Créer des identifiants d'accès

Les identifiants permettent d'obtenir un jeton d'accès auprès des serveurs d'autorisation de Google afin que votre application puisse appeler les API Google Workspace. Ce guide explique comment choisir et configurer les identifiants dont votre application a besoin.

Pour connaître la définition des termes utilisés sur cette page, consultez la section Présentation de l'authentification et de l'autorisation.

Choisir les identifiants d'accès qui vous conviennent

Les identifiants requis dépendent du type de données, de la plate-forme et de la méthodologie d'accès de votre application. Trois types d'identifiants sont disponibles:

Cas d'utilisation Méthode d'authentification À propos de cette méthode d'authentification
Accédez de manière anonyme aux données publiques dans votre application. Clés API Vérifiez que l'API que vous souhaitez utiliser est compatible avec les clés API avant d'utiliser cette méthode d'authentification.
Accéder aux données utilisateur, comme leur adresse e-mail ou leur âge ID client OAuth Votre application doit demander et recevoir le consentement de l'utilisateur.
Accédez aux données appartenant à votre propre application ou aux ressources au nom des utilisateurs Google Workspace ou Cloud Identity via la délégation au niveau du domaine. Compte de service Lorsqu'une application s'authentifie en tant que compte de service, elle a accès à toutes les ressources auxquelles le compte de service est autorisé à accéder.

Identifiants de la clé API

Une clé API est une chaîne longue contenant des lettres (majuscules et minuscules), des chiffres, des traits de soulignement et des tirets (par exemple, AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe). Cette méthode d'authentification permet d'accéder de manière anonyme aux données publiques, telles que les fichiers Google Workspace partagés à l'aide du paramètre de partage "Tout le monde sur Internet avec ce lien". Pour en savoir plus, consultez la section Utiliser des clés API.

Pour créer une clé API :

  1. Dans la console Google Cloud, accédez à Menu  > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > Clé API.
  3. Votre nouvelle clé API s'affiche.
    • Cliquez sur Copier  pour copier votre clé API et l'utiliser dans le code de votre application. La clé API se trouve également dans la section "Clés API" des identifiants de votre projet.
    • Cliquez sur Restreindre la clé pour mettre à jour les paramètres avancés et limiter l'utilisation de votre clé API. Pour en savoir plus, consultez Appliquer des restrictions de clé API.

Identifiants d'ID client OAuth

Pour authentifier les utilisateurs finaux et accéder aux données utilisateur dans votre application, vous devez créer un ou plusieurs ID client OAuth 2.0. Un ID client sert à identifier une application unique auprès des serveurs OAuth de Google. Si votre application s'exécute sur plusieurs plates-formes, vous devez créer un ID client distinct pour chacune d'elles.

Choisissez votre type d'application pour obtenir des instructions spécifiques sur la création d'un ID client OAuth:

Application Web

  1. Dans la console Google Cloud, accédez à Menu  > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > ID client OAuth.
  3. Cliquez sur Type d'application > Application Web.
  4. Dans le champ Nom, saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
  5. Ajoutez les URI autorisés associés à votre application :
    • Applications côté client (JavaScript) : sous Origines JavaScript autorisées, cliquez sur Ajouter un URI. Saisissez ensuite un URI à utiliser pour les requêtes du navigateur. Il identifie les domaines à partir desquels votre application peut envoyer des requêtes API au serveur OAuth 2.0.
    • Applications côté serveur (Java, Python, etc.) : sous URI de redirection autorisés, cliquez sur Ajouter un URI. Saisissez ensuite un URI de point de terminaison vers lequel le serveur OAuth 2.0 peut envoyer des réponses.
  6. Cliquez sur Créer. L'écran "Client OAuth créé" s'affiche, avec votre nouvel ID client et votre nouveau code secret.

    Notez l'ID client. Les codes secrets du client ne sont pas utilisés pour les applications Web.

