Envoyer pour validation de la marque

Toutes les applications qui accèdent aux API Google doivent vérifier qu'elles représentent avec précision leur identité et leur intention, comme spécifié par le Règlement sur les données utilisateur dans les services d'API Google. Pour vous protéger, vous et les utilisateurs partagés de Google et de votre application, votre écran de consentement et votre application peuvent nécessiter une validation de la part de Google.

Votre application doit être validée si elle répond à tous les critères suivants:

  • Dans Google API Console, la configuration de votre application est définie pour le type d'utilisateur Externe. Cela signifie que votre application est disponible pour tous les utilisateurs disposant d'un compte Google.
  • Vous souhaitez que votre application affiche un logo ou un nom à afficher sur l'écran de consentement OAuth.

Si vous incluez des informations validées relatives à la marque, vous pouvez augmenter la probabilité qu'un utilisateur reconnaisse votre marque et décide de vous accorder l'accès à votre application. Ces informations peuvent aussi réduire le nombre de révocations par la suite lorsqu'un utilisateur ou un administrateur Google Workspace examine les applications et services tiers ayant accès au compte. La procédure de validation de la marque sur l'écran de consentement OAuth prend généralement deux à trois jours ouvrés après l'envoi de la demande de validation.

Si vous n'envoyez pas votre demande de validation de la marque, les utilisateurs peuvent se fier à votre demande pour connaître leurs données, ce qui peut réduire le nombre d'autorisations utilisateur et augmenter le nombre de révocations par la suite.

L'écran de consentement indique aux utilisateurs qui demande à accéder à leurs données et à quel type de données votre application doit accéder en leur nom, comme le montre l'encadré 2 de la figure 1.

Lorsque votre application passe par le processus de validation de la marque et reçoit l'approbation, les règles concernant l'identité et les données utilisateur de votre application sont plus susceptibles d'être clairement comprises par le compte qui accorde l'autorisation. Avec cette compréhension claire, la probabilité qu'un titulaire de compte autorise vos requêtes et conserve l'accès est plus probable lorsqu'il examine les révocations possibles sur la page Compte Google. Le contenu que vous configurez sur OAuth Consent Screen page dans API Console contient les composants suivants:

  1. Le nom et le logo de votre application (comme illustré dans l'encadré 1 de la figure 1)
  2. Votre adresse e-mail d'assistance utilisateur, qui s'affiche une fois le nom de votre application sélectionné (encadré 2 de la figure 1)
  3. Liens vers vos règles de confidentialité et vos conditions d'utilisation (encadré 3 sur la figure 1)
Les étiquettes numérotées illustrent les différentes fonctionnalités d'un écran de consentement OAuth à partir d'un projet avec des informations sur la marque approuvée.
Figure 1. Maquette de l'écran de consentement OAuth.

Domaines autorisés

Lors du processus de validation des marques, Google exige la validation de tous les domaines associés à l'écran de consentement et aux identifiants OAuth d'une application. Nous vous demandons de valider le composant de domaine disponible à l'enregistrement sur un suffixe public: le domaine privé de premier niveau. Par exemple, un écran de consentement OAuth configuré avec la page d'accueil de l'application https://sub.example.com/product demande au titulaire du compte de valider la propriété du domaine example.com.

La section Domaines autorisés de l'éditeur d'écran de consentement OAuth doit contenir les principaux domaines privés utilisés dans les URI de la section Domaine de l'application. Ces domaines incluent la page d'accueil, les règles de confidentialité et les conditions d'utilisation de l'application. La section Domaines autorisés doit également inclure les URI de redirection et/ou les origines JavaScript autorisés dans les types de clients OAuth "Application Web".

Validez la propriété de vos domaines autorisés à l'aide de la Google Search Console. Un compte Google disposant des autorisations de propriétaire sur un domaine doit être associé au API Console projet qui utilise ce domaine autorisé. Pour en savoir plus sur la validation de domaine dans Google Search Console, consultez la page Valider la propriété de votre site.

