Envoyer pour validation de la marque

Toutes les applications qui accèdent aux API Google doivent vérifier qu'elles représentent précisément leur identité et leur intention, comme spécifié par le Règlement sur les données utilisateur pour les services d'API de Google. Pour garantir votre protection et celle des utilisateurs partagés de Google et de votre application, votre écran de consentement et votre application peuvent nécessiter une validation de Google.

Votre application doit être validée si elle remplit tous les critères suivants:

  • Dans Google API Console, la configuration de votre application est définie pour un type d'utilisateur de type Externe. Cela signifie que votre application est disponible pour tous les utilisateurs disposant d'un compte Google.
  • Vous souhaitez que votre application affiche un logo ou un nom à afficher sur l'écran d'autorisation OAuth.

Si vous incluez des informations sur la marque validées, vous pouvez augmenter la probabilité qu'un utilisateur reconnaisse votre marque et décide d'accorder l'accès à votre application. Les informations de marque validées peuvent également réduire le nombre de révocations par la suite, lorsqu'un utilisateur ou un administrateur Google Workspace examine les applications et services tiers ayant accès au compte. Le processus de validation de la marque sur l'écran de consentement OAuth prend généralement deux à trois jours ouvrés après l'envoi de la demande de validation.

Si vous n'envoyez pas votre demande de validation de marque, cela peut entraîner une diminution de la confiance des utilisateurs vis-à-vis de vos données, ce qui peut entraîner une diminution du nombre d'autorisations et de révocations par la suite.

L'écran de consentement indique aux utilisateurs qui demandent l'accès à leurs données et le type de données auquel votre application doit accéder en leur nom, comme indiqué dans l'encadré 2 de la figure 1.

Lorsque votre application est soumise au processus de validation de la marque et qu'elle est approuvée, les règles d'identité et de données utilisateur de votre application sont plus facilement comprises par le compte qui accorde l'autorisation. Cette compréhension claire peut augmenter la probabilité qu'un titulaire du compte autorise vos demandes et conserve son accès lorsqu'il examine les éventuelles révocations sur la page de son compte Google. Le contenu que vous configurez sur le protocole OAuth Consent Screen page dans API Console contient les composants suivants:

  1. Nom et logo de votre application (comme illustré dans l'encadré 1 de la figure 1)
  2. Votre adresse e-mail d'assistance utilisateur, qui s'affiche une fois le nom de votre application sélectionné (case 2 de la figure 1)
  3. Liens vers vos règles de confidentialité et vos conditions d'utilisation (encadré 3 de la figure 1)
Les étiquettes numérotées illustrent les différentes fonctionnalités d'un écran de consentement OAuth d'un projet avec les informations de marque approuvées.
Figure 1. Maquette de l'écran de consentement OAuth.

Domaines autorisés

Dans le cadre du processus de validation de la marque, Google exige que tous les domaines associés à l'écran de consentement et aux identifiants OAuth d'une application soient validés. Nous vous demandons de valider le composant de domaine disponible pour l'enregistrement sur un suffixe public: le domaine privé de premier niveau. Par exemple, un écran de consentement OAuth configuré avec une page d'accueil d'application https://sub.example.com/product demande au titulaire du compte de valider la propriété du domaine example.com.

La section Domaines autorisés de l'éditeur d'écran de consentement OAuth doit contenir les principaux domaines privés utilisés dans les URI de la section Domaine de l'application. Ces domaines incluent la page d'accueil de l'application, les règles de confidentialité et les conditions d'utilisation. La section Domaines autorisés doit également inclure les URI de redirection et/ou les origines JavaScript autorisés dans vos types de clients OAuth.

Validez la propriété de vos domaines autorisés à l'aide de la Google Search Console. Un compte Google disposant des autorisations de propriétaire pour un domaine doit être associé au API Console projet qui utilise ce domaine autorisé. Pour en savoir plus sur la validation du domaine dans Google Search Console, consultez Valider la propriété de votre site.

