L'authentification et l'autorisation sont des mécanismes utilisés respectivement pour vérifier l'identité et l'accès aux ressources. Ce document décrit le fonctionnement de l'authentification et de l'autorisation pour les applications Chat et les requêtes de l'API Chat.
Présentation du processus
Le schéma suivant illustre les étapes d'authentification et d'autorisation de Google Chat:
Configurez un projet Google Cloud, activez l'API Chat et configurez votre application Chat:lors du développement, vous créez un projet Google Cloud. Dans le projet Google Cloud, vous activez l'API Chat, configurez votre application Chat et configurez l'authentification. Pour en savoir plus, consultez Développer sur Google Workspace et Créer une application Chat.
Appeler l'API Chat:lorsque votre application appelle l'API Chat, elle envoie des identifiants d'authentification à l'API Chat. Si votre application s'authentifie avec un compte de service, les identifiants sont envoyés dans le code de votre application. Si votre application nécessite d'appeler l'API Chat à l'aide de l'authentification d'un utilisateur qui n'a pas encore été accordée, elle invite l'utilisateur à se connecter.
Demander des ressources: votre application demande l'accès avec les habilitations que vous spécifiez lors de la configuration de l'authentification.
Demander le consentement:si votre application s'authentifie en tant qu'utilisateur, Google affiche un écran de consentement OAuth afin que l'utilisateur puisse décider d'accorder ou non l'accès à votre application aux données demandées. L'authentification avec un compte de service ne nécessite pas l'autorisation de l'utilisateur.
Envoyer une requête approuvée pour les ressources:si l'utilisateur accepte les champs d'application, votre application regroupe les identifiants et les champs approuvés par l'utilisateur dans une requête. La requête est envoyée au serveur d'autorisation Google pour obtenir un jeton d'accès.
Google renvoie un jeton d'accès:le jeton d'accès contient une liste des champs d'application accordés. Si la liste de champs d'application renvoyée est plus restrictive que les champs d'application demandés, votre application désactive toutes les fonctionnalités limitées par le jeton.
Accès aux ressources demandées:votre application utilise le jeton d'accès de Google pour appeler l'API Chat et accéder aux ressources de l'API Chat.
Obtenir un jeton d'actualisation (facultatif) : si votre application doit accéder à l'API Google Chat au-delà de la durée de vie d'un seul jeton d'accès, elle peut obtenir un jeton d'actualisation. Pour en savoir plus, consultez la section Utiliser OAuth 2.0 pour accéder aux API Google.
Demander plus de ressources:si votre application a besoin de plus d'accès, elle demande à l'utilisateur d'accorder de nouveaux champs d'application, ce qui génère une nouvelle requête pour obtenir un jeton d'accès (étapes 3 à 6).
Quand les applications Chat nécessitent une authentification
Les applications Chat peuvent envoyer des messages en réponse à une interaction de l'utilisateur ou de manière asynchrone. Ils peuvent également effectuer des tâches en son nom, comme créer un espace Chat ou obtenir la liste des personnes dans un espace Chat.
Les applications Chat n'ont pas besoin d'authentification pour répondre à une interaction utilisateur, sauf si l'application Chat appelle l'API Chat ou une autre API Google lors du traitement d'une réponse.
Pour envoyer des messages asynchrones ou effectuer des tâches au nom d'un utilisateur, les applications Chat envoient des requêtes REST à l'API Chat, qui nécessitent une authentification et une autorisation.
Les réponses aux interactions des utilisateurs ne nécessitent pas d'authentification
Les applications Google Chat n'ont pas besoin de s'authentifier en tant qu'utilisateur ou application Chat pour recevoir et répondre de manière synchrone aux événements d'interaction.
Les applications Google Chat reçoivent des événements d'interaction chaque fois qu'un utilisateur interagit avec une application Chat ou l'appelle, y compris les événements suivants:
- Un utilisateur envoie un message à une application Chat.
- Un utilisateur mentionne une application Chat.
- Un utilisateur appelle l'une des commandes à barre oblique de l'application Chat.
Le schéma suivant illustre une séquence de requête-réponse entre un utilisateur Chat et l'application Chat:
- L'utilisateur envoie un message à l'application Chat dans Google Chat.
- Google Chat transfère le message à l'application.
- L'application reçoit le message, le traite et renvoie une réponse à Google Chat.
- Google Chat affiche la réponse pour l'utilisateur ou dans un espace.
