Envoyer pour validation de la marque

Toutes les applications qui accèdent aux API Google doivent vérifier qu'elles représentent précisément leur identité et leur intention, comme indiqué dans le Règlement sur les données utilisateur des services d'API Google. Pour vous protéger, vous et les utilisateurs partagés de Google et de votre application, votre écran de consentement et votre application peuvent nécessiter d'être validés par Google.

Votre application doit être validée si elle répond à tous les critères suivants :

  • Dans le Google API Console, la configuration de votre application est définie sur le type d'utilisateur External. Cela signifie que votre application est disponible pour tous les utilisateurs disposant d'un compte Google.
  • Vous souhaitez que votre application affiche un logo ou un nom à afficher sur l'écran de consentement OAuth.

Si vous incluez des informations de marque validées, vous pouvez augmenter la probabilité qu'un utilisateur reconnaisse votre marque et décide d'accorder l'accès à votre application. Les informations de marque validées peuvent également réduire le nombre de révocations ultérieures lorsqu'un utilisateur ou un administrateur Google Workspace examine les applications et services tiers ayant accès au compte. La procédure de validation de la marque pour l'écran d'autorisation OAuth prend généralement deux à trois jours ouvrés après l'envoi de la demande de validation.

Si vous ne parvenez pas à envoyer votre demande de validation de la marque, cela peut entraîner une diminution de la confiance des utilisateurs dans votre demande de données, ce qui peut entraîner moins d'autorisations d'utilisateur et plus de révocations par la suite.

L'écran de consentement indique aux utilisateurs qui demande l'accès à leurs données et à quel type de données votre application doit accéder en leur nom, comme indiqué dans l'encadré 2 de la figure 1.

Lorsque votre application passe par le processus de validation de la marque et est approuvée, les règles concernant l'identité de votre application et les données utilisateur sont plus susceptibles d'être clairement comprises par le compte qui accorde l'autorisation. Cette compréhension claire peut augmenter la probabilité qu'un titulaire de compte autorise vos demandes et conserve l'accès lorsqu'il examine les révocations possibles sur la page de son compte Google. Le contenu que vous configurez sur OAuth Branding page dans Cloud Console remplit les composants suivants :

  1. Nom et logo de votre application (comme indiqué dans la zone 1 de la figure 1)
  2. L'adresse e-mail de votre service d'assistance utilisateur, qui s'affiche après la sélection du nom de votre application (encadré 2 de la figure 1)
  3. Liens vers vos règles de confidentialité et vos conditions d'utilisation (encadré 3 de la figure 1)
Des libellés numérotés illustrent différentes fonctionnalités d'un écran de consentement OAuth d'un projet dont les informations sur la marque ont été approuvées.
Figure 1. Maquette de l'écran de consentement OAuth.

Domaines autorisés

Dans le cadre du processus de validation des marques, Google exige la validation de tous les domaines associés à l'écran d'autorisation OAuth et aux identifiants d'une application. Nous vous demandons de valider le composant de domaine disponible pour l'enregistrement sur un suffixe public : le domaine privé de premier niveau. Par exemple, un écran de consentement OAuth configuré avec une page d'accueil d'application https://sub.example.com/product demande au titulaire du compte de valider la propriété du domaine example.com.

La section Domaines autorisés de l'éditeur de l'écran d'autorisation OAuth doit contenir les domaines privés de premier niveau utilisés dans les URI de la section Domaine de l'application. Ces domaines incluent la page d'accueil, les règles de confidentialité et les conditions d'utilisation de l'application. La section Domaines autorisés doit également inclure les URI de redirection et/ou les origines JavaScript autorisés dans vos types de clients OAuth "Application Web".

Validez la propriété de vos domaines autorisés à l'aide de la Google Search Console. Un compte Google disposant des autorisations de propriétaire pour un domaine doit être associé au projet API Console qui utilise ce domaine autorisé. Pour en savoir plus sur la validation de domaine dans la Google Search Console, consultez Valider la propriété de votre site.

