Configurer OAuth

Lorsque vous publiez votre application, trois tâches principales doivent être effectuées pour l'authentification et l'autorisation:

1. Remplissez l'écran d'autorisation OAuth.
2. Créez vos identifiants OAuth 2.0.
3. Faites valider votre application OAuth.

Comprendre les champs d'application OAuth

Pour définir le niveau d'accès accordé à votre application, vous devez identifier et déclarer des champs d'application de l'autorisation. Un champ d'application est une chaîne d'URI OAuth 2.0 qui contient le nom de l'application Google Workspace, le type de données auxquelles elle accède et le niveau d'accès. Les champs d'application correspondent aux demandes de votre application pour utiliser les données Google Workspace, y compris les données du compte Google des utilisateurs.

Lorsque votre application est installée, un utilisateur est invité à valider les champs d'application utilisés par l'application. En règle générale, vous devez choisir le champ d'application le plus ciblé possible et éviter de demander des champs d'application dont votre application n'a pas besoin. Les utilisateurs accordent plus facilement l'accès à des champs d'application limités et clairement décrits.

Fournissez la liste complète des champs d'application OAuth dont votre application a besoin. Les champs d'application que vous ajoutez à chaque emplacement doivent correspondre et sont utilisés comme suit:

• Les habilitations ajoutées à l'écran de consentement OAuth sont utilisées pour la validation OAuth.

• Les habilitations ajoutées au SDK Google Workspace Marketplace sont utilisées pour les installations au niveau du domaine et individuelles afin d'autoriser votre application lorsqu'elle est installée depuis Google Workspace Marketplace.

• Les champs d'application ajoutés au fichier manifeste sont nécessaires au bon fonctionnement de votre application.

Par exemple, si vous publiez une application qui inclut un module complémentaire Google Sheets et un module complémentaire Google Docs, le fichier manifeste Google Apps Script de chaque module complémentaire n'inclut que les portées spécifiques à ce module complémentaire. Dans votre projet Google Cloud, l'écran de consentement OAuth et le SDK Marketplace incluent les champs d'application des deux modules complémentaires.

Corriger les champs d'application OAuth non validés

Si vous disposez d'une nouvelle application, d'un brouillon enregistré ou d'une application publique publiée avec des champs d'application sensibles ou restreints non validés, le message d'erreur suivant s'affiche lorsque vous modifiez l'application dans le SDK Marketplace:

OAuth verification is required for sensitive or restricted scopes. You can still save your app as a draft, but you're not able to publish your draft app listing.

Pour en savoir plus, consultez Spécifier le niveau d'accès requis par votre application.

Pour contourner cette erreur, procédez comme suit:

• Modifiez la fiche d'une application avec des champs sensibles ou limités non validés, puis enregistrez-la en tant que brouillon.

• Publiez l'application lorsqu'aucun nouveau champ d'application sensible ou restreint non validé n'est ajouté.

• Publiez l'application en ne supprimant que les champs d'application sensibles ou restreints non validés.

Pour certaines solutions de contournement, l'écran "Application non validée" peut s'afficher. Pour en savoir plus, consultez la section Applications non validées.

Pour corriger cette erreur, soumettez votre application pour une vérification OAuth.

Prérequis

• Dans un projet Cloud, activez la facturation.

• Créez et testez une application.

• En savoir plus sur l'authentification et l'autorisation

• Si vous avez créé votre application dans Apps Script, mettez à jour votre projet Cloud pour les projets Apps Script.

1. Remplir l'écran de consentement OAuth

L'écran d'autorisation OAuth est une invite qui indique aux utilisateurs qui demande l'accès à leurs données et à quel type de données les utilisateurs autorisent votre application à accéder.

1. Dans la console Google Cloud, accédez à Menu menu > > Branding.

   Accéder à "Branding"

2. Si vous avez déjà configuré , vous pouvez configurer les paramètres suivants de l'écran d'autorisation OAuth dans Branding (Marquage), Audience (Audience) et Data Access (Accès aux données). Si le message Pas encore configuré s'affiche, cliquez sur Commencer:
1. Sous Informations sur l'application, dans Nom de l'application, saisissez un nom d'application.
2. Sous Adresse e-mail d'assistance utilisateur, choisissez une adresse e-mail d'assistance à laquelle les utilisateurs peuvent vous contacter en cas de question sur leur consentement.
3. Cliquez sur Suivant.
4. Sous Audience, sélectionnez le type d'utilisateur de votre application.
5. Cliquez sur Suivant.
6. Sous Coordonnées, saisissez une adresse e-mail à laquelle vous pourrez être informé de toute modification apportée à votre projet.
7. Cliquez sur Suivant.
8. Sous Terminer, consultez le Règlement sur les données utilisateur dans les services d'API Google et, si vous acceptez, sélectionnez J'accepte le Règlement sur les données utilisateur dans les services d'API Google.
9. Cliquez sur Continuer.
10. Cliquez sur Créer.
11. Si vous avez sélectionné Externe comme type d'utilisateur, ajoutez des utilisateurs de test :
    1. Cliquez sur Audience.
    2. Sous Utilisateurs tests, cliquez sur Ajouter des utilisateurs.
    3. Saisissez votre adresse e-mail et celle des autres utilisateurs de test autorisés, puis cliquez sur Enregistrer.