Étapes de préparation à la validation

Toutes les applications qui utilisent les API Google pour demander l'accès aux données doivent suivre les étapes ci-dessous pour valider la marque:

  1. Vérifiez que votre application ne correspond à aucun des cas d'utilisation de la section Exceptions aux exigences de validation.
  2. Assurez-vous que votre application respecte les exigences de branding des API ou des produits associés. Par exemple, consultez les consignes relatives à la marque pour les champs d'application Google Sign-In.
  3. Validez la propriété des domaines autorisés de votre projet dans la Google Search Console. Utilisez un compte Google associé à votre projet API Console en tant que propriétaire ou éditeur.
  4. Assurez-vous que toutes les informations de branding affichées sur l'écran de consentement OAuth, telles que le nom de l'application, l'adresse e-mail d'assistance, l'URI de la page d'accueil, l'URI des règles de confidentialité, etc., représentent fidèlement l'identité de l'application.

Exigences concernant la page d'accueil de l'application

Assurez-vous que votre page d'accueil répond aux exigences suivantes:

  • Votre page d'accueil doit être accessible au public, et pas seulement aux utilisateurs connectés à votre site.
  • La pertinence de votre page d'accueil par rapport à l'application qui est en cours d'examen doit être claire.
  • Les liens vers la fiche de votre application sur le Google Play Store ou sa page Facebook ne sont pas considérés comme des pages d'accueil valides.

Exigences concernant les liens vers les règles de confidentialité de l'application

Assurez-vous que les règles de confidentialité de votre application respectent les exigences suivantes:

  • Les règles de confidentialité doivent être visibles par les utilisateurs, hébergées sur le même domaine que la page d'accueil de votre application et être accessibles via un lien sur l'écran de consentement OAuth du Google API Console. Notez que la page d'accueil doit inclure une description des fonctionnalités de l'application, ainsi que des liens vers les règles de confidentialité et des conditions d'utilisation facultatives.
  • Ces règles doivent indiquer la manière dont votre application accède aux données utilisateur de Google, les utilise, les stocke ou les partage. Vous devez limiter l'utilisation des données utilisateur Google aux pratiques mentionnées dans vos règles de confidentialité.

Faire valider votre application

Un projetGoogle API Console organise toutes vos API Console ressources. Un projet se compose d'un ensemble de comptes Google associés autorisés à effectuer des opérations sur des projets, d'un ensemble d'API activées, et de paramètres de facturation, d'authentification et de surveillance pour ces API. Par exemple, un projet peut contenir un ou plusieurs clients OAuth, configurer des API destinées à ces clients et configurer un écran de consentement OAuth qui s'affiche avant qu'ils n'autorisent l'accès à votre application.

Si certains de vos clients OAuth ne sont pas prêts pour la production, nous vous suggérons de les supprimer du projet qui demande une validation. Vous pouvez le faire dans Google API Console.

Pour demander la validation de votre compte, procédez comme suit:

  1. Assurez-vous que votre application respecte les Conditions d'utilisation des API Google et le Règlement sur les données utilisateur des services d'API Google.
  2. Dans votre API Console, conservez à jour les rôles de propriétaire et d'éditeur des comptes associés à votre projet, ainsi que l'adresse e-mail de l'assistance utilisateur et les coordonnées du développeur sur votre écran de consentement OAuth. Cela permet de s'assurer que les membres appropriés de votre équipe sont informés de toute nouvelle exigence.
  3. Accédez à API Console OAuth Consent Screen page.
  4. Cliquez sur le bouton Sélecteur de projet.
  5. Dans la boîte de dialogue Sélectionner à partir de qui s'affiche, sélectionnez votre projet. Si vous ne trouvez pas votre projet alors que vous connaissez son ID, vous pouvez créer une URL dans votre navigateur au format suivant:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    Remplacez [PROJECT_ID] par l'ID du projet que vous souhaitez utiliser.

  6. Sélectionnez le bouton Edit App (Modifier l'application).
  7. Saisissez les informations nécessaires sur la page de l'écran de consentement OAuth, puis sélectionnez le bouton Enregistrer et continuer.
  8. Utilisez le bouton Ajouter ou supprimer des champs d'application pour déclarer tous les champs d'application demandés par votre application. Un ensemble initial de champs d'application nécessaires pour Google Sign-In est prérempli dans la section Champs d'application non sensibles. Les champs d'application ajoutés sont classés comme non sensibles ( sensitive, or restricted).
  9. Fournissez jusqu'à trois liens vers toute documentation pertinente sur les fonctionnalités associées de votre application.
  10. Fournissez toute information supplémentaire demandée sur votre application lors des étapes suivantes.

