Vérification du niveau d'accès sensible

Si votre application demande l'autorisation d'utiliser les API Google pour accéder aux données des utilisateurs Google, vous devrez peut-être suivre un processus de validation avant de la rendre publique pour la première fois.

Cette exigence s'applique-t-elle à votre application ? Cela dépend principalement de deux facteurs:

  1. Le type de données utilisateur auxquelles vous accédez : informations de profil public, entrées de calendrier, fichiers dans Drive, certaines données de santé et de remise en forme, etc.
  2. Le niveau d'accès dont vous avez besoin (lecture seule, lecture et écriture, etc.)

Lorsque vous utilisez OAuth 2.0 pour obtenir l'autorisation d'un compte Google d'accéder à ses données, vous utilisez des chaînes appelées champs d'application pour spécifier le type de données auquel vous souhaitez accéder en son nom. Si votre application demande des champs d'application classés comme sensibles ou restreints, vous devrez probablement suivre la procédure de validation, sauf si l'utilisation de votre application peut faire l'objet d'une exception.

La lecture d'événements stockés dans Google Agenda, le stockage d'un nouveau contact dans Google Contacts ou la suppression d'une vidéo YouTube sont des exemples de champs d'application sensibles. Pour en savoir plus sur les champs d'application disponibles et leur classification, consultez la documentation de référence des points de terminaison de l'API appelés par votre application, ainsi que tout guide d'autorisation associé publié pour l'API.

Vous devez demander des portées qui nécessitent le moins d'accès aux données utilisateur possible pour fournir cette fonctionnalité. Par exemple, une application qui ne lit que des données ne doit pas demander l'accès pour lire, écrire et supprimer du contenu lorsqu'un champ d'application plus restreint est disponible pour l'API et ses points de terminaison associés. Les données que vous recevez d'une API Google ne doivent être utilisées que conformément aux règles de l'API et de la manière que vous présentez à vos utilisateurs dans les actions de votre application et dans vos règles de confidentialité.

Veillez à prendre en compte le temps nécessaire pour effectuer la validation dans votre plan de lancement pour votre application ou toute nouvelle fonctionnalité nécessitant un nouveau champ d'application. La procédure de validation de la portée sensible prend généralement trois à cinq jours ouvrés. Notez que votre application peut être éligible à la validation de la marque en tant que sous-ensemble de votre demande de validation de l'accès sensible.

Comprendre les champs d'application sensibles

Les périmètres sensibles doivent être examinés par Google avant qu'un compte Google puisse accorder l'accès. Les administrateurs d'une organisation Google Workspace peuvent restreindre l'accès aux portées sensibles pour empêcher l'accès par des ID client OAuth que l'organisation ne marque pas explicitement comme approuvés.

Comprendre l'utilisation de votre portée

  • Examinez les champs d'application que votre application utilise ou que vous souhaitez utiliser. Pour connaître l'utilisation existante de votre champ d'application, examinez le code source de votre application pour identifier les champs d'application envoyés avec les requêtes d'autorisation.
  • Vérifiez que chaque champ d'application demandé est nécessaire pour les actions prévues de la fonctionnalité de votre application et qu'il utilise le niveau de privilège le moins élevé nécessaire pour fournir la fonctionnalité. Une API Google dispose généralement d'une documentation de référence sur la page Google Developer du produit pour ses points de terminaison, qui inclut le champ d'application requis pour appeler le point de terminaison ou des propriétés spécifiques. Pour en savoir plus sur les portées d'accès requises pour les points de terminaison d'API que votre application appelle, consultez la documentation de référence de ces points de terminaison.
  • Les données que vous recevez d'une API Google ne doivent être utilisées que conformément aux règles de l'API et de la manière que vous présentez à vos utilisateurs dans les actions de votre application et dans vos règles de confidentialité.
  • Consultez la documentation de l'API pour en savoir plus sur chaque champ d'application, y compris son état sensitive or restricted potentiel.
  • Déclarez tous les champs d'application utilisés par votre application dans le de . Les champs d'application que vous spécifiez sont regroupés dans des catégories sensibles ou restreintes pour mettre en évidence toute validation supplémentaire requise.
  • Trouvez la meilleure portée correspondant aux données utilisées par votre intégration, comprenez son utilisation, vérifiez à nouveau que tout fonctionne toujours dans un environnement de test, puis préparez-vous à l'envoyer pour vérification.
Un tableau affiche le nom d'une API, l'un de ses champs d'application sensibles et une description de ce qu'il couvre.
Figure 1. Exemple d'étendue sensible affichée sur la page des étendues de configuration de l'écran de consentement OAuth.

