Créer des identifiants d'accès

Les identifiants permettent d'obtenir un jeton d'accès auprès des serveurs d'autorisation de Google afin que votre application puisse appeler les API Google Workspace. Ce guide explique comment choisir et configurer les identifiants dont votre application a besoin.

Pour connaître la définition des termes trouvés sur cette page, consultez la page Présentation de l'authentification et de l'autorisation.

Choisissez l'identifiant d'accès qui vous convient

Les identifiants requis dépendent du type de données, de la plate-forme et de la méthodologie d'accès de votre application. Trois types d'identifiants sont disponibles:

Cas d'utilisation Méthode d'authentification À propos de cette méthode d'authentification
Accédez de manière anonyme aux données publiques dans votre application. Clés API Vérifiez que l'API que vous souhaitez utiliser est compatible avec les clés API avant d'utiliser cette méthode d'authentification.
accéder aux données des utilisateurs, telles que leur adresse e-mail ou leur âge ; ID client OAuth Nécessite que votre application demande l'autorisation de l'utilisateur et en obtienne le consentement.
Accédez aux données de votre propre application, ou accédez aux ressources pour le compte des utilisateurs Google Workspace ou Cloud Identity via la délégation au niveau du domaine. Compte de service Lorsqu'une application s'authentifie en tant que compte de service, elle a accès à toutes les ressources auxquelles le compte de service est autorisé à accéder.

Identifiants de clé API

Une clé API est une longue chaîne contenant des lettres majuscules et minuscules, des chiffres, des traits de soulignement et des traits d'union, comme AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe. Cette méthode d'authentification permet d'accéder de manière anonyme aux données publiques, telles que les fichiers Google Workspace partagés à l'aide du paramètre de partage "Tous les internautes disposant de ce lien". Pour en savoir plus, consultez la page Utiliser des clés API.

Pour créer une clé API :

  1. Dans la console Google Cloud, accédez à Menu > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > Clé API.
  3. Votre nouvelle clé API s'affiche.
    • Cliquez sur Copier pour copier votre clé API afin de l'utiliser dans le code de votre application. La clé API est également disponible dans la section "Clés API" des identifiants de votre projet.
    • Cliquez sur Restreindre la clé pour mettre à jour les paramètres avancés et limiter l'utilisation de votre clé API. Pour en savoir plus, consultez Appliquer des restrictions de clé API.

Identifiants client OAuth

Pour authentifier les utilisateurs finaux et accéder aux données utilisateur dans votre application, vous devez créer un ou plusieurs ID client OAuth 2.0. Un ID client sert à identifier une application unique auprès des serveurs OAuth de Google. Si votre application s'exécute sur plusieurs plates-formes, vous devez créer un ID client distinct pour chaque plate-forme.

Choisissez votre type d'application pour obtenir des instructions spécifiques sur la création d'un ID client OAuth:

Application Web

  1. Dans la console Google Cloud, accédez à Menu > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > ID client OAuth.
  3. Cliquez sur Type d'application > Application Web.
  4. Dans le champ Name (Nom), saisissez un nom pour l'identifiant. Ce nom ne s'affiche que dans la console Google Cloud.
  5. Ajoutez les URI autorisés associés à votre application :
    • Applications côté client (JavaScript) : sous Origines JavaScript autorisées, cliquez sur Ajouter un URI. Saisissez ensuite un URI à utiliser pour les requêtes du navigateur. Ce champ identifie les domaines à partir desquels votre application peut envoyer des requêtes API au serveur OAuth 2.0.
    • Applications côté serveur (Java, Python, etc.) : sous URI de redirection autorisés, cliquez sur Ajouter un URI. Saisissez ensuite un URI de point de terminaison auquel le serveur OAuth 2.0 peut envoyer des réponses.
  6. Cliquez sur Créer. L'écran du client OAuth créé s'affiche, avec l'ID et le code secret du client que vous venez de créer.

    Notez l'ID client. Les codes secrets des clients ne sont pas utilisés pour les applications Web.

  7. Cliquez sur OK. Les nouveaux identifiants s'affichent sous ID client OAuth 2.0.

Android

  1. Dans la console Google Cloud, accédez à Menu > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > ID client OAuth.
  3. Cliquez sur Type d'application > Android.
  4. Dans le champ "Name" (Nom), saisissez un nom pour l'identifiant. Ce nom ne s'affiche que dans la console Google Cloud.
  5. Dans le champ "Nom du package", saisissez le nom du package issu de votre fichier AndroidManifest.xml.
  6. Dans le champ "Empreinte du certificat SHA-1", saisissez l'empreinte du certificat SHA-1 généré.
  7. Cliquez sur Créer. L'écran du client OAuth créé s'affiche, indiquant votre nouvel ID client.
  8. Cliquez sur OK. Les nouveaux identifiants s'affichent sous "ID client OAuth 2.0".

