Créer des identifiants d'accès

Les identifiants permettent d'obtenir un jeton d'accès auprès des serveurs d'autorisation de Google afin que votre application puisse appeler les API Google Workspace. Ce guide explique comment choisir et configurer les identifiants dont votre application a besoin.

Pour connaître la définition des termes utilisés sur cette page, consultez Présentation de l'authentification et de l'autorisation.

Choisir les identifiants d'accès qui vous conviennent

Les identifiants requis dépendent du type de données, de la plate-forme et de la méthodologie d'accès de votre application. Trois types d'identifiants sont disponibles :

Cas d'utilisation	Méthode d'authentification	À propos de cette méthode d'authentification
Accédez de manière anonyme aux données publiques dans votre application.	Clés API	Avant d'utiliser cette méthode d'authentification, vérifiez que l'API que vous souhaitez utiliser est compatible avec les clés API.
Accéder aux données utilisateur, comme son adresse e-mail ou son âge.	ID client OAuth	Votre application doit demander et obtenir le consentement de l'utilisateur.
Accéder aux données appartenant à votre propre application ou aux ressources au nom des utilisateurs Google Workspace ou Cloud Identity via la délégation au niveau du domaine.	Compte de service	Lorsqu'une application s'authentifie en tant que compte de service, elle a accès à toutes les ressources auxquelles le compte de service est autorisé à accéder.

Identifiants de clé API

Une clé API est une chaîne longue contenant des lettres (majuscules et minuscules), des chiffres, des traits de soulignement et des tirets (par exemple, AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe). Cette méthode d'authentification permet d'accéder de manière anonyme aux données accessibles au public, comme les fichiers Google Workspace partagés avec le paramètre de partage "Toute personne sur Internet disposant du lien". Pour en savoir plus, consultez Utiliser des clés API.

Pour créer une clé API :

1. Dans la console Google Cloud, accédez à Menu menu > API et services > Identifiants.

   Accéder à "Identifiants"

2. Cliquez sur Créer des identifiants > Clé API.
3. Votre nouvelle clé API s'affiche.
   • Cliquez sur Copier content_copy pour copier votre clé API et l'utiliser dans le code de votre application. Vous trouverez également la clé API dans la section "Clés API" des identifiants de votre projet.
   • Pour éviter toute utilisation abusive, nous recommandons d'ajouter des restrictions pour limiter les emplacements et les API pour lesquels la clé API peut être utilisée. Pour en savoir plus, consultez Ajouter des restrictions d'API.

Identifiants d'ID client OAuth

Pour authentifier les utilisateurs finaux et accéder aux données utilisateur dans votre application, vous devez créer un ou plusieurs ID client OAuth 2.0. Un ID client sert à identifier une application unique auprès des serveurs OAuth de Google. Si votre application s'exécute sur plusieurs plates-formes, vous devez créer un ID client distinct pour chacune d'elles.

Choisissez votre type d'application pour obtenir des instructions spécifiques sur la création d'un ID client OAuth :

Application Web

1. Dans la console Google Cloud, accédez à Menu menu > > Clients.

   Accéder à "Clients"

2. Cliquez sur Créer un client.
3. Cliquez sur Type d'application > Application Web.
4. Dans le champ Nom, saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
5. Ajoutez les URI autorisés associés à votre application :
   • Applications côté client (JavaScript) : sous Origines JavaScript autorisées, cliquez sur Ajouter un URI. Saisissez ensuite un URI à utiliser pour les requêtes du navigateur. Cela permet d'identifier les domaines à partir desquels votre application peut envoyer des requêtes d'API au serveur OAuth 2.0.
   • Applications côté serveur (Java, Python, etc.) : sous URI de redirection autorisés, cliquez sur Ajouter un URI. Saisissez ensuite un URI de point de terminaison vers lequel le serveur OAuth 2.0 peut envoyer des réponses.
6. Cliquez sur Créer.

   Les identifiants que vous venez de créer s'affichent sous ID client OAuth 2.0.

   Notez l'ID client. Les codes secrets du client ne sont pas utilisés pour les applications Web.

Android

1. Dans la console Google Cloud, accédez à Menu menu > > Clients.

   Accéder à "Clients"

2. Cliquez sur Créer un client.
3. Cliquez sur Type d'application > Android.
4. Dans le champ "Nom", saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
5. Dans le champ "Nom du package", saisissez le nom du package de votre fichier AndroidManifest.xml.
6. Dans le champ "Empreinte du certificat SHA-1", saisissez l'empreinte du certificat SHA-1 que vous avez générée.
7. Cliquez sur Créer.