Cette séquence se répète pour chaque événement d'interaction avec l'application Chat.
Authentification requise pour les messages asynchrones
Les messages asynchrones se produisent lorsqu'une application Chat envoie une requête à l'API Chat, ce qui nécessite une authentification et une autorisation.
En appelant l'API Chat, les applications Chat peuvent publier des messages dans Google Chat, effectuer des tâches et accéder aux données au nom d'un utilisateur. Par exemple, après avoir détecté une panne de serveur, une application Chat peut appeler l'API Chat pour:
- Créez un espace Chat dédié à l'étude et à la résolution de l'indisponibilité.
- Ajoutez des personnes à l'espace Chat.
- Publiez un message dans l'espace Chat pour donner des informations sur l'indisponibilité.
Le schéma suivant illustre une séquence de messages asynchrones entre une application Chat et un espace Chat:
- Une application Chat crée un message en appelant l'API Chat à l'aide de la méthode
spaces.messages.createet inclut les identifiants utilisateur dans la requête HTTP. - Google Chat authentifie l'application Chat avec un compte de service ou des identifiants utilisateur.
- Google Chat affiche le message de l'application dans un espace Chat spécifié.
Champs d'application de l'API Chat
Configurez l'écran de consentement OAuth et choisissez des autorisations pour définir les informations qui s'affichent auprès des utilisateurs et des examinateurs de l'application, et enregistrez votre application pour pouvoir la publier ultérieurement.
Pour définir le niveau d'accès accordé à votre application, vous devez identifier et déclarer des champs d'application de l'autorisation. Un champ d'application est une chaîne d'URI OAuth 2.0 qui contient le nom de l'application Google Workspace, le type de données auxquelles elle accède et le niveau d'accès.
Champs d'application non sensibles
| Code de champ d'application | Description |
|---|---|
https://www.googleapis.com/auth/chat.bot
|
Permet aux applications Chat d'afficher les chats et d'envoyer des messages. Ce champ d'application n'est compatible qu'avec l'authentification des applications avec des comptes de service. Vous ne pouvez pas vous authentifier avec des identifiants utilisateur ni avec une délégation au niveau du domaine à l'aide de ce champ d'application. |
Champs d'application sensibles
| Code de champ d'application | Description |
|---|---|
https://www.googleapis.com/auth/chat.spaces
|
Créer des conversations et des espaces, et voir ou modifier les métadonnées (y compris les paramètres d'historique et d'accès) dans Chat |
https://www.googleapis.com/auth/chat.spaces.create
|
Créer des conversations dans Chat |
https://www.googleapis.com/auth/chat.spaces.readonly
|
Afficher les discussions et les espaces dans Chat. |
https://www.googleapis.com/auth/chat.memberships
|
Afficher les participants aux conversations dans Chat, en ajouter, les modifier ou en supprimer |
https://www.googleapis.com/auth/chat.memberships.app
|
S'ajouter aux conversations dans Google Chat et s'en supprimer |
https://www.googleapis.com/auth/chat.memberships.readonly
|
Afficher les participants aux conversations Chat |
https://www.googleapis.com/auth/chat.messages.create
|
Rédiger et envoyer des messages dans Chat |
https://www.googleapis.com/auth/chat.messages.reactions
|
Afficher, ajouter et supprimer des réactions à des messages dans Chat |
https://www.googleapis.com/auth/chat.messages.reactions.create
|
Ajoutez des réactions à un message dans Chat. |
https://www.googleapis.com/auth/chat.messages.reactions.readonly
|
Afficher les réactions à un message dans Chat |
https://www.googleapis.com/auth/chat.users.readstate
|
Afficher et modifier l'heure de dernière lecture des conversations Chat |
https://www.googleapis.com/auth/chat.users.readstate.readonly
|
Afficher l'heure de dernière lecture des conversations Chat |
https://www.googleapis.com/auth/chat.admin.spaces.readonly
|
Afficher les discussions et les espaces appartenant au domaine de l'administrateur dans Chat |
https://www.googleapis.com/auth/chat.admin.spaces
|
Afficher ou modifier les discussions et les espaces appartenant au domaine de l'administrateur dans Chat. |
https://www.googleapis.com/auth/chat.admin.memberships.readonly
|
Afficher les participants et les gestionnaires dans les conversations appartenant au domaine de l'administrateur dans Chat |
https://www.googleapis.com/auth/chat.admin.memberships
|
Afficher, ajouter, modifier et supprimer les participants et les gestionnaires dans les conversations appartenant au domaine de l'administrateur dans Chat |
