Les identifiants permettent d'obtenir un jeton d'accès auprès des serveurs d'autorisation de Google afin que votre application puisse appeler les API Google Workspace. Ce document explique comment choisir et configurer les identifiants dont votre application a besoin.
Choisissez les identifiants d'accès qui vous conviennent
Les identifiants requis dépendent du type de données, de la plate-forme et de la méthodologie d'accès de votre application. Trois types d'identifiants sont disponibles :
| Cas d'utilisation | Méthode d'authentification | À propos de cette méthode d'authentification |
|---|---|---|
| Accédez de manière anonyme aux données publiques dans votre application. | Clés API | Avant d'utiliser cette méthode d'authentification, vérifiez que l'API que vous souhaitez utiliser est compatible avec les clés API. |
| Accéder aux données utilisateur, comme son adresse e-mail ou son âge. | ID client OAuth | Votre application doit demander et obtenir le consentement de l'utilisateur. |
| Accédez aux données appartenant à votre application, à des documents partagés spécifiques (comme Google Sheets) ou aux ressources Google Workspace au nom des utilisateurs grâce à la délégation au niveau du domaine. | Compte de service | Lorsqu'une application s'authentifie en tant que compte de service, elle a accès à toutes les ressources auxquelles le compte de service est autorisé à accéder. |
Pour connaître la définition des termes utilisés sur cette page, consultez la présentation de l'authentification et de l'autorisation.
Identifiants de clé API
Une clé API est une chaîne longue contenant des lettres (majuscules et minuscules), des chiffres, des traits de soulignement et des tirets (par exemple, AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe).
Cette méthode d'authentification permet d'accéder de manière anonyme aux données accessibles au public, comme les fichiers Google Workspace partagés avec le paramètre de partage "Toute personne sur Internet disposant de ce lien". Pour en savoir plus, consultez Gérer les clés API.
Pour créer une clé API :
- Dans la console Google Cloud, accédez à Menu > API et services > Identifiants.
- Cliquez sur Créer des identifiants > Clé API.
- Votre nouvelle clé API s'affiche.
- Cliquez sur Copier pour copier votre clé API et l'utiliser dans le code de votre application. La clé API est également disponible dans la section "Clés API" des identifiants de votre projet.
- Pour éviter toute utilisation abusive, nous recommandons d'ajouter des restrictions pour limiter les emplacements et les API pour lesquels la clé API peut être utilisée. Pour en savoir plus, consultez Ajouter des restrictions d'API.
Identifiants d'ID client OAuth
Pour authentifier les utilisateurs finaux et accéder aux données utilisateur dans votre application, vous devez créer un ou plusieurs ID client OAuth 2.0. Un ID client sert à identifier une application unique auprès des serveurs OAuth de Google. Si votre application s'exécute sur plusieurs plates-formes, vous devez créer un ID client distinct pour chacune d'elles.Choisissez le type d'application pour obtenir des instructions spécifiques sur la création d'un ID client OAuth :
Application Web
- Dans la console Google Cloud, accédez à Menu > Plate-forme Google Auth > Clients.
- Cliquez sur Créer un client.
- Cliquez sur Type d'application > Application Web.
- Dans le champ Nom, saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
- Ajoutez les URI autorisés associés à votre application :
- Applications côté client (JavaScript) : sous Origines JavaScript autorisées, cliquez sur Ajouter un URI. Saisissez ensuite un URI à utiliser pour les requêtes du navigateur. Cela permet d'identifier les domaines à partir desquels votre application peut envoyer des requêtes d'API au serveur OAuth 2.0.
- Applications côté serveur (Java, Python, etc.) : sous URI de redirection autorisés, cliquez sur Ajouter un URI. Saisissez ensuite un URI de point de terminaison vers lequel le serveur OAuth 2.0 peut envoyer des réponses.
- Cliquez sur Créer.
Les identifiants que vous venez de créer s'affichent sous ID client OAuth 2.0.
Notez que les codes secrets du client ne sont pas utilisés pour les applications Web.