   Les identifiants que vous venez de créer s'affichent sous "ID client OAuth 2.0".

iOS

1. Dans la console Google Cloud, accédez à Menu menu > > Clients.

   Accéder à "Clients"

2. Cliquez sur Créer un client.
3. Cliquez sur Type d'application > iOS.
4. Dans le champ "Nom", saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
5. Dans le champ "Bundle ID" (ID du bundle), saisissez l'identifiant du bundle tel qu'il apparaît dans le fichier Info.plist de l'application.
6. (Facultatif) Si votre application apparaît dans l'App Store d'Apple, saisissez son ID App Store.
7. (Facultatif) Dans le champ "ID d'équipe", saisissez la chaîne unique de 10 caractères générée par Apple et attribuée à votre équipe.
8. Cliquez sur Créer.

   Les identifiants que vous venez de créer s'affichent sous "ID client OAuth 2.0".

Extension Chrome

1. Dans la console Google Cloud, accédez à Menu menu > > Clients.

   Accéder à "Clients"

2. Cliquez sur Créer un client.
3. Cliquez sur Type d'application > Extension Chrome.
4. Dans le champ "Nom", saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
5. Dans le champ "ID de l'article", saisissez la chaîne de 32 caractères unique de votre application. Vous trouverez cette valeur d'ID dans l'URL de votre application sur le Chrome Web Store et dans le tableau de bord du développeur Chrome Web Store.
6. Cliquez sur Créer.

   Les identifiants que vous venez de créer s'affichent sous "ID client OAuth 2.0".

Application de bureau

1. Dans la console Google Cloud, accédez à Menu menu > > Clients.

   Accéder à "Clients"

2. Cliquez sur Créer un client.
3. Cliquez sur Type d'application > Application de bureau.
4. Dans le champ Nom, saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
5. Cliquez sur Créer.

   Les identifiants que vous venez de créer s'affichent sous "ID client OAuth 2.0".

TV et périphériques à saisie limitée

1. Dans la console Google Cloud, accédez à Menu menu > > Clients.

   Accéder à "Clients"

2. Cliquez sur Créer un client.
3. Cliquez sur Type d'application > TV et appareils à saisie limitée.
4. Dans le champ "Nom", saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
5. Cliquez sur Créer.

   Les identifiants que vous venez de créer s'affichent sous "ID client OAuth 2.0".

Plate-forme Windows universelle (UWP)

1. Dans la console Google Cloud, accédez à Menu menu > > Clients.

   Accéder à "Clients"

2. Cliquez sur Créer un client.
3. Cliquez sur Type d'application > Plate-forme Windows universelle (UWP).
4. Dans le champ "Nom", saisissez un nom pour l'identifiant. Ce nom n'apparaît que dans la console Google Cloud.
5. Dans le champ "ID du Store", saisissez l'ID Microsoft Store unique de votre application (12 caractères). Vous trouverez cet ID dans l'URL Microsoft Store de votre application et dans le Centre des partenaires.
6. Cliquez sur Créer.

   Les identifiants que vous venez de créer s'affichent sous "ID client OAuth 2.0".

Identifiants du compte de service

Un compte de service est un type de compte spécial utilisé par une application, et non par une personne. Vous pouvez utiliser un compte de service pour accéder aux données ou effectuer des actions par le compte robot, ou pour accéder aux données au nom des utilisateurs Google Workspace ou Cloud Identity. Pour en savoir plus, consultez la page Comprendre les comptes de service.

Créer un compte de service

Console Google Cloud

1. Dans la console Google Cloud, accédez au menu menu > IAM et administration > Comptes de service.

   Accéder à la page "Comptes de service"

2. Cliquez sur Créer un compte de service.
3. Renseignez les détails du compte de service, puis cliquez sur Créer et continuer.
4. Facultatif : Attribuez des rôles à votre compte de service pour lui accorder l'accès aux ressources de votre projet Google Cloud. Pour en savoir plus, consultez Accorder, modifier et révoquer les accès à des ressources.
5. Cliquez sur Continuer.
6. Facultatif : Saisissez les utilisateurs ou les groupes qui peuvent gérer ce compte de service et effectuer des actions avec. Pour en savoir plus, consultez Gérer l'emprunt d'identité d'un compte de service.
7. Cliquez sur OK. Notez l'adresse e-mail du compte de service.