3. Si vous créez une application à utiliser en dehors de votre organisation Google Workspace, cliquez sur Accès aux données > Ajouter ou supprimer des champs d'application. Nous vous recommandons de respecter les bonnes pratiques suivantes lorsque vous sélectionnez des champs d'application:

   • Sélectionnez les champs d'application qui fournissent le niveau d'accès minimal requis par votre application. Pour obtenir la liste des champs d'application disponibles, consultez la section Champs d'application OAuth 2.0 pour les API Google.
   • Examinez les portées listées dans chacune des trois sections: portées non sensibles, portées sensibles et portées restreintes. Pour tous les champs d'application listés dans les sections "Vos champs d'application sensibles" ou "Vos champs d'application limités", essayez d'identifier d'autres champs d'application non sensibles pour éviter des examens supplémentaires inutiles.
   • Certains champs d'application nécessitent des examens supplémentaires de la part de Google. Pour les applications utilisées uniquement en interne par votre organisation Google Workspace, les portées ne sont pas listées sur l'écran de consentement, et l'utilisation de portées restreintes ou sensibles ne nécessite pas d'examen supplémentaire de la part de Google. Pour en savoir plus, consultez la section Catégories de champ d'application.
4. Après avoir sélectionné les portées requises par votre application, cliquez sur Enregistrer.

Pour en savoir plus sur la configuration du consentement OAuth, consultez la section Premiers pas avec .

2. Créer vos identifiants OAuth 2.0

Selon la façon dont vous avez créé votre application, il existe deux manières de créer vos identifiants OAuth 2.0.

Si vous avez créé votre application dans Apps Script

Passez de votre projet Apps Script au projet Cloud par défaut à votre nouveau projet standard. Pour en savoir plus, consultez la section Passer à un autre projet Cloud standard.

Une fois que vous avez associé votre projet Apps Script au projet Cloud, vos identifiants OAuth 2.0 sont automatiquement créés.

Si vous n'avez pas utilisé Apps Script pour créer votre application

Pour créer vos identifiants OAuth 2.0, consultez Identifiants client OAuth.

3. Envoyer pour validation OAuth (applications publiques uniquement)

Si votre application utilise des API Google pour accéder aux données utilisateur Google, elle peut être soumise au processus de validation avant sa publication.

Avant d'envoyer le formulaire

Vous devriez pouvoir suivre les étapes 1 et 2 de cette page, mais vous ne pourrez peut-être pas envoyer votre application pour validation OAuth tant que vous n'aurez pas effectué d'autres étapes de publication sur la place de marché qui se déroulent en même temps que ce processus.

Par exemple, pour créer un module complémentaire Google Classroom, vous devez créer une fiche d'application provisoire dans le SDK Marketplace en suivant la procédure décrite dans Configurer votre application dans le SDK Google Workspace Marketplace . Vous pouvez ensuite utiliser la fiche d'application provisoire pour créer la vidéo de démonstration requise pour la validation OAuth. Une fois la validation effectuée, vous pouvez envoyer votre fiche d'application en cours d'élaboration pour examen.

Pour obtenir une présentation des étapes d'envoi, consultez Publier votre application.

Examen de la validation OAuth

Si votre application utilise des champs d'application sensibles ou restreints, elle doit faire l'objet d'un examen de validation OAuth.

• Pour la validation OAuth, vous devez envoyer une vidéo de démonstration illustrant le parcours ou le flux qui explique l'utilisation des champs d'application ou des données demandées aux utilisateurs. Pour en savoir plus, regardez la vidéo de démonstration.

• Si votre application utilise des champs d'application restreints, elle peut également être soumise à une évaluation de sécurité.

• Pour en savoir plus, consultez le Centre d'aide sur la validation des applications OAuth.

Pour demander la validation, procédez comme suit:

1. Dans la console Google Cloud, accédez à Menu menu > API et services > Écran de consentement OAuth.

   Accéder à l'écran de consentement OAuth

2. Cliquez sur Sélecteur de projet, puis sélectionnez votre projet.
3. Cliquez sur Modifier l'application.
4. Saisissez les informations requises, puis cliquez sur Soumettre pour validation.
5. Dans la boîte de dialogue Validation requise, saisissez les justifications appropriées, puis cliquez sur Envoyer pour lancer le processus de validation.

Si vous mettez à jour votre application pour qu'elle utilise des champs d'application sensibles ou restrictifs, vous devez la renvoyer pour validation OAuth. Vous n'avez pas besoin de l'envoyer à nouveau pour examen.

Différences entre la validation OAuth et l'examen des applications

La validation OAuth est un processus distinct de l'examen des applications. Il vise à s'assurer que votre écran d'autorisation représente précisément l'identité et l'intention de votre application, et qu'elle n'utilise pas les données utilisateur de manière abusive. Votre fiche d'application ne peut pas être approuvée tant que la validation OAuth de votre application n'est pas terminée. Pour en savoir plus sur la validation OAuth, consultez les questions fréquentes sur OAuth.

L'examen de l'application se concentre sur les informations que vous fournissez dans le SDK Google Workspace Marketplace, ainsi que sur les fonctionnalités et la facilité d'utilisation de votre application. Pour en savoir plus sur les critères d'examen des applications, consultez la section Procédure d'examen des applications et conditions requises pour Google Workspace Marketplace.

Articles associés

• Configurer l'écran de consentement OAuth et choisir des habilitations
• Raisons courantes pour lesquelles une application ne passe pas l'examen