iOS

  1. Dans la console Google Cloud, accédez à Menu > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > ID client OAuth.
  3. Cliquez sur Type d'application > iOS.
  4. Dans le champ "Name" (Nom), saisissez un nom pour l'identifiant. Ce nom ne s'affiche que dans la console Google Cloud.
  5. Dans le champ "ID du bundle", saisissez l'identifiant du bundle indiqué dans le fichier Info.plist de l'application.
  6. Facultatif: si votre application apparaît sur l'App Store d'Apple, saisissez son identifiant.
  7. Facultatif: dans le champ "ID d'équipe", saisissez la chaîne unique de 10 caractères générée par Apple et attribuée à votre équipe.
  8. Cliquez sur Créer. L'écran du client OAuth créé s'affiche, avec l'ID et le code secret du client que vous venez de créer.
  9. Cliquez sur OK. Les nouveaux identifiants s'affichent sous "ID client OAuth 2.0".

Application Chrome

  1. Dans la console Google Cloud, accédez à Menu > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > ID client OAuth.
  3. Cliquez sur Type d'application > Application Chrome.
  4. Dans le champ "Name" (Nom), saisissez un nom pour l'identifiant. Ce nom ne s'affiche que dans la console Google Cloud.
  5. Dans le champ "ID de l'application", saisissez la chaîne unique d'identifiant de votre application, composée de 32 caractères. La valeur de cet identifiant se trouve dans l'URL Chrome Web Store de votre application et dans le tableau de bord du développeur Chrome Web Store.
  6. Cliquez sur Créer. L'écran du client OAuth créé s'affiche, avec l'ID et le code secret du client que vous venez de créer.
  7. Cliquez sur OK. Les nouveaux identifiants s'affichent sous "ID client OAuth 2.0".

Application de bureau

  1. Dans la console Google Cloud, accédez à Menu > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > ID client OAuth.
  3. Cliquez sur Type d'application > Application de bureau.
  4. Dans le champ Name (Nom), saisissez un nom pour l'identifiant. Ce nom ne s'affiche que dans la console Google Cloud.
  5. Cliquez sur Créer. L'écran du client OAuth créé s'affiche, avec l'ID et le code secret du client que vous venez de créer.
  6. Cliquez sur OK. Les nouveaux identifiants s'affichent sous ID client OAuth 2.0.

Téléviseurs et périphériques d'entrée limités

  1. Dans la console Google Cloud, accédez à Menu > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > ID client OAuth.
  3. Cliquez sur Type d'application > Téléviseurs et périphériques d'entrée limités.
  4. Dans le champ "Name" (Nom), saisissez un nom pour l'identifiant. Ce nom ne s'affiche que dans la console Google Cloud.
  5. Cliquez sur Créer. L'écran du client OAuth créé s'affiche, avec l'ID et le code secret du client que vous venez de créer.
  6. Cliquez sur OK. Les nouveaux identifiants s'affichent sous "ID client OAuth 2.0".

Plate-forme Windows universelle (UWP)

  1. Dans la console Google Cloud, accédez à Menu > API et services > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants > ID client OAuth.
  3. Cliquez sur Type d'application > Plate-forme Windows universelle (UWP).
  4. Dans le champ "Name" (Nom), saisissez un nom pour l'identifiant. Ce nom ne s'affiche que dans la console Google Cloud.
  5. Dans le champ "ID de plate-forme", saisissez la valeur unique de l'ID Microsoft Store à 12 caractères de votre application. Vous le trouverez dans l'URL Microsoft Store de votre application et dans le Centre des partenaires.
  6. Cliquez sur Créer. L'écran du client OAuth créé s'affiche, avec l'ID et le code secret du client que vous venez de créer.
  7. Cliquez sur OK. Les nouveaux identifiants s'affichent sous "ID client OAuth 2.0".

Identifiants du compte de service

Un compte de service est un type particulier de compte utilisé par une application plutôt que par une personne. Vous pouvez utiliser un compte de service pour accéder aux données, pour effectuer des actions via le compte robot ou pour accéder aux données au nom des utilisateurs Google Workspace ou Cloud Identity. Pour en savoir plus, consultez la page Comprendre les comptes de service.