Procédure de préparation de la validation

Toutes les applications qui utilisent les API Google pour demander l'accès aux données doivent suivre les étapes ci-dessous pour finaliser la validation de la marque:

  1. Confirmez que votre application ne répond à aucun des cas d'utilisation de la section Exceptions aux exigences de validation.
  2. Assurez-vous que votre application respecte les exigences de branding des API ou des produits associés. Par exemple, consultez les consignes relatives aux marques pour les champs d'application Google Sign-In.
  3. Validez la propriété des domaines autorisés de votre projet dans la Google Search Console. Utilisez un compte Google associé à votre API Console projet en tant que propriétaire ou éditeur.
  4. Assurez-vous que toutes les informations de branding sur l'écran de consentement OAuth, telles que le nom de l'application, l'adresse e-mail de l'assistance, l'URI de la page d'accueil, l'URI des règles de confidentialité, etc., représentent fidèlement l'identité de l'application.

Exigences concernant la page d'accueil de l'application

Assurez-vous que votre page d'accueil remplit les conditions suivantes:

  • Votre page d'accueil doit être accessible publiquement, et pas seulement aux utilisateurs connectés à votre site.
  • La pertinence de votre page d'accueil par rapport à l'application en cours d'examen doit être claire.
  • Les liens vers la fiche de votre application sur le Google Play Store ou sa page Facebook ne sont pas considérés comme des pages d'accueil valides.

Exigences concernant le lien vers les règles de confidentialité de l'application

Assurez-vous que les règles de confidentialité de votre application répondent aux exigences suivantes:

  • Les règles de confidentialité doivent être visibles par les utilisateurs, hébergées sur le même domaine que la page d'accueil de votre application et accessibles via un lien sur l'écran d'autorisation OAuth de Google API Console. Notez que la page d'accueil doit inclure une description de la fonctionnalité de l'application, ainsi que des liens vers les règles de confidentialité et les conditions d'utilisation facultatives.
  • Ces règles de confidentialité doivent indiquer la manière dont votre application accède aux données utilisateur Google, les utilise, les stocke ou les partage. Vous devez limiter votre utilisation des données utilisateur Google aux pratiques mentionnées dans vos règles de confidentialité.

Envoyer votre application pour validation

Un Google API Console projet organise toutes vos ressources API Console . Un projet est constitué d'un ensemble de comptes Google associés autorisés à effectuer des opérations sur le projet, d'un ensemble d'API activées et de paramètres de facturation, d'authentification et de surveillance pour ces API. Par exemple, un projet peut contenir un ou plusieurs clients OAuth, configurer des API pour leur utilisation et configurer un écran d'autorisation OAuth présenté aux utilisateurs avant d'autoriser l'accès à votre application.

Si l'un de vos clients OAuth n'est pas prêt pour la production, nous vous suggérons de le supprimer du projet qui demande une validation. Vous pouvez le faire dans Google API Console.

Pour envoyer une demande de validation, procédez comme suit:

  1. Assurez-vous que votre application est conforme aux Conditions d'utilisation des API Google et au Règlement concernant les données utilisateur dans les services d'API Google.
  2. Tenez à jour les rôles de propriétaire et d'éditeur de vos comptes associés au projet, ainsi que l'adresse e-mail de l'écran d'autorisation OAuth, ainsi que les coordonnées des développeurs et l'adresse e-mail de l'assistance utilisateur, dans votre API Console. Les nouveaux membres de votre équipe seront ainsi informés des nouvelles exigences.
  3. Accédez à API ConsoleOAuth Consent Screen page.
  4. Cliquez sur le bouton Sélecteur de projet.

  5. Dans la boîte de dialogue Sélectionner à partir de qui s'affiche, sélectionnez votre projet. Si vous ne trouvez pas votre projet, mais que vous connaissez son ID, vous pouvez créer une URL dans votre navigateur au format suivant:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    Remplacez [PROJECT_ID] par l'ID du projet que vous souhaitez utiliser.

  6. Sélectionnez le bouton Modifier l'application.
  7. Saisissez les informations requises sur la page de l'écran d'autorisation OAuth, puis sélectionnez le bouton Enregistrer et continuer.
  8. Utilisez le bouton Ajouter ou supprimer des habilitations pour déclarer tous les champs d'application demandés par votre application. Un ensemble initial de champs d'application requis pour Google Sign-In est prérempli dans la section Champs d'application non sensibles. Les niveaux d'accès ajoutés sont classés comme non sensibles, sensitive, or restricted.
  9. Fournissez jusqu'à trois liens vers toute documentation pertinente sur les fonctionnalités associées dans votre application.