https://www.googleapis.com/auth/chat.app.spaces
|
Créer des conversations et des espaces, et afficher ou modifier les métadonnées (y compris les paramètres d'historique et d'accès) dans Chat Nécessite l'approbation de l'administrateur. Ce champ d'application n'est compatible qu'avec l'authentification des applications avec des comptes de service. Vous ne pouvez pas vous authentifier avec des identifiants utilisateur ni avec une délégation au niveau du domaine à l'aide de ce champ d'application. |
https://www.googleapis.com/auth/chat.app.spaces.create
|
Créer des conversations et des espaces dans Chat Nécessite l'approbation de l'administrateur. Ce champ d'application n'est compatible qu'avec l'authentification des applications avec des comptes de service. Vous ne pouvez pas vous authentifier avec des identifiants utilisateur ni avec une délégation au niveau du domaine à l'aide de ce champ d'application. |
https://www.googleapis.com/auth/chat.app.memberships
|
Afficher les participants aux conversations et aux espaces dans Chat, en ajouter, les modifier ou en supprimer Nécessite l'approbation de l'administrateur. Ce champ d'application n'est compatible qu'avec l'authentification des applications avec des comptes de service. Vous ne pouvez pas vous authentifier avec des identifiants utilisateur ni avec une délégation au niveau du domaine à l'aide de ce champ d'application. |
https://www.googleapis.com/auth/chat.customemojis
|
Afficher, créer et supprimer des emoji personnalisés dans Chat |
https://www.googleapis.com/auth/chat.customemojis.readonly
|
Afficher les emoji personnalisés dans Chat |
https://www.googleapis.com/auth/chat.users.spacesettings
|
Afficher et modifier les paramètres de l'espace utilisateur Chat
Consultez les API des paramètres utilisateur de l'espace: getSpaceNotificationSetting, updateSpaceNotificationSetting |
Champs d'application restreints
| Code de champ d'application | Description |
|---|---|
https://www.googleapis.com/auth/chat.delete
|
Supprimer des conversations et des espaces, et supprimer l'accès aux fichiers associés dans Chat |
https://www.googleapis.com/auth/chat.import
|
Importer des espaces, des messages et des membres dans Chat Pour en savoir plus, consultez Autoriser les applications Chat à importer des données. |
https://www.googleapis.com/auth/chat.messages
|
Afficher, rédiger, envoyer, mettre à jour et supprimer les messages, et ajouter, afficher et supprimer les réactions aux messages |
https://www.googleapis.com/auth/chat.messages.readonly
|
Afficher les messages et les réactions dans Chat |
https://www.googleapis.com/auth/chat.admin.delete
|
Supprimer des conversations et des espaces appartenant au domaine de l'administrateur, et supprimer l'accès aux fichiers associés dans Chat |
https://www.googleapis.com/auth/chat.app.delete
|
Supprimer des conversations et des espaces, et supprimer l'accès aux fichiers associés dans Chat Nécessite l'approbation de l'administrateur. Ce champ d'application n'est compatible qu'avec l'authentification des applications avec des comptes de service. Vous ne pouvez pas vous authentifier avec des identifiants utilisateur ni avec une délégation au niveau du domaine à l'aide de ce champ d'application. |
Les champs d'application des tableaux précédents indiquent leur sensibilité, conformément aux définitions suivantes:
Non sensible : ces champs d'application fournissent la plus petite sphère d'accès d'autorisation et ne nécessitent qu'une validation de base de l'application. Pour en savoir plus sur cette exigence, consultez la section Étapes à suivre pour préparer la validation.
Sensible : ces champs d'application permettent à votre application d'accéder aux données Google d'un utilisateur spécifique après avoir reçu l'autorisation de cet utilisateur. Vous devez procéder à une validation supplémentaire de l'application. Pour en savoir plus sur cette exigence, consultez la section Étapes à suivre pour les applications qui demandent des champs d'application sensibles.
Restreints : ces habilitations offrent un accès étendu aux données utilisateur Google et vous devez suivre la procédure de validation des habilitations restreintes. Pour en savoir plus sur cette exigence, consultez les Règles sur les données utilisateur dans les services d'API Google et les Exigences supplémentaires pour les champs d'application d'API spécifiques. Consultez également la section Procédure à suivre pour les applications qui demandent des champs d'application limités.