Créer un compte de service

Console Google Cloud

  1. Dans la console Google Cloud, accédez à Menu > IAM et administration > Comptes de service.

    Accéder à la page "Comptes de service"

  2. Cliquez sur Create service account (Créer un compte de service).
  3. Renseignez les détails du compte de service, puis cliquez sur Créer et continuer.
  4. (Facultatif) Attribuez des rôles à votre compte de service pour accorder l'accès aux ressources de votre projet Google Cloud. Pour en savoir plus, consultez Accorder, modifier et révoquer les accès à des ressources.
  5. Cliquez sur Continuer.
  6. Facultatif: Indiquez les utilisateurs ou les groupes autorisés à gérer et à effectuer des actions avec ce compte de service. Pour en savoir plus, consultez Gérer l'emprunt d'identité d'un compte de service.
  7. Cliquez sur OK. Notez l'adresse e-mail du compte de service.

gcloud CLI

  1. Créez le compte de service :
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
      --display-name="SERVICE_ACCOUNT_NAME"
  2. (Facultatif) Attribuez des rôles à votre compte de service pour accorder l'accès aux ressources de votre projet Google Cloud. Pour en savoir plus, consultez Accorder, modifier et révoquer les accès à des ressources.

Attribuer un rôle à un compte de service

Vous devez attribuer un rôle prédéfini ou personnalisé à un compte de service par un compte super-administrateur.

  1. Dans la console d'administration Google, accédez à Menu > Compte > Rôles d'administrateur.

    Accéder à la page "Rôles d'administrateur"

  2. Placez le curseur sur le rôle que vous souhaitez attribuer, puis cliquez sur Attribuer un rôle Administrateur.

  3. Cliquez sur Attribuer des comptes de service.

  4. Saisissez l'adresse e-mail du compte de service.

  5. Cliquez sur Ajouter > Attribuer un rôle.

Créer des identifiants pour un compte de service

Vous devez obtenir les identifiants sous la forme d'une paire de clés publique/privée. Ces identifiants sont utilisés par votre code pour autoriser les actions du compte de service dans votre application.

Pour obtenir les identifiants de votre compte de service:

  1. Dans la console Google Cloud, accédez à Menu > IAM et administration > Comptes de service.

    Accéder à la page "Comptes de service"

  2. Sélectionnez votre compte de service.
  3. Cliquez sur Clés > Ajouter une clé > Créer une clé.
  4. Sélectionnez JSON, puis cliquez sur Créer.

    Votre nouvelle paire de clés publique/privée est générée et téléchargée sur votre ordinateur en tant que nouveau fichier. Enregistrez le fichier JSON téléchargé sous le nom credentials.json dans votre répertoire de travail. Ce fichier est la seule copie de cette clé. Pour savoir comment stocker votre clé de manière sécurisée, consultez la page Gérer des clés de compte de service.

  5. Cliquez sur Fermer.

Facultatif: Configurer la délégation au niveau du domaine pour un compte de service

Pour appeler des API au nom d'utilisateurs d'une organisation Google Workspace, un compte super-administrateur doit accorder à votre compte de service une délégation d'autorité au niveau du domaine dans la console d'administration Google Workspace. Pour en savoir plus, consultez la page Déléguer une autorité au niveau du domaine à un compte de service.

Pour configurer la délégation d'autorité au niveau du domaine pour un compte de service:

  1. Dans la console Google Cloud, accédez à Menu > IAM et administration > Comptes de service.

    Accéder à la page "Comptes de service"

  2. Sélectionnez votre compte de service.
  3. Cliquez sur Afficher les paramètres avancés.
  4. Sous "Délégation au niveau du domaine", recherchez l'ID client de votre compte de service. Cliquez sur Copier pour copier la valeur de l'ID client dans votre presse-papiers.
  5. Si vous disposez d'un accès super-administrateur au compte Google Workspace concerné, cliquez sur Afficher la console d'administration Google Workspace, puis connectez-vous à l'aide d'un compte super-administrateur et suivez la procédure ci-dessous.

    Si vous ne disposez pas d'un accès super-administrateur au compte Google Workspace concerné, contactez un super-administrateur de ce compte et envoyez-lui l'ID client de votre compte de service et la liste des champs d'application OAuth pour qu'il puisse effectuer les étapes suivantes dans la console d'administration.

    1. Dans la console d'administration Google, accédez à Menu > Sécurité > Contrôle des accès et des données > Commandes des API.

      Accéder aux commandes des API

    2. Cliquez sur Gérer la délégation au niveau du domaine.
    3. Cliquez sur Ajouter.
    4. Dans le champ "ID client", collez l'ID client que vous avez copié précédemment.
    5. Dans le champ "Champs d'application OAuth", saisissez une liste des champs d'application requis par votre application, séparés par une virgule. Il s'agit du même ensemble de niveaux d'accès que celui que vous avez défini lors de la configuration de l'écran de consentement OAuth.
    6. Cliquez sur Autoriser.

Étape suivante

Vous êtes prêt à développer sur Google Workspace ! Consultez la liste des produits Google Workspace pour les développeurs et découvrez comment obtenir de l'aide.