Association de comptes via l'association "simplifiée" de Google Sign-In basée sur OAuth

Le type d'association "Simplifiée" basée sur Google Sign-In ajoute Google Sign-In à l'association de compte basée sur OAuth. Cela permet aux utilisateurs Google de s'associer facilement par commande vocale, tout en permettant l'association de compte aux utilisateurs qui se sont inscrits à votre service avec une identité autre que Google.

Ce type d'association commence par Google Sign-In, qui vous permet de vérifier si les informations du profil Google de l'utilisateur existent dans votre système. Si ces informations sont introuvables dans votre système, un flux OAuth standard démarre. L'utilisateur peut également choisir de créer un compte avec les informations de son profil Google.

Figure 1: Une fois que votre action a accès au profil Google de l'utilisateur, vous pouvez l'utiliser pour trouver une correspondance pour l'utilisateur dans votre système d'authentification.

Pour effectuer une association de compte avec le type d'association simplifiée, procédez comme suit:

  1. Commencez par demander à l'utilisateur d'autoriser l'accès à son profil Google.
  2. Utilisez les informations de son profil pour identifier l'utilisateur.
  3. Si vous ne trouvez pas de correspondance pour l'utilisateur Google dans votre système d'authentification, le flux se poursuit selon que vous avez configuré votre projet Actions dans la console Actions pour autoriser la création de comptes utilisateur par commande vocale ou uniquement sur votre site Web.
    • Si vous autorisez la création de compte par commande vocale, validez le jeton d'ID reçu de Google. Vous pouvez ensuite créer un utilisateur en fonction des informations de profil contenues dans le jeton d'ID.
    • Si vous n'autorisez pas la création de compte par commande vocale, l'utilisateur est transféré vers un navigateur où il peut charger votre page d'autorisation et terminer le parcours de création de l'utilisateur.
Si vous autorisez la création de comptes par commande vocale et que vous ne trouvez pas de correspondance pour le profil Google dans votre système d'authentification, vous devez valider le jeton d'ID reçu de Google. Vous pouvez ensuite créer un utilisateur à partir des informations de profil contenues dans le jeton d'ID.
            Si vous n'autorisez pas la création de compte utilisateur par commande vocale, l'utilisateur est transféré vers un navigateur où il peut charger votre page d'autorisation et terminer le flux.
Figure 2. Représentation visuelle du parcours OAuth et Google Sign-In lorsque les informations d'un utilisateur sont introuvables dans votre système.

Permettre la création de compte par commande vocale

Si vous autorisez la création de comptes utilisateur par commande vocale, l'Assistant demande à l'utilisateur s'il souhaite effectuer les opérations suivantes:

  • créer un compte sur votre système à l'aide des informations de son compte Google ;
  • Connectez-vous à votre système d'authentification avec un autre compte s'il existe un compte autre que Google.

Nous vous recommandons d'autoriser la création de comptes par commande vocale si vous souhaitez minimiser les inconvénients du processus de création de compte. L'utilisateur ne doit quitter le flux vocal que s'il souhaite se connecter à l'aide d'un compte autre que Google existant.

Interdire la création de compte par commande vocale

Si vous avez interdit la création de compte utilisateur par commande vocale, l'Assistant ouvre l'URL du site Web que vous avez fourni pour l'authentification de l'utilisateur. Si l'interaction a lieu sur un appareil sans écran, l'Assistant redirige l'utilisateur vers un téléphone pour poursuivre le flux d'association de comptes.

Interdire la création est recommandée dans les cas suivants:

  • Vous ne voulez pas autoriser les utilisateurs qui ne possèdent pas de comptes Google à créer un compte utilisateur et qu'ils doivent s'associer à leurs comptes utilisateur existants dans votre système d'authentification. Par exemple, si vous proposez un programme de fidélité, vous pouvez vous assurer que l'utilisateur ne perd pas les points accumulés dans son compte existant.

  • Vous devez maîtriser entièrement le processus de création de compte. Par exemple, vous pouvez interdire la création si vous devez présenter vos conditions d'utilisation à l'utilisateur lors de la création du compte.

Implémenter l'association "Simplifiée" de Google Sign-In basée sur OAuth

Les comptes sont associés aux flux OAuth 2.0 standards dans l'industrie. Actions on Google est compatible avec les flux implicites et avec code d'autorisation.