Étapes à suivre pour préparer la validation

Toutes les applications qui utilisent les API Google pour demander l'accès à des données doivent suivre la procédure ci-dessous pour valider leur marque:

  1. Vérifiez que votre application ne correspond à aucun des cas d'utilisation de la section Exceptions aux exigences de validation.
  2. Assurez-vous que votre application respecte les exigences de branding des API ou du produit associés. Par exemple, consultez les consignes relatives au branding pour les portées Google Sign-In.
  3. Validez la propriété des domaines autorisés de votre projet dans la Google Search Console. Utilisez un compte Google associé à votre projet API Console en tant que propriétaire ou éditeur.
  4. Assurez-vous que toutes les informations de branding sur l'écran d'autorisation OAuth, telles que le nom de l'application, l'adresse e-mail d'assistance, l'URI de la page d'accueil, l'URI des règles de confidentialité, etc., représentent précisément l'identité de l'application.

Exigences concernant la page d'accueil de l'application

Assurez-vous que votre page d'accueil respecte les conditions suivantes:

  • Votre page d'accueil doit être accessible à tous les internautes, et pas seulement aux utilisateurs connectés à votre site.
  • La pertinence de votre page d'accueil par rapport à l'application en cours d'examen doit être claire.
  • Les liens vers la fiche de votre application sur le Google Play Store ou sa page Facebook ne sont pas considérés comme des pages d'accueil d'application valides.

Exigences concernant le lien vers les règles de confidentialité de l'application

Assurez-vous que les règles de confidentialité de votre application respectent les exigences suivantes:

  • Les règles de confidentialité doivent être visibles par les utilisateurs, hébergées sur le même domaine que la page d'accueil de votre application et associées à l'écran d'autorisation OAuth de l' Google API Console. Notez que la page d'accueil doit inclure une description des fonctionnalités de l'application, ainsi que des liens vers les règles de confidentialité et les conditions d'utilisation facultatives.
  • Les règles de confidentialité doivent indiquer la manière dont votre application accède, utilise, stocke ou partage les données utilisateur Google. Vous devez limiter votre utilisation des données utilisateur Google aux pratiques décrites dans vos règles de confidentialité publiées.

Envoyer votre application pour validation

Un projet organise toutes vos ressources . Un projet comprend un ensemble de comptes Google associés autorisés à effectuer des opérations de projet, un ensemble d'API activées, ainsi que des paramètres de facturation, d'authentification et de surveillance pour ces API. Par exemple, un projet peut contenir un ou plusieurs clients OAuth, configurer des API à utiliser par ces clients et configurer un écran de consentement OAuth qui s'affiche auprès des utilisateurs avant qu'ils n'autorisent l'accès à votre application.

Si l'un de vos clients OAuth n'est pas prêt pour la production, nous vous suggérons de le supprimer du projet qui demande la validation. Vous pouvez le faire dans .

Pour demander la validation de votre compte, procédez comme suit:

  1. Assurez-vous que votre application respecte les Conditions d'utilisation des API Google et le Règlement sur les données utilisateur dans les services d'API Google.
  2. Mettez à jour les rôles de propriétaire et d'éditeur des comptes associés à votre projet, ainsi que l'adresse e-mail d'assistance utilisateur et les coordonnées du développeur de l'écran d'autorisation OAuth, dans votre . Vous vous assurez ainsi que les bons membres de votre équipe sont informés de toute nouvelle exigence.
  3. Accédez à la section OAuth .
  4. Cliquez sur le bouton Sélecteur de projet.

  5. Dans la boîte de dialogue Sélectionner qui s'affiche, sélectionnez votre projet. Si vous ne trouvez pas votre projet, mais que vous connaissez son ID, vous pouvez créer une URL dans votre navigateur au format suivant:

    ?project=[PROJECT_ID]

    Remplacez [PROJECT_ID] par l'ID du projet que vous souhaitez utiliser.

  6. Sélectionnez le bouton Modifier l'application.
  7. Saisissez les informations nécessaires sur la page de l'écran d'autorisation OAuth, puis sélectionnez le bouton Enregistrer et continuer.
  8. Utilisez le bouton Ajouter ou supprimer des champs d'application pour déclarer tous les champs d'application demandés par votre application. Un ensemble initial de champs d'application nécessaires pour Google Sign-In est prérempli dans la section Champs d'application non sensibles. Les niveaux d'accès ajoutés sont classés comme non sensibles, sensitive, or restricted.
  9. Fournissez un maximum de trois liens vers toute documentation pertinente pour les fonctionnalités associées de votre application.