Android
- Dans la console Google Cloud, accédez à Menu > Plate-forme Google Auth > Clients.
- Cliquez sur Créer un client.
- Cliquez sur Type d'application > Android.
- Dans le champ Nom, saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
- Dans le champ Nom du package, saisissez le nom du package à partir de votre fichier
AndroidManifest.xml. - Dans le champ Empreinte du certificat SHA-1, saisissez l'empreinte du certificat SHA-1 que vous avez générée.
- Cliquez sur Créer.
Les identifiants que vous venez de créer s'affichent sous "ID client OAuth 2.0".
iOS
- Dans la console Google Cloud, accédez à Menu > Plate-forme Google Auth > Clients.
- Cliquez sur Créer un client.
- Cliquez sur Type d'application > iOS.
- Dans le champ Nom, saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
- Dans le champ ID du bundle, saisissez l'identifiant du bundle tel qu'il apparaît dans le fichier
Info.plistde l'application. - (Facultatif) Si votre application apparaît dans l'App Store d'Apple, saisissez son ID App Store.
- (Facultatif) Dans le champ ID d'équipe, saisissez la chaîne unique de 10 caractères générée par Apple et attribuée à votre équipe.
- Cliquez sur Créer.
Les identifiants que vous venez de créer s'affichent sous "ID client OAuth 2.0".
Extension Chrome
- Dans la console Google Cloud, accédez à Menu > Plate-forme Google Auth > Clients.
- Cliquez sur Créer un client.
- Cliquez sur Type d'application > Extension Chrome.
- Dans le champ Nom, saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
- Dans le champ ID de l'article, saisissez la chaîne d'ID unique de 32 caractères de votre application. Vous trouverez cette valeur d'ID dans l'URL de votre application sur le Chrome Web Store et dans le tableau de bord du développeur Chrome Web Store.
- Cliquez sur Créer.
Les identifiants que vous venez de créer s'affichent sous "ID client OAuth 2.0".
Application de bureau
- Dans la console Google Cloud, accédez à Menu > Plate-forme Google Auth > Clients.
- Cliquez sur Créer un client.
- Cliquez sur Type d'application > Application de bureau.
- Dans le champ Nom, saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
- Cliquez sur Créer.
Les identifiants que vous venez de créer s'affichent sous "ID client OAuth 2.0".
Périphériques d'entrée TV et limitée
- Dans la console Google Cloud, accédez à Menu > Plate-forme Google Auth > Clients.
- Cliquez sur Créer un client.
- Cliquez sur Type d'application > TV et appareils à saisie limitée.
- Dans le champ Nom, saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
- Cliquez sur Créer.
Les identifiants que vous venez de créer s'affichent sous "ID client OAuth 2.0".
Identifiants du compte de service
Un compte de service est un type de compte spécial utilisé par une application, et non par une personne. Vous pouvez utiliser un compte de service pour accéder aux données ou effectuer des actions par le compte robot, ou pour accéder aux données au nom des utilisateurs Google Workspace ou Cloud Identity. Pour en savoir plus, consultez la présentation des comptes de service.Notez que les rôles Identity and Access Management (IAM) configurés dans la console Google Cloud n'accordent pas l'accès aux ressources Google Workspace (telles que Google Sheets ou Gmail). Pour accorder à un compte de service l'accès aux ressources Google Workspace, vous pouvez utiliser les éléments suivants :
| Si votre application doit : | Où configurer cette fonctionnalité ? |
|---|---|
| Accéder à des fichiers spécifiques (comme une feuille de calcul Google Sheets) | Partage direct d'un fichier ou d'un dossier avec l'adresse e-mail du compte de service |
| Administrer le domaine (par exemple, créer des utilisateurs Google Workspace) | Attribuer des rôles d'administrateur directement au compte de service |
| Accéder aux données utilisateur dans le domaine (par exemple, lire les événements Gmail ou Google Agenda de n'importe quel utilisateur) | Autoriser le compte de service à utiliser la délégation au niveau du domaine |
Créer un compte de service
Vous pouvez créer un compte de service à l'aide de la console Google Cloud ou de l'outil de ligne de commande gcloud.