Dans le flux de code implicite, Google ouvre votre point de terminaison d'autorisation dans le navigateur de l'utilisateur. Une fois connecté, vous renvoyez un jeton d'accès de longue durée à Google. Ce jeton d'accès est désormais inclus dans chaque requête envoyée à l'action par l'Assistant.

Dans le flux de code d'autorisation, vous avez besoin de deux points de terminaison:

  • Le point de terminaison authorization, qui consiste à présenter l'interface de connexion aux utilisateurs qui ne sont pas déjà connectés et à enregistrer le consentement demandé pour l'accès demandé sous la forme d'un code d'autorisation temporaire.
  • Le point de terminaison d'échange de jetons, responsable de deux types d'échanges :
    1. Échange un code d'autorisation contre un jeton d'actualisation de longue durée et un jeton d'accès de courte durée. Cet échange se produit lorsque l'utilisateur suit la procédure d'association de comptes.
    2. Échange un jeton d'actualisation de longue durée contre un jeton d'accès de courte durée. Cet échange se produit lorsque Google a besoin d'un nouveau jeton d'accès, car celui-ci a expiré.

Bien que le flux de code implicite soit plus facile à mettre en œuvre, Google recommande que les jetons d'accès émis à l'aide du flux implicite n'expirent jamais, car l'expiration du jeton avec le flux implicite oblige l'utilisateur à associer de nouveau son compte. Si vous avez besoin d'un jeton expiré pour des raisons de sécurité, envisagez plutôt d'utiliser le flux de code d'autorisation.

Configurer le projet

Pour configurer votre projet afin d'utiliser l'association rationalisée, procédez comme suit:

  1. Ouvrez la console Actions et sélectionnez le projet que vous souhaitez utiliser.
  2. Cliquez sur l'onglet Développer, puis sélectionnez Association de comptes.
  3. Activez le bouton bascule situé à côté de Association de comptes.
  4. Dans la section Création du compte, sélectionnez Oui.

  5. Dans Type d'association, sélectionnez OAuth et Google Sign-In et Implicit.

  6. Dans Informations client, procédez comme suit:

    • Attribuez une valeur au Client-ID émis par vos actions vers Google pour identifier les requêtes provenant de Google.
    • Insérez les URL de vos points de terminaison Autorisation et Token Exchange.
  7. Cliquez sur Enregistrer.

Implémenter votre serveur OAuth

Pour assurer la compatibilité avec le flux implicite OAuth 2.0, votre service rend un point de terminaison d'autorisation disponible via HTTPS. Ce point de terminaison est responsable de l'authentification et de l'obtention du consentement des utilisateurs pour l'accès aux données. Le point de terminaison d'autorisation présente une UI de connexion aux utilisateurs qui ne sont pas déjà connectés et enregistre leur consentement pour l'accès demandé.

Lorsque votre action doit appeler l'une des API autorisées de votre service, Google utilise ce point de terminaison pour obtenir l'autorisation de vos utilisateurs d'appeler ces API en leur nom.

Une session de flux implicite OAuth 2.0 type lancée par Google se présente comme suit:

  1. Google ouvre votre point de terminaison d'autorisation dans le navigateur de l'utilisateur. L'utilisateur se connecte s'il n'est pas déjà connecté et autorise Google à accéder à ses données avec votre API si ce n'est pas déjà fait.
  2. Votre service crée un jeton d'accès et le renvoie à Google en redirigeant le navigateur de l'utilisateur vers Google à l'aide du jeton d'accès associé à la requête.
  3. Google appelle les API de votre service et associe le jeton d'accès à chaque requête. Votre service vérifie que le jeton d'accès accorde l'autorisation à Google d'accéder à l'API, puis termine l'appel d'API.

Gérer les requêtes d'autorisation

Lorsque votre action doit effectuer l'association de comptes via un flux implicite OAuth 2.0, Google redirige l'utilisateur vers votre point de terminaison d'autorisation avec une requête incluant les paramètres suivants:

Paramètres du point de terminaison d'autorisation
client_id ID client que vous avez attribué à Google.
redirect_uri URL à laquelle vous envoyez la réponse à cette requête.
state Valeur comptable renvoyée à Google telle quelle dans l'URI de redirection.
response_type Type de valeur à renvoyer dans la réponse. Pour le flux implicite OAuth 2.0, le type de réponse est toujours token.