  10. Fournissez toutes les informations supplémentaires demandées concernant votre application lors des étapes suivantes.

    1. Prepare a detailed justification for each requested sensitive scope, as well as an explanation for why a narrower scope isn't sufficient. For example: "My app will use https://www.googleapis.com/auth/calendar to show a user's Google calendar data on the scheduling screen of my app. This lets users manage their schedules through my app and sync the changes with their Google calendar."

    2. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set its Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.

      1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
      2. Show that the OAuth consent screen correctly displays the App Name.
      3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
      4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive scope that you request.
  11. Si la configuration de l'application que vous fournissez doit être validée, vous pouvez la soumettre à validation. Remplissez les champs obligatoires, puis cliquez sur Envoyer pour lancer le processus de validation.

Une fois que vous avez envoyé votre application, l'équipe Trust & Safety de Google vous contacte par e-mail pour vous fournir les informations supplémentaires dont elle a besoin ou les étapes que vous devez suivre. Vérifiez vos adresses e-mail dans la section Coordonnées du développeur et l'adresse e-mail d'assistance de votre écran d'autorisation OAuth pour les demandes d'informations supplémentaires. Vous pouvez également consulter la page de l'écran d'autorisation OAuth de votre projet pour confirmer son état d'examen actuel, y compris si le processus d'examen est mis en veille en attendant votre réponse.

Exceptions aux conditions de validation

Si votre application sera utilisée dans l'un des scénarios décrits dans les sections suivantes, vous n'avez pas besoin de la soumettre pour examen.

Usage personnel

Par exemple, si vous êtes le seul utilisateur de votre application ou si elle n'est utilisée que par quelques utilisateurs que vous connaissez personnellement. Vous et votre nombre limité d'utilisateurs pouvez passer à l'écran de l'application non validée et accorder à vos comptes personnels l'accès à votre application.

Projets utilisés dans le développement, les tests ou l'environnement de préproduction tiers

Pour respecter les règles Google OAuth 2.0, nous vous recommandons de disposer de projets distincts pour les environnements de test et de production. Nous vous recommandons de ne soumettre votre application à validation que si vous souhaitez la rendre disponible pour tous les utilisateurs disposant d'un compte Google. Par conséquent, si votre application est en phase de développement, de test ou de préproduction, la validation n'est pas requise.

Si votre application est en phase de développement ou de test, vous pouvez laisser l'état de publication Publishing Status (État de publication) sur la valeur par défaut Testing (Test). Ce paramètre signifie que votre application est toujours en cours de développement et n'est accessible qu'aux utilisateurs que vous ajoutez à la liste des utilisateurs tests. Vous devez gérer la liste des comptes Google impliqués dans le développement ou les tests de votre application.

Message d'avertissement indiquant que Google n'a pas validé une application en cours de test.
Figure 2. Écran d'avertissement pour le testeur

Données appartenant au service uniquement

Si votre application utilise un compte de service pour n'accéder qu'à ses propres données et qu'elle n'accède à aucune donnée utilisateur (associée à un compte Google), vous n'avez pas besoin de demander la validation.

Pour en savoir plus sur les comptes de service, consultez la section Comptes de service dans la documentation Google Cloud. Pour savoir comment utiliser un compte de service, consultez la page Utiliser OAuth 2.0 pour les applications de serveur à serveur.

Ils sont réservés à un usage interne

Cela signifie que l'application n'est utilisée que par les membres de votre organisation Google Workspace ou Cloud Identity. Le projet doit appartenir à l'organisation, et son écran de consentement OAuth doit être configuré pour un type d'utilisateur interne. Dans ce cas, votre application peut nécessiter l'approbation d'un administrateur de l'organisation. Pour en savoir plus, consultez la section Remarques supplémentaires pour Google Workspace.

Installation au niveau du domaine

Si vous prévoyez que votre application ne ciblera que les utilisateurs d'une organisation Google Workspace ou Cloud Identity et que vous utiliserez toujours une installation à l'échelle du domaine, elle ne nécessitera pas de validation. En effet, une installation au niveau du domaine permet à un administrateur de domaine d'autoriser les applications tierces et internes à accéder aux données de vos utilisateurs. Seuls les administrateurs de l'organisation peuvent ajouter l'application à une liste d'autorisation pour l'utiliser dans leurs domaines.

Découvrez comment installer votre application au niveau du domaine dans les questions fréquentes Mon application compte des utilisateurs disposant de comptes professionnels d'un autre domaine Google Workspace.