d'application.

      Lorsque vous avez terminé, cliquez sur Mettre à jour.

  4. Une fois que vous avez saisi toutes les informations requises, cliquez sur Enregistrer.

  5. Cliquez sur Envoyer pour validation pour lancer une demande de validation.

La plupart des demandes de validation reçoivent une réponse dans un délai de 24 à 72 heures. Vous pouvez vérifier l'état de la validation en haut du formulaire de l'écran de consentement OAuth. Une fois la validation de votre client OAuth confirmée, votre application est validée.

Si votre application est validée et que vous décidez ensuite de passer à un autre projet Google Cloud, vous devez répéter ces étapes pour que l'application reste validée.