Étapes à suivre pour préparer la validation

Toutes les applications qui utilisent les API Google pour demander l'accès aux données doivent suivre les étapes ci-dessous pour valider leur marque :

  1. Vérifiez que votre application ne relève d'aucun des cas d'utilisation de la section Exceptions aux exigences de validation.
  2. Assurez-vous que votre application respecte les exigences en termes de branding des API ou du produit associés. Par exemple, consultez les consignes de branding pour les niveaux d'accès Google Sign-In.
  3. Validez la propriété des domaines autorisés de votre projet dans la Google Search Console. Utilisez un compte Google associé à votre projet API Console en tant que propriétaire ou éditeur.
  4. Assurez-vous que toutes les informations sur la marque figurant sur l'écran d'autorisation OAuth, telles que le nom de l'application, l'adresse e-mail d'assistance, l'URI de la page d'accueil, l'URI des règles de confidentialité, etc., représentent fidèlement l'identité de l'application.

Exigences concernant la page d'accueil de l'application

Assurez-vous que votre page d'accueil respecte les exigences suivantes :

  • Votre page d'accueil doit être accessible à tous les internautes, et pas seulement aux utilisateurs connectés à votre site.
  • La pertinence de votre page d'accueil par rapport à l'application en cours d'examen doit être claire.
  • Les liens vers la fiche Play Store de votre application ou sa page Facebook ne sont pas considérés comme des pages d'accueil d'application valides.

Exigences concernant le lien vers les règles de confidentialité de l'application

Assurez-vous que les règles de confidentialité de votre application répondent aux exigences suivantes :

  • Les règles de confidentialité doivent être visibles par les utilisateurs, hébergées dans le même domaine que la page d'accueil de votre application et accessibles via un lien sur l'écran de consentement OAuth de Google API Console. Notez que la page d'accueil doit inclure une description des fonctionnalités de l'application, ainsi que des liens vers les règles de confidentialité et les conditions d'utilisation facultatives.
  • Les règles de confidentialité doivent indiquer la manière dont votre application accède aux données utilisateur Google, les utilise, les stocke ou les partage. Vous devez limiter votre utilisation des données utilisateur Google aux pratiques décrites dans vos règles de confidentialité publiées.

Envoyer votre application pour validation

Un Google Cloud Console projet permet d'organiser toutes vos ressources Cloud Console . Chaque projet comprend un ensemble de comptes Google associés autorisés à effectuer des opérations sur le projet, un ensemble d'API activées, ainsi que des paramètres de facturation, d'authentification et de surveillance pour ces API. Par exemple, un projet peut contenir un ou plusieurs clients OAuth, configurer des API pour qu'elles soient utilisées par ces clients et configurer un écran d'autorisation OAuth qui s'affiche pour les utilisateurs avant qu'ils n'autorisent l'accès à votre application.

Si l'un de vos clients OAuth n'est pas prêt pour la production, nous vous suggérons de le supprimer du projet qui demande la validation. Vous pouvez le faire dans le Clients page.

Pour demander la validation, procédez comme suit :

  1. Assurez-vous que votre application respecte les Conditions d'utilisation des API Google et le Règlement sur les données utilisateur dans les services d'API Google.
  2. Dans votre Cloud Console, veillez à ce que les rôles de propriétaire et d'éditeur des comptes associés à votre projet soient à jour, ainsi que l'adresse e-mail d'assistance aux utilisateurs et les coordonnées du développeur de l'écran d'autorisation OAuth. Cela permet de s'assurer que les membres concernés de votre équipe sont informés de toute nouvelle exigence.
  3. Accédez au Centre de validation OAuth Cloud Console.
  4. Cliquez sur le bouton Sélecteur de projet.

  5. Dans la boîte de dialogue Sélectionner qui s'affiche, sélectionnez votre projet. Si vous ne trouvez pas votre projet, mais que vous connaissez son ID, vous pouvez créer une URL dans votre navigateur au format suivant :

    https://console.developers.google.com/auth/branding?project=[PROJECT_ID]

    Remplacez [PROJECT_ID] par l'ID du projet que vous souhaitez utiliser.

  6. Sélectionnez le bouton Modifier l'application.
  7. Saisissez les informations nécessaires sur la page de l'écran d'autorisation OAuth, puis sélectionnez le bouton Enregistrer et continuer.
  8. Utilisez le bouton Ajouter ou supprimer des champs d'application pour déclarer tous les champs d'application demandés par votre application. Un ensemble initial de champs d'application nécessaires à Google Sign-In est prérempli dans la section Champs d'application non sensibles. Les niveaux d'accès ajoutés sont classés comme non sensibles, sensitive, or restricted.
  9. Fournissez jusqu'à trois liens vers toute documentation pertinente pour les fonctionnalités associées de votre application.