CLI gcloud

1. Créez le compte de service :

   gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
     --display-name="SERVICE_ACCOUNT_NAME"

2. Facultatif : Attribuez des rôles à votre compte de service pour lui accorder l'accès aux ressources de votre projet Google Cloud. Pour en savoir plus, consultez Accorder, modifier et révoquer les accès à des ressources.

Attribuer un rôle à un compte de service

Vous devez attribuer un rôle prédéfini ou personnalisé à un compte de service à l'aide d'un compte super-administrateur.

1. Dans la console d'administration Google, accédez à Menu menu> Compte > Rôles d'administrateur.

   Accéder à "Rôles d'administrateur"

2. Pointez sur le rôle que vous souhaitez attribuer, puis cliquez sur Attribuer un rôle d'administrateur.

3. Cliquez sur Attribuer des comptes de service.

4. Saisissez l'adresse e-mail du compte de service.

5. Cliquez sur Ajouter > Attribuer un rôle.

Créer des identifiants pour un compte de service

Vous devez obtenir des identifiants sous la forme d'une paire de clés publique/privée. Ces identifiants sont utilisés par votre code pour autoriser les actions du compte de service dans votre application.

Pour obtenir les identifiants de votre compte de service :

1. Dans la console Google Cloud, accédez au menu menu > IAM et administration > Comptes de service.

   Accéder à la page "Comptes de service"

2. Sélectionnez votre compte de service.
3. Cliquez sur Clés > Ajouter une clé > Créer une clé.
4. Sélectionnez JSON, puis cliquez sur Créer.

   La nouvelle paire de clés publique/privée est générée et téléchargée sur votre ordinateur sous la forme d'un nouveau fichier. Enregistrez le fichier JSON téléchargé sous le nom credentials.json dans votre répertoire de travail. Ce fichier est la seule copie de cette clé. Pour savoir comment stocker votre clé de façon sécurisée, consultez Gérer les clés de compte de service.

5. Cliquez sur Fermer.

Facultatif : Configurer la délégation au niveau du domaine pour un compte de service

Pour appeler des API au nom des utilisateurs d'une organisation Google Workspace, un compte super-administrateur doit accorder la délégation d'autorité au niveau du domaine à votre compte de service dans la console d'administration Google Workspace. Pour en savoir plus, consultez Déléguer l'autorité au niveau du domaine à un compte de service.

Pour configurer la délégation d'autorité au niveau du domaine pour un compte de service :

1. Dans la console Google Cloud, accédez au menu menu > IAM et administration > Comptes de service.

   Accéder à la page "Comptes de service"

2. Sélectionnez votre compte de service.
3. Cliquez sur Afficher les paramètres avancés.
4. Sous "Délégation au niveau du domaine", recherchez l'ID client de votre compte de service. Cliquez sur Copier content_copy pour copier la valeur de l'ID client dans le presse-papiers.

5. Si vous disposez d'un accès super-administrateur au compte Google Workspace concerné, cliquez sur Afficher la console d'administration Google Workspace, puis connectez-vous à l'aide d'un compte utilisateur super-administrateur et suivez ces étapes.

   Si vous ne disposez pas d'un accès super-administrateur au compte Google Workspace concerné, contactez un super-administrateur pour ce compte et envoyez-lui l'ID client de votre compte de service et la liste des champs d'application OAuth afin qu'il puisse effectuer les étapes suivantes dans la console d'administration.

1. Dans la console d'administration Google, accédez à Menu menu > Sécurité > Contrôle des accès et des données > Commandes des API.

   Accéder aux commandes des API

2. Cliquez sur Gérer la délégation au niveau du domaine.
3. Cliquez sur Ajouter.
4. Dans le champ "ID client", collez l'ID client que vous avez copié précédemment.
5. Dans le champ "Champs d'application OAuth", saisissez une liste des champs d'application requis par votre application, séparés par une virgule. Il s'agit du même ensemble de champs d'application que vous avez définis lors de la configuration de l'écran de consentement OAuth.
6. Cliquez sur Autoriser.

Étape suivante

Vous êtes prêt à développer sur Google Workspace ! Consultez la liste des produits pour les développeurs Google Workspace et découvrez comment obtenir de l'aide.