Par exemple, si votre point de terminaison d'autorisation est disponible à l'adresse https://myservice.example.com/auth, une requête peut se présenter comme suit:

GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&response_type=token

Pour que votre point de terminaison d'autorisation gère les requêtes de connexion, procédez comme suit:

  1. Vérifiez les valeurs client_id et redirect_uri pour éviter d'accorder l'accès à des applications clientes non intentionnelles ou mal configurées:

    • Vérifiez que client_id correspond à l'ID client que vous avez attribué à Google.
    • Vérifiez que l'URL spécifiée par le paramètre redirect_uri présente le format suivant :
      https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID
      YOUR_PROJECT_ID correspond à l'ID figurant sur la page Paramètres du projet de la console Actions.
  2. Vérifiez si l'utilisateur est connecté à votre service. Si l'utilisateur n'est pas connecté, suivez la procédure de connexion ou d'inscription à votre service.

  3. Générez un jeton d'accès que Google utilisera pour accéder à votre API. Le jeton d'accès peut correspondre à n'importe quelle valeur de chaîne, mais il doit représenter de manière unique l'utilisateur et le client auxquels le jeton est destiné, et ne doit pas être devinable.

  4. Envoyez une réponse HTTP qui redirige le navigateur de l'utilisateur vers l'URL spécifiée par le paramètre redirect_uri. Incluez tous les paramètres suivants dans le fragment d'URL:

    • access_token: jeton d'accès que vous venez de générer.
    • token_type: chaîne bearer
    • state: valeur d'état non modifiée de la requête d'origine. Voici un exemple de l'URL obtenue :
      https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID#access_token=ACCESS_TOKEN&token_type=bearer&state=STATE_STRING

Le gestionnaire de redirection OAuth 2.0 de Google reçoit le jeton d'accès et confirme que la valeur state n'a pas changé. Une fois que Google a obtenu un jeton d'accès pour votre service, il l'associe aux appels suivants à votre action dans le cadre d'AppRequest.

Gérer l'association automatique

Une fois que l'utilisateur a autorisé votre action à accéder à son profil Google, Google envoie une requête contenant une assertion signée de l'identité de l'utilisateur Google. L'assertion contient des informations qui incluent l'ID, le nom et l'adresse e-mail du compte Google de l'utilisateur. Le point de terminaison d'échange de jetons configuré pour votre projet gère cette requête.

Si le compte Google correspondant est déjà présent dans votre système d'authentification, le point de terminaison d'échange de jetons renvoie un jeton pour l'utilisateur. Si le compte Google ne correspond à aucun utilisateur existant, le point de terminaison de votre échange de jetons renvoie une erreur user_not_found.

La demande se présente sous la forme suivante:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&intent=get&assertion=JWT&consent_code=CONSENT_CODE&scope=SCOPES

Le point de terminaison de votre échange de jetons doit pouvoir gérer les paramètres suivants:

Paramètres du point de terminaison du jeton
grant_type Type de jeton échangé. Pour ces requêtes, ce paramètre prend la valeur urn:ietf:params:oauth:grant-type:jwt-bearer.
intent Pour ces requêtes, la valeur de ce paramètre est "get".
assertion Jeton Web JSON (JWT, JSON Web Token) qui fournit une assertion signée de l'identité de l'utilisateur Google. Le JWT contient des informations qui incluent l'ID, le nom et l'adresse e-mail du compte Google de l'utilisateur.
consent_code Facultatif: lorsqu'il est présent, code à usage unique indiquant que l'utilisateur a autorisé votre action à accéder aux champs d'application spécifiés.
scope Facultatif: tous les niveaux d'accès que vous avez configurés que Google peut demander aux utilisateurs.

Lorsque le point de terminaison d'échange de jetons reçoit la demande d'association, il doit procéder comme suit:

Valider et décoder l'assertion JWT

Vous pouvez valider et décoder l'assertion JWT à l'aide d'une bibliothèque de décodage JWT pour votre langage. Utilisez les clés publiques de Google (disponibles au format JWK ou PEM) pour valider la signature du jeton.