  7. Cliquez sur OK. Les identifiants nouvellement créés s'affichent sous ID client OAuth 2.0.

Android

  1. Dans la console Google Cloud, accédez à Menu  > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > ID client OAuth.
  3. Cliquez sur Type d'application > Android.
  4. Dans le champ "Nom", saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
  5. Dans le champ "Nom du package", saisissez le nom du package dans votre fichier AndroidManifest.xml.
  6. Dans le champ "Empreinte du certificat SHA-1", saisissez l'empreinte du certificat SHA-1 générée.
  7. Cliquez sur Créer. L'écran "Client OAuth créé" s'affiche, avec votre nouvel ID client.
  8. Cliquez sur OK. Les identifiants nouvellement créés s'affichent sous "ID client OAuth 2.0".

iOS

  1. Dans la console Google Cloud, accédez à Menu  > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > ID client OAuth.
  3. Cliquez sur Type d'application > iOS.
  4. Dans le champ "Nom", saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
  5. Dans le champ "Bundle ID" (ID de bundle), saisissez l'identifiant de bundle tel qu'il apparaît dans le fichier Info.plist de l'application.
  6. Facultatif: Si votre application figure dans l'App Store d'Apple, saisissez l'ID App Store.
  7. Facultatif: Dans le champ "ID de l'équipe", saisissez la chaîne unique de 10 caractères générée par Apple et attribuée à votre équipe.
  8. Cliquez sur Créer. L'écran "Client OAuth créé" s'affiche, avec votre nouvel ID client et votre nouveau code secret.
  9. Cliquez sur OK. Les identifiants nouvellement créés s'affichent sous "ID client OAuth 2.0".

Application Chrome

  1. Dans la console Google Cloud, accédez à Menu  > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > ID client OAuth.
  3. Cliquez sur Type d'application > Application Chrome.
  4. Dans le champ "Nom", saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
  5. Dans le champ "ID de l'application", saisissez la chaîne d'ID unique de 32 caractères de votre application. Vous trouverez cette valeur d'ID dans l'URL Chrome Web Store de votre application et dans le tableau de bord du développeur Chrome Web Store.
  6. Cliquez sur Créer. L'écran "Client OAuth créé" s'affiche, avec votre nouvel ID client et votre nouveau code secret.
  7. Cliquez sur OK. Les identifiants nouvellement créés s'affichent sous "ID client OAuth 2.0".

Application de bureau

  1. Dans la console Google Cloud, accédez à Menu  > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > ID client OAuth.
  3. Cliquez sur Type d'application > Application de bureau.
  4. Dans le champ Nom, saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
  5. Cliquez sur Créer. L'écran "Client OAuth créé" s'affiche, avec votre nouvel ID client et votre nouveau code secret.
  6. Cliquez sur OK. Les identifiants nouvellement créés s'affichent sous ID client OAuth 2.0.

Téléviseurs et appareils à saisie limitée

  1. Dans la console Google Cloud, accédez à Menu  > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > ID client OAuth.
  3. Cliquez sur Type d'application > TV et appareils à saisie limitée.
  4. Dans le champ "Nom", saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
  5. Cliquez sur Créer. L'écran "Client OAuth créé" s'affiche, avec votre nouvel ID client et votre nouveau code secret.
  6. Cliquez sur OK. Les identifiants nouvellement créés s'affichent sous "ID client OAuth 2.0".

Plate-forme Windows universelle (UWP)

  1. Dans la console Google Cloud, accédez à Menu  > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > ID client OAuth.
  3. Cliquez sur Type d'application > Universal Windows Platform (UWP).
  4. Dans le champ "Nom", saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
  5. Dans le champ "ID de plate-forme", saisissez l'ID Microsoft Store unique de 12 caractères de votre application. Vous trouverez cet ID dans l'URL Microsoft Store de votre application et dans le Partner Center.
  6. Cliquez sur Créer. L'écran "Client OAuth créé" s'affiche, avec votre nouvel ID client et votre nouveau code secret.
  7. Cliquez sur OK. Les identifiants nouvellement créés s'affichent sous "ID client OAuth 2.0".

Identifiants du compte de service

Un compte de service est un type de compte particulier utilisé par une application, et non par une personne. Vous pouvez utiliser un compte de service pour accéder aux données ou effectuer des actions par le biais du compte de robot, ou pour accéder aux données au nom des utilisateurs Google Workspace ou Cloud Identity. Pour en savoir plus, consultez la page Comprendre les comptes de service.

Créer un compte de service

Console Google Cloud

  1. Dans la console Google Cloud, accédez à Menu  > IAM et administration > Comptes de service.

    Accéder à la page "Comptes de service"

  2. Cliquez sur Créer un compte de service.
  3. Indiquez les détails du compte de service, puis cliquez sur Créer et continuer.
  4. Facultatif: Attribuez des rôles à votre compte de service pour accorder l'accès aux ressources de votre projet Google Cloud. Pour en savoir plus, consultez Accorder, modifier et révoquer les accès à des ressources.
  5. Cliquez sur Continuer.
  6. Facultatif: saisissez les utilisateurs ou les groupes autorisés à gérer et à effectuer des actions avec ce compte de service. Pour en savoir plus, consultez Gérer l'usurpation d'identité d'un compte de service.
  7. Cliquez sur OK. Notez l'adresse e-mail du compte de service.