Console Google Cloud
-
Dans la console Google Cloud, accédez au menu
> IAM et administration
> Comptes de service.
Accéder à la page "Comptes de service"
Les étapes restantes s'affichent dans la console Google Cloud.
- Sélectionnez un projet Google Cloud.
- Cliquez sur Créer un compte de service.
- Saisissez le nom du compte de service à afficher dans la console Google Cloud.
- Si vous ne souhaitez pas définir de contrôles des accès à ce stade, cliquez sur OK pour terminer la création du compte de service. Pour définir les contrôles des accès dès maintenant, cliquez sur Créer et continuer, puis passez à l'étape suivante.
- Facultatif : Attribuez des rôles à votre compte de service pour lui accorder l'accès aux ressources de votre projet Google Cloud en plus des ressources Google Workspace. Pour en savoir plus, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
- Cliquez sur Continuer.
- Facultatif : Saisissez les utilisateurs ou les groupes qui peuvent gérer ce compte de service et effectuer des actions avec. Pour en savoir plus, consultez Emprunt d'identité d'un compte de service.
- Cliquez sur OK pour terminer la création du compte de service.
Notez l'adresse e-mail du compte de service.
CLI gcloud
- Créez le compte de service :
gcloud iam service-accounts createSERVICE_ACCOUNT_NAME\ --display-name="SERVICE_ACCOUNT_NAME" - Facultatif : Attribuez des rôles à votre compte de service pour lui accorder l'accès aux ressources de votre projet Google Cloud en plus des ressources Google Workspace. Pour en savoir plus, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Accéder directement aux fichiers Google Workspace avec un compte de service
Si votre application n'a besoin que de lire ou d'écrire des fichiers spécifiques (comme une feuille de calcul Google ou un dossier Google Drive), vous n'avez pas besoin d'attribuer de rôles d'administrateur ni de configurer la délégation à l'échelle du domaine. En revanche, vous pouvez partager directement des fichiers individuels avec l'adresse e-mail du compte de service à l'aide de l'UI standard. Vous pouvez traiter l'adresse e-mail du compte de service comme un compte utilisateur dans les paramètres de partage du document, sans avoir besoin de droits d'administrateur.
Pour autoriser l'accès, procédez comme suit :
- Copiez l'adresse e-mail de votre compte de service. Par exemple,
my-service-account@my-project.iam.gserviceaccount.com. - Ouvrez la feuille de calcul ou le dossier Drive auxquels vous souhaitez accéder.
- Cliquez sur Partager.
- Ajoutez l'adresse e-mail du compte de service et attribuez le niveau d'accès approprié (par exemple, "Éditeur" ou "Lecteur").
- Désélectionnez Notifier les utilisateurs (les comptes de service n'ayant pas de boîte de réception, ils ne recevront pas l'e-mail d'invitation, mais l'autorisation sera tout de même accordée).
- Cliquez sur Partager.
Créer une clé de compte de service
Vous devez obtenir des identifiants sous la forme d'une paire de clés publique/privée. Ces identifiants sont utilisés par votre code pour autoriser les actions du compte de service dans votre application.Pour créer une clé de compte de service :
-
Dans la console Google Cloud, accédez au menu
> IAM et administration
> Comptes de service.
Accéder à la page "Comptes de service"
Les étapes restantes s'affichent dans la console Google Cloud.
- Sélectionnez un projet Google Cloud.
- Cliquez sur l'adresse e-mail du compte de service pour lequel vous souhaitez créer une clé.
- Cliquez sur l'onglet Clés.
- Cliquez sur le menu déroulant Ajouter une clé, puis sélectionnez Créer une clé.
- Sélectionnez le type de clé JSON et cliquez sur Créer.