Si votre application nécessite l'accès à d'autres API Google, vous pouvez également ajouter ces champs d'application. Pour en savoir plus sur les champs d'application des API Google, consultez la section Utiliser OAuth 2.0 pour accéder aux API Google.
Pour en savoir plus sur les habilitations des API Google Workspace, consultez la page Configurer l'écran de consentement OAuth et choisir des habilitations.
Types d'authentification requis
Les applications Chat peuvent s'authentifier et s'autoriser de deux manières avec l'API Chat:
- Authentification des utilisateurs
- Authentification des utilisateurs : permet à une application Chat d'accéder aux données utilisateur et d'effectuer des actions au nom de l'utilisateur. Les champs d'application OAuth spécifient les données et les actions autorisées. Sauf si l'application Chat a été installée par un administrateur ou a reçu une délégation au niveau du domaine, la première fois que l'application Chat effectue une action au nom d'un utilisateur, celui-ci doit l'autoriser à l'aide de l'écran d'autorisation OAuth.
- Authentification de l'application
L'authentification de l'application permet à une application Chat d'utiliser les identifiants d'un compte de service, d'accéder aux données et d'effectuer des actions en son nom. Étant donné que l'application Chat utilise ses propres identifiants pour accéder aux ressources et les utiliser, les utilisateurs finaux n'ont pas besoin d'approuver les appels d'API de l'application Chat. Vous ne pouvez pas ajouter de champs d'autorisation OAuth compatibles avec l'autorisation d'application à l'écran d'autorisation OAuth.
Deux types de niveaux d'autorisation OAuth sont compatibles avec l'authentification des applications:
https://www.googleapis.com/auth/chat.bot: votre application Chat peut appeler les méthodes de l'API Google Chat compatibles avec ce champ d'autorisation pour créer, mettre à jour, obtenir, lister ou supprimer les ressources auxquelles elle a accès, comme les messages dans les espaces auxquels les utilisateurs finaux ajoutent votre application Chat. Votre application Chat peut s'accorder elle-même cette portée d'autorisation, sans autorisation de l'administrateur ni de l'utilisateur final.https://www.googleapis.com/auth/chat.app.*(Preview développeur) : l'utilisation de ces champs d'application nécessite une approbation unique de l'administrateur. Pour obtenir l'approbation de l'administrateur, vous devez préparer le compte de service de l'application Chat à recevoir l'approbation de l'administrateur en créant un client OAuth compatible avec Google Workspace Marketplace et en configurant l'application dans le SDK Google Workspace Marketplace. Ces habilitations permettent à votre application Chat d'appeler des méthodes spécifiques de l'API Google Chat. Par exemple,chat.app.spaces.createpermet aux applications de créer des espaces Chat.
Si une méthode est compatible à la fois avec l'authentification de l'utilisateur et de l'application, l'API Chat renvoie différents résultats en fonction du type d'authentification que vous utilisez:
- Avec l'authentification de l'application, les méthodes ne renvoient que les ressources auxquelles l'application Chat peut accéder.
- Avec l'authentification de l'utilisateur, les méthodes ne renvoient que les ressources auxquelles l'utilisateur peut accéder.
Par exemple, l'appel de la méthode spaces.list() avec l'autorisation de l'application renvoie la liste des espaces auxquels l'application Chat est membre.
Appeler spaces.list() avec l'autorisation de l'utilisateur renvoie la liste des espaces dont l'utilisateur est membre. En pratique, vous pouvez utiliser les deux types d'authentification lorsque vous appelez l'API Chat, en fonction de la conception et des fonctionnalités de votre application Chat.