CLI gcloud

  1. Créez le compte de service :
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
      --display-name="SERVICE_ACCOUNT_NAME"
  2. Facultatif: Attribuez des rôles à votre compte de service pour accorder l'accès aux ressources de votre projet Google Cloud. Pour en savoir plus, consultez Accorder, modifier et révoquer les accès à des ressources.

Attribuer un rôle à un compte de service

Vous devez attribuer un rôle prédéfini ou personnalisé à un compte de service par un compte de super-administrateur.

  1. Dans la console d'administration Google, accédez à Menu > Compte > Rôles d'administrateur.

    Accéder à "Rôles d'administrateur"

  2. Pointez sur le rôle que vous souhaitez attribuer, puis cliquez sur Attribuer un rôle Administrateur.

  3. Cliquez sur Attribuer des comptes de service.

  4. Saisissez l'adresse e-mail du compte de service.

  5. Cliquez sur Ajouter > Attribuer un rôle.

Créer des identifiants pour un compte de service

Vous devez obtenir des identifiants sous la forme d'une paire de clés publique/privée. Ces identifiants sont utilisés par votre code pour autoriser les actions du compte de service dans votre application.

Pour obtenir les identifiants de votre compte de service:

  1. Dans la console Google Cloud, accédez à Menu  > IAM et administration > Comptes de service.

    Accéder à la page "Comptes de service"

  2. Sélectionnez votre compte de service.
  3. Cliquez sur Clés > Ajouter une clé > Créer une clé.
  4. Sélectionnez JSON, puis cliquez sur Créer.

    La nouvelle paire de clés publique/privée est générée et téléchargée sur votre ordinateur en tant que nouveau fichier. Enregistrez le fichier JSON téléchargé sous le nom credentials.json dans votre répertoire de travail. Ce fichier est la seule copie de cette clé. Pour savoir comment stocker votre clé de manière sécurisée, consultez la section Gérer les clés de compte de service.

  5. Cliquez sur Fermer.

Facultatif: Configurer la délégation au niveau du domaine pour un compte de service

Pour appeler des API au nom des utilisateurs d'une organisation Google Workspace, un compte super-administrateur doit accorder à votre compte de service une délégation d'autorité au niveau du domaine dans la console d'administration Google Workspace. Pour en savoir plus, consultez la section Déléguer l'autorité au niveau du domaine à un compte de service.

Pour configurer la délégation d'autorité au niveau du domaine pour un compte de service:

  1. Dans la console Google Cloud, accédez à Menu  > IAM et administration > Comptes de service.

    Accéder à la page "Comptes de service"

  2. Sélectionnez votre compte de service.
  3. Cliquez sur Afficher les paramètres avancés.
  4. Sous "Délégation au niveau du domaine", recherchez l'ID client de votre compte de service. Cliquez sur Copier  pour copier la valeur de l'ID client dans le presse-papiers.
  5. Si vous disposez d'un accès super-administrateur au compte Google Workspace concerné, cliquez sur Afficher la console d'administration Google Workspace, puis connectez-vous à l'aide d'un compte utilisateur super-administrateur et suivez la procédure ci-dessous.

    Si vous ne disposez pas d'un accès super-administrateur au compte Google Workspace concerné, contactez un super-administrateur de ce compte et envoyez-lui l'ID client et la liste des champs d'application OAuth de votre compte de service afin qu'il puisse suivre les étapes ci-dessous dans la console d'administration.

    1. Dans la console d'administration Google, accédez à Menu  > Sécurité > Contrôle des accès et des données > Commandes des API.

      Accéder aux commandes des API

    2. Cliquez sur Gérer la délégation au niveau du domaine.
    3. Cliquez sur Ajouter.
    4. Dans le champ "ID client", collez l'ID client que vous avez copié précédemment.
    5. Dans le champ "Champs d'application OAuth", saisissez une liste des champs d'application requis par votre application, séparés par une virgule. Il s'agit du même ensemble de champs d'application que vous avez défini lors de la configuration de l'écran de consentement OAuth.
    6. Cliquez sur Autoriser.

Étape suivante

Vous êtes prêt à développer sur Google Workspace ! Consultez la liste des produits Google Workspace pour les développeurs et découvrez comment obtenir de l'aide.