La nouvelle paire de clés publique/privée est générée et téléchargée sur votre ordinateur sous la forme d'un fichier de clé de compte de service. Enregistrez le fichier JSON téléchargé sous le nom
credentials.jsondans votre répertoire de travail. Ce fichier est la seule copie de cette clé. Une fois téléchargé, vous ne pouvez plus le télécharger à nouveau. Pour savoir comment stocker votre clé de manière sécurisée, consultez Bonnes pratiques pour gérer les clés de compte de service.
Attribuer un rôle d'administrateur Google Workspace à un compte de service
Vous pouvez attribuer à un compte de service n'importe quel rôle Google Workspace prédéfini ou personnalisé, à l'exception du rôle de super-administrateur.
Dans la console d'administration Google, accédez à Menu > Compte > Rôles d'administrateur.
Accéder à "Rôles d'administrateur"
Pour cette tâche, vous devez être connecté en tant que super-administrateur.
Les étapes restantes s'affichent dans la console d'administration Google.
Pointez sur le rôle que vous souhaitez attribuer, cliquez sur le menu déroulant
Actions, puis sélectionnez Attribuer un rôle Administrateur.Cliquez sur Attribuer des comptes de service.
Saisissez l'adresse e-mail du compte de service.
Cliquez sur Ajouter > Attribuer un rôle.
Facultatif : Configurer la délégation au niveau du domaine pour un compte de service
Utilisez la délégation au niveau du domaine lorsque votre application doit accéder aux données Google Workspace pour le compte de plusieurs utilisateurs individuels de votre organisation (par exemple, pour envoyer des e-mails à l'aide de l'API Gmail) sans demander le consentement de chaque utilisateur. Pour appeler des API au nom des utilisateurs d'une organisation Google Workspace, accordez à votre compte de service une délégation d'autorité au niveau du domaine dans la console d'administration Google à l'aide d'un compte super-administrateur. Pour en savoir plus, consultez Déléguer l'autorité au niveau du domaine au compte de service.Pour configurer la délégation d'autorité au niveau du domaine pour un compte de service :
- Dans la console Google Cloud, accédez au menu > IAM et administration > Comptes de service.
- Sélectionnez un projet Google Cloud.
- Cliquez sur l'adresse e-mail du compte de service pour lequel vous souhaitez configurer la délégation au niveau du domaine.
- Cliquez sur Afficher les paramètres avancés.
- Sous "Délégation à l'échelle du domaine", recherchez l'ID client de votre compte de service.
- Cliquez sur Copier pour copier la valeur de l'ID client dans le presse-papiers.
Si vous disposez d'un accès super-administrateur au compte Google Workspace concerné, cliquez sur Afficher la console d'administration Google Workspace, connectez-vous avec votre compte utilisateur super-administrateur, puis suivez ces étapes.
Si vous n'avez pas accès en tant que super-administrateur au compte Google Workspace concerné, contactez un super-administrateur pour ce compte. Envoyez-lui l'ID client de votre compte de service et la liste des champs d'application OAuth requis par votre application afin qu'il puisse effectuer les étapes suivantes dans la console d'administration Google.
- Dans la console d'administration Google, accédez à Menu > Sécurité > Contrôle des accès et des données > Commandes des API.
- Cliquez sur Gérer la délégation au niveau du domaine.
- Cliquez sur Ajouter.
- Dans le champ ID client, collez l'ID client que vous avez copié précédemment.
- Dans le champ Niveaux d'accès OAuth, saisissez une liste des niveaux d'accès requis par votre application, séparés par une virgule. Il s'agit du même ensemble de niveaux d'accès que vous avez définis lors de la configuration de l'écran de consentement OAuth.
- Cliquez sur Autoriser.
L'application des modifications peut prendre jusqu'à 24 heures, mais cela va généralement plus vite. Pour en savoir plus, consultez Contrôler l'accès à l'API à l'aide de la délégation au niveau du domaine.
Étape suivante
Vous êtes prêt à développer sur Google Workspace ! Consultez la liste des produits pour les développeurs Google Workspace et découvrez comment obtenir de l'aide.