Lorsqu'elle est décodée, l'assertion JWT ressemble à l'exemple suivant :

{
  "sub": 1234567890,        // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "locale": "en_US"
}

En plus de vérifier la signature du jeton, vérifiez que l'émetteur de l'assertion (champ iss) est https://accounts.google.com et que l'audience (champ aud) est l'ID client attribué à votre action.

Vérifier si le compte Google est déjà présent dans votre système d'authentification

Vérifiez si l'une des conditions suivantes est remplie:

  • L'ID de compte Google, qui se trouve dans le champ sub de l'assertion, se trouve dans votre base de données utilisateur.
  • L'adresse e-mail de l'assertion correspond à un utilisateur de votre base de données d'utilisateurs.

Si l'une des deux conditions est vraie, l'utilisateur s'est déjà inscrit et vous pouvez émettre un jeton d'accès.

Si ni l'ID de compte Google, ni l'adresse e-mail spécifiée dans l'assertion ne correspondent à un utilisateur de votre base de données, cela signifie que l'utilisateur ne s'est pas encore inscrit. Dans ce cas, le point de terminaison de votre échange de jetons doit renvoyer une erreur HTTP 401, qui spécifie error=user_not_found, comme dans l'exemple suivant:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"user_not_found",
}
Lorsque Google reçoit la réponse d'erreur 401 avec une erreur user_not_found, il appelle le point de terminaison de votre échange de jetons avec la valeur du paramètre intent définie sur create et envoie un jeton d'ID contenant les informations de profil de l'utilisateur avec la requête.

Gérer la création de compte via Google Sign-In

Lorsqu'un utilisateur doit créer un compte sur votre service, Google envoie une requête au point de terminaison d'échange de jetons qui spécifie intent=create, comme dans l'exemple suivant:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

response_type=token&grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&scope=SCOPES&intent=create&consent_code=CONSENT_CODE&assertion=JWT[&NEW_ACCOUNT_INFO]

Le paramètre assertion contient un jeton Web JSON (JWT, JSON Web Token) qui fournit une assertion signée de l'identité de l'utilisateur Google. Le JWT contient des informations telles que l'ID, le nom et l'adresse e-mail du compte Google de l'utilisateur, que vous pouvez utiliser pour créer un compte sur votre service.

Pour répondre aux demandes de création de compte, le point de terminaison de votre échange de jetons doit procéder comme suit:

Valider et décoder l'assertion JWT

Vous pouvez valider et décoder l'assertion JWT à l'aide d'une bibliothèque de décodage JWT pour votre langage. Utilisez les clés publiques de Google (disponibles au format JWK ou PEM) pour valider la signature du jeton.

Lorsqu'elle est décodée, l'assertion JWT ressemble à l'exemple suivant :

{
  "sub": 1234567890,        // The unique ID of the user's Google Account
  "iss": "https://accounts.google.com",        // The assertion's issuer
  "aud": "123-abc.apps.googleusercontent.com", // Your server's client ID
  "iat": 233366400,         // Unix timestamp of the assertion's creation time
  "exp": 233370000,         // Unix timestamp of the assertion's expiration time
  "name": "Jan Jansen",
  "given_name": "Jan",
  "family_name": "Jansen",
  "email": "jan@gmail.com", // If present, the user's email address
  "locale": "en_US"
}

En plus de vérifier la signature du jeton, vérifiez que l'émetteur de l'assertion (champ iss) est https://accounts.google.com et que l'audience (champ aud) est l'ID client attribué à votre action.

Valider les informations de l'utilisateur et créer un compte

Vérifiez si l'une des conditions suivantes est remplie:

  • L'ID de compte Google, qui se trouve dans le champ sub de l'assertion, se trouve dans votre base de données utilisateur.
  • L'adresse e-mail de l'assertion correspond à un utilisateur de votre base de données d'utilisateurs.

Si l'une de ces conditions est vraie, invitez l'utilisateur à associer son compte existant à son compte Google en répondant à la requête avec une erreur HTTP 401, en spécifiant error=linking_error et l'adresse e-mail de l'utilisateur comme login_hint, comme dans l'exemple suivant:

HTTP/1.1 401 Unauthorized
Content-Type: application/json;charset=UTF-8

{
  "error":"linking_error",
  "login_hint":"foo@bar.com"
}

Si aucune condition n'est remplie, créez un compte utilisateur à l'aide des informations fournies dans le jeton JWT. En général, aucun mot de passe n'est défini pour les nouveaux comptes. Nous vous recommandons d'ajouter Google Sign-In à d'autres plates-formes pour permettre aux utilisateurs de se connecter via Google sur l'ensemble des surfaces de votre application. Vous pouvez également envoyer par e-mail à l'utilisateur un lien qui lance votre flux de récupération de mot de passe. Il pourra ainsi définir un mot de passe pour se connecter sur d'autres plates-formes.