  10. Fournissez toutes les informations supplémentaires demandées concernant votre application dans les étapes suivantes.

  11. Si la configuration de l'application que vous fournissez nécessite une validation, vous avez la possibilité de l'envoyer pour validation. Remplissez les champs obligatoires, puis cliquez sur Envoyer pour lancer le processus de validation.

Une fois que vous avez envoyé votre application, l'équipe Trust & Safety de Google vous envoie par e-mail les informations supplémentaires requises ou la procédure à suivre. Vérifiez vos adresses e-mail dans la section Coordonnées du développeur et l'adresse e-mail d'assistance de votre écran de consentement OAuth pour les demandes d'informations supplémentaires. Vous pouvez également afficher l'écran d'autorisation OAuth de votre projet pour vérifier l'état actuel de l'examen de votre projet. Vous pouvez par exemple vérifier si le processus d'examen est mis en veille en attendant votre réponse.

Exceptions aux conditions de validation

Si votre application doit être utilisée dans l'un des scénarios décrits dans les sections suivantes, vous n'avez pas besoin de l'envoyer pour examen.

Usage personnel

Par exemple, vous êtes le seul utilisateur de votre application ou si celle-ci n'est utilisée que par quelques utilisateurs, que vous connaissez tous personnellement. Vous et votre nombre limité d'utilisateurs pouvez vous familiariser avec l'écran d'application non validé et accorder à vos comptes personnels l'accès à votre application.

Projets utilisés dans les phases de développement, de test ou de préproduction

Afin de respecter les règles OAuth 2.0 de Google, nous vous recommandons de disposer de projets différents pour les environnements de test et de production. Nous vous recommandons de n'envoyer votre application pour validation que si vous souhaitez la proposer à tout utilisateur disposant d'un compte Google. Par conséquent, si votre application est en phase de développement, de test ou de préproduction, la validation n'est pas obligatoire.

Si votre application est en phase de développement ou de test, vous pouvez laisser le champ État de la publication sur le paramètre par défaut Tests. Ce paramètre signifie que votre application est toujours en cours de développement et n'est accessible qu'aux utilisateurs figurant sur votre liste d'utilisateurs tests. Vous devez gérer la liste des comptes Google impliqués dans le développement ou le test de votre application.

Message d'avertissement indiquant que Google n'a pas validé une application en cours de test.
Figure 2. Écran d'avertissement du testeur

Données appartenant au service uniquement

Si votre application utilise un compte de service pour accéder uniquement à ses propres données et n'accède à aucune donnée utilisateur (associée à un compte Google), vous n'avez pas besoin de la faire valider.

Pour comprendre ce qu'est un compte de service, consultez la section Comptes de service dans la documentation de Google Cloud. Pour savoir comment utiliser un compte de service, consultez la page Utiliser OAuth 2.0 pour les applications de serveur à serveur.

Ils sont réservés à un usage interne

Autrement dit, seules les personnes de votre organisation Google Workspace ou Cloud Identity peuvent utiliser l'application. Le projet doit appartenir à l'organisation, et son écran d'autorisation OAuth doit être configuré pour un type d'utilisateur interne. Dans ce cas, votre application peut nécessiter l'approbation d'un administrateur de l'organisation. Pour en savoir plus, consultez Considérations supplémentaires pour Google Workspace.

Installation à l'échelle du domaine

Si vous prévoyez que votre application ne cible que les utilisateurs d'une organisation Google Workspace ou Cloud Identity et que vous utilisez toujours l'installation à l'échelle du domaine, vous n'aurez pas besoin de valider l'application. En effet, une installation à l'échelle du domaine permet à un administrateur de domaine d'autoriser des applications tierces et internes à accéder aux données de vos utilisateurs. Les administrateurs d'organisation sont les seuls comptes qui peuvent ajouter l'application à une liste d'autorisation pour l'utiliser dans leurs domaines.

Découvrez comment faire de votre application une installation au niveau du domaine en consultant la section Mon application comporte des utilisateurs disposant de comptes d'entreprise issus d'un autre domaine Google Workspace.