Pour les appels asynchrones à l'API Chat
Le tableau suivant répertorie les méthodes de l'API Chat et les portées d'autorisation compatibles:
| Méthode | Authentification des utilisateurs compatible | Authentification par l'application compatible | Champs d'application des autorisations compatibles | |
|---|---|---|---|---|
| Espaces | ||||
| Créer un espace |
Avec l'authentification des utilisateurs :
|
|||
| Configurer un espace | — |
Avec l'authentification des utilisateurs :
|
||
| Obtenir un espace |
Avec l'authentification des utilisateurs :
|
|||
| Lister les espaces |
Avec l'authentification des utilisateurs :
|
|||
| Espaces de recherche | — |
Avec l'authentification des utilisateurs à l'aide de droits d'administrateur :
|
||
| Mettre à jour un espace |
Avec l'authentification des utilisateurs :
|
|||
| Supprimer un espace |
Avec l'authentification des utilisateurs :
|
|||
| Finaliser le processus d'importation d'un espace | — |
Avec l'authentification des utilisateurs :
|
||
| Rechercher un message privé |
Avec l'authentification des utilisateurs :
|
|||
| Membres | ||||
| Créer un membre |
Avec l'authentification des utilisateurs :
|
|||
| Obtenir un membre |
Avec l'authentification des utilisateurs :
|
|||
| Lister les membres |
Avec l'authentification des utilisateurs :
|
|||
| Supprimer un membre |
Avec l'authentification des utilisateurs :
|
|||
| Modifier un membre |
Avec l'authentification des utilisateurs :
|
|||
| Messages | ||||
| Créer un message |
Avec l'authentification des utilisateurs :
|
|||
| Récupérer un message |
Avec l'authentification des utilisateurs :
|
|||
| Lister les messages | — |
Avec l'authentification des utilisateurs :
|
||
| Modifier un message |
Avec l'authentification des utilisateurs :
|
|||
| Supprimer un message |
Avec l'authentification des utilisateurs :
|
|||
| Réactions | ||||
| Créer une réaction | — |
Avec l'authentification des utilisateurs :
|
||
| Lister les réactions | — |
Avec l'authentification des utilisateurs :
|
||
| Supprimer une réaction | — |
Avec l'authentification des utilisateurs :
|
||
| Emoji personnalisés | ||||
| Créer un emoji personnalisé | — |
Avec l'authentification des utilisateurs :
|
||
| Supprimer un emoji personnalisé | — |
Avec l'authentification des utilisateurs :
|
||
| Obtenir un emoji personnalisé | — |
Avec l'authentification des utilisateurs :
|
||
| Lister les emoji personnalisés | — |
Avec l'authentification des utilisateurs :
|
||
| Médias et pièces jointes | ||||
| Importer des contenus multimédias en tant que pièce jointe | — |
Avec l'authentification des utilisateurs :
|
||
| Télécharger des contenus multimédias |
Avec l'authentification des utilisateurs :
|
|||
| Obtenir une pièce jointe de message | — |
Avec l'authentification de l'application :
|
||
| États de lecture des utilisateurs | ||||
| Obtenir l'état de lecture de l'espace d'un utilisateur | — |
Avec l'authentification des utilisateurs :
|
||
| Mettre à jour l'état de lecture d'un espace pour un utilisateur | — |
Avec l'authentification des utilisateurs :
|
||
| Obtenir l'état de lecture d'un fil de discussion pour un utilisateur | — |
Avec l'authentification des utilisateurs :
|
||
| Paramètres de l'espace utilisateur | ||||
| Obtenir le paramètre de notification d'un espace pour un utilisateur | — |
Avec l'authentification des utilisateurs :
|
||
| Modifier le paramètre de notification d'un espace pour un utilisateur | — |
Avec l'authentification des utilisateurs :
|
||
| Événements spatiaux | ||||
| Obtenir les événements de l'espace | — |
Avec l'authentification des utilisateurs, vous devez utiliser une portée basée sur le
type d'événement :
|
||
| Lister les événements de l'espace | — |
Avec l'authentification utilisateur, vous devez utiliser une portée pour chaque
type d'événement inclus dans la requête :
|
||
Pour les événements d'interaction avec l'application Chat
Le tableau suivant répertorie les méthodes courantes d'interaction des utilisateurs avec les applications de chat et indique si l'authentification est requise ou compatible:
| Scénario | Aucune authentification requise | Authentification des utilisateurs compatible | Authentification par l'application compatible | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Recevoir des messages de: |
|
|||||||||||||||
| Répondre aux messages: |
|
|||||||||||||||
| Envoyer de nouveaux messages: |
|
|||||||||||||||
Articles associés
- Pour en savoir plus sur l'authentification et l'autorisation dans Google Workspace, consultez la page En savoir plus sur l'authentification et l'autorisation.
- Pour en savoir plus sur l'authentification et l'autorisation dans Google Cloud, consultez la page Présentation de l'authentification.
- Pour en savoir plus sur les comptes de service, consultez la page Comptes de service.
- Pour en savoir plus sur l'utilisation d'OAuth 2.0 par les API Google, consultez la page Utiliser OAuth 2.0 pour accéder aux API Google.
- Configurez l'authentification et l'autorisation avec des identifiants utilisateur ou un compte de service.