Une fois la création terminée, émettez un jeton d'accès , puis renvoyez les valeurs d'un objet JSON dans le corps de votre réponse HTTPS, comme dans l'exemple suivant :

{
  "token_type": "Bearer",
  "access_token": "ACCESS_TOKEN",
  
  "expires_in": SECONDS_TO_EXPIRATION
}

Concevoir l'interface utilisateur vocale pour le flux d'authentification

Vérifier si l'utilisateur est validé et démarrer le flux d'association de compte

  1. Ouvrez votre projet Actions Builder dans la console Actions.
  2. Créez une scène pour lancer l'association de comptes dans votre action :
    1. Cliquez sur Scenes (Scènes).
    2. Cliquez sur l'icône d'ajout (+) pour ajouter une scène.
  3. Dans la scène que vous venez de créer, cliquez sur l'icône d'ajout pour Conditions.
  4. Ajoutez une condition qui vérifie si l'utilisateur associé à la conversation est un utilisateur validé. Si la vérification échoue, votre action ne peut pas associer de compte pendant la conversation. Elle doit alors fournir l'accès à des fonctionnalités qui ne nécessitent pas d'association de compte.
    1. Dans le champ Enter new expression, sous Condition, saisissez la logique suivante : user.verificationStatus != "VERIFIED"
    2. Sous Transition, sélectionnez une scène ne nécessitant pas d'association de compte ou une scène qui est le point d'entrée de la fonctionnalité Invité.

  1. Cliquez sur l'icône d'ajout pour Conditions.
  2. Ajoutez une condition pour déclencher un flux d'association de compte si l'utilisateur n'est associé à aucune identité.
    1. Dans le champ Enter new expression, sous Condition, saisissez la logique suivante : user.verificationStatus == "VERIFIED"
    2. Sous Transition, sélectionnez la scène système Association de comptes.
    3. Cliquez sur Enregistrer.

Après l'enregistrement, une nouvelle scène système d'association de comptes appelée <SceneName>_AccountLinking est ajoutée à votre projet.

Personnaliser la scène de l'association de comptes

  1. Sous Scenes (Scènes), sélectionnez la scène du système d'association de comptes.
  2. Cliquez sur Envoyer une invite et ajoutez une courte phrase pour expliquer à l'utilisateur pourquoi l'action doit accéder à son identité (par exemple, "Enregistrer vos préférences").
  3. Cliquez sur Enregistrer.

  1. Sous Conditions, cliquez sur Si l'utilisateur a correctement associé ses comptes.
  2. Configurez le déroulement du flux si l'utilisateur accepte d'associer son compte. Par exemple, appelez le webhook pour traiter toute logique métier personnalisée requise et revenir à la scène d'origine.
  3. Cliquez sur Enregistrer.

  1. Sous Conditions, cliquez sur Si l'utilisateur annule ou ignore l'association de comptes.
  2. Configurez le déroulement du flux si l'utilisateur n'accepte pas d'associer son compte. Par exemple, envoyez un message de confirmation et redirigez vers des scènes qui fournissent des fonctionnalités qui ne nécessitent pas d'association de compte.
  3. Cliquez sur Enregistrer.

  1. Sous Conditions, cliquez sur Si une erreur système ou réseau se produit.
  2. Configurez la manière dont le flux doit se dérouler si le flux d'association de comptes ne peut pas être terminé en raison d'erreurs système ou réseau. Par exemple, envoyez un message de confirmation et redirigez vers des scènes qui fournissent des fonctionnalités qui ne nécessitent pas d'association de compte.
  3. Cliquez sur Enregistrer.

Gérer les demandes d'accès aux données

Si la requête de l'Assistant contient un jeton d'accès, vérifiez d'abord que le jeton est valide et qu'il n'a pas expiré, puis récupérez le compte utilisateur associé au jeton dans votre base de données de comptes utilisateur.