  10. Fournissez toutes les informations supplémentaires demandées sur votre application lors des étapes suivantes.

  11. Si la configuration d'application que vous fournissez nécessite une validation, vous avez la possibilité de soumettre l'application pour validation. Remplissez les champs obligatoires, puis cliquez sur Envoyer pour lancer la procédure de validation.

Une fois votre application envoyée, l'équipe Trust & Safety de Google vous contactera par e-mail pour vous demander des informations supplémentaires ou vous indiquer les étapes à suivre. Vérifiez vos adresses e-mail dans la section Coordonnées du développeur et l'adresse e-mail d'assistance de votre écran d'autorisation OAuth pour voir si vous avez reçu des demandes d'informations supplémentaires. Vous pouvez également consulter la page de l'écran d'autorisation OAuth de votre projet pour confirmer son état d'examen actuel, y compris si le processus d'examen est suspendu en attendant votre réponse.

Exceptions aux exigences de validation

Si votre application doit être utilisée dans l'un des scénarios décrits dans les sections suivantes, vous n'avez pas besoin de la soumettre pour examen.

Usage personnel

Par exemple, si vous êtes le seul utilisateur de votre application ou si elle n'est utilisée que par quelques personnes que vous connaissez personnellement. Vous et votre nombre limité d'utilisateurs pouvez être à l'aise avec l'écran "Application non validée" et accorder à vos comptes personnels l'accès à votre application.

Projets utilisés dans les niveaux de développement, de test ou de préproduction

Pour respecter les règles Google OAuth 2.0, nous vous recommandons d'utiliser des projets différents pour les environnements de test et de production. Nous vous recommandons de ne soumettre votre application à la validation que si vous souhaitez la rendre disponible pour tous les utilisateurs disposant d'un compte Google. Par conséquent, si votre application est en phase de développement, de test ou de préproduction, la validation n'est pas requise.

Si votre application est en phase de développement ou de test, vous pouvez laisser l'état de publication sur le paramètre par défaut Test. Ce paramètre signifie que votre application est toujours en cours de développement et n'est accessible qu'aux utilisateurs que vous ajoutez à la liste des utilisateurs de test. Vous devez gérer la liste des comptes Google impliqués dans le développement ou le test de votre application.

Message d'avertissement indiquant que Google n'a pas validé une application en cours de test.
Figure  2. Écran d'avertissement pour les testeurs

Données appartenant au service uniquement

Si votre application utilise un compte de service pour accéder uniquement à ses propres données et qu'elle n'accède à aucune donnée utilisateur (associée à un compte Google), vous n'avez pas besoin de demander la validation.

Pour comprendre ce que sont les comptes de service, consultez Comptes de service dans la documentation Google Cloud. Pour savoir comment utiliser un compte de service, consultez Utiliser OAuth 2.0 pour les applications de serveur à serveur.

Ils sont réservés à un usage interne

Cela signifie que l'application n'est utilisée que par les membres de votre organisation Google Workspace ou Cloud Identity. Le projet doit appartenir à l'organisation et son écran de consentement OAuth doit être configuré pour un type d'utilisateur interne. Dans ce cas, votre application peut nécessiter l'approbation d'un administrateur de l'organisation. Pour en savoir plus, consultez Remarques supplémentaires pour Google Workspace.

Installation à l'échelle du domaine

Si vous prévoyez que votre application ne cible que les utilisateurs d'une organisation Google Workspace ou Cloud Identity et qu'elle utilise toujours l'installation à l'échelle du domaine, elle n'aura pas besoin d'être validée. En effet, une installation au niveau du domaine permet à un administrateur de domaine d'autoriser des applications tierces et internes à accéder aux données de vos utilisateurs. Seuls les comptes d'administrateur d'organisation peuvent ajouter l'application à une liste d'autorisation pour l'utiliser dans leurs domaines.

Découvrez comment installer votre application à l'échelle du domaine dans les questions fréquentes. Mon application comporte des utilisateurs disposant de comptes d'entreprise provenant d'un autre domaine Google Workspace.