  11. Si la configuration de l'application que vous fournissez nécessite une validation, vous avez la possibilité de l'envoyer pour validation. Remplissez les champs obligatoires, puis cliquez sur Envoyer pour lancer la procédure de validation.

Une fois votre application envoyée, l'équipe Trust & Safety de Google vous enverra un e-mail avec toutes les informations supplémentaires dont elle a besoin ou les étapes à suivre. Vérifiez vos adresses e-mail dans la section Coordonnées du développeur et l'adresse e-mail d'assistance figurant sur votre écran de consentement OAuth pour toute demande d'informations supplémentaires. Vous pouvez également consulter la page de l'écran d'autorisation OAuth de votre projet pour vérifier son état actuel et si le processus d'examen est suspendu en attendant votre réponse.

Exceptions aux exigences de validation

Si votre application doit être utilisée dans l'un des scénarios décrits dans les sections suivantes, vous n'avez pas besoin de l'envoyer pour examen.

Usage personnel

Par exemple, vous êtes le seul utilisateur de votre application, ou celle-ci n'est utilisée que par un petit nombre d'utilisateurs, que vous connaissez tous personnellement. Vous et votre nombre limité d'utilisateurs pouvez être à l'aise pour passer sur l'écran de l'application non validée et autoriser vos comptes personnels à accéder à votre application.

Projets utilisés dans les niveaux de développement, de test ou de préproduction

Afin de respecter les règles Google OAuth 2.0, nous vous recommandons de disposer de projets différents pour les environnements de test et de production. Nous vous recommandons de n'envoyer votre application pour validation que si vous souhaitez qu'elle soit accessible à tous les utilisateurs disposant d'un compte Google. Par conséquent, si votre application est en phase de développement, de test ou de préproduction, la validation n'est pas requise.

Si votre application est en phase de développement ou de test, vous pouvez conserver le paramètre par défaut Tests État de publication. Ce paramètre signifie que votre application est toujours en développement et n'est disponible que pour les utilisateurs figurant sur votre liste d'utilisateurs de test. Vous devez gérer la liste des comptes Google impliqués dans le développement ou le test de votre application.

Message d'avertissement indiquant que Google n'a pas validé une application en cours de test.
Figure 2. Écran d'avertissement pour les testeurs

Données appartenant au service uniquement

Si votre application utilise un compte de service pour accéder uniquement à ses propres données et qu'elle n'accède à aucune donnée utilisateur (associée à un compte Google), vous n'avez pas besoin de faire valider votre application.

Pour comprendre en quoi consistent les comptes de service, consultez la page Comptes de service dans la documentation de Google Cloud. Pour obtenir des instructions sur l'utilisation d'un compte de service, consultez la page Utiliser OAuth 2.0 pour les applications de serveur à serveur.

Ils sont réservés à un usage interne

Cela signifie que l'application n'est utilisée que par les membres de votre organisation Google Workspace ou Cloud Identity. Le projet doit appartenir à l'organisation, et son écran de consentement OAuth doit être configuré pour un type d'utilisateur Interne. Dans ce cas, votre application peut nécessiter l'approbation d'un administrateur de l'organisation. Pour en savoir plus, consultez la section Considérations supplémentaires concernant Google Workspace.

Installation au niveau du domaine

Si vous prévoyez que votre application cible uniquement les utilisateurs d'une organisation Google Workspace ou Cloud Identity, et que vous utilisez toujours une installation au niveau du domaine, votre application ne nécessite pas de validation. En effet, une installation au niveau du domaine permet à un administrateur de domaine d'autoriser des applications tierces et internes à accéder aux données de vos utilisateurs. Les administrateurs de l'organisation sont les seuls comptes qui peuvent ajouter l'application à une liste d'autorisation en vue de l'utiliser dans leurs domaines.

Pour savoir comment configurer votre application pour une installation au niveau du domaine, consultez la section Mon application comporte des utilisateurs avec des comptes d'entreprise issus d'un autre domaine Google Workspace.