Configurer et autoriser les demandes

Avant de commencer à développer, vous devez consulter les Conditions d'utilisation de l'API Chrome Policy, créer un projet Google Cloud, activer l'API Chrome Policy et configurer des identifiants d'accès.

L'API Chrome Policy respecte les autorisations des rôles d'administrateur et est régie par des champs d'application d'autorisation définis.

Étape 1: Créez un projet Google Cloud

Vous devez disposer d'un projet Google Cloud pour utiliser l'API Chrome Policy. Ce projet constitue la base pour la création, l'activation et l'utilisation de tous les services Google Cloud, y compris la gestion des API, l'activation de la facturation, l'ajout et la suppression de collaborateurs et la gestion des autorisations.

Si vous n'avez pas encore de projet Google Cloud à utiliser, suivez les étapes ci-dessous pour en créer un:

1. Ouvrez la console Google Cloud.
2. En haut à gauche, cliquez sur Menu menu > IAM et administration > Créer un projet.
3. Dans le champ Nom du projet, saisissez un nom descriptif pour votre projet.
4. Dans le champ Emplacement, cliquez sur Parcourir pour afficher les organisations disponibles pour l'attribution. Choisissez l'organisation pour laquelle vous souhaitez gérer les règles Chrome, puis cliquez sur Sélectionner.
5. Cliquez sur Créer. La console accède à la page "Tableau de bord" et votre projet est créé en quelques minutes.

Étape 2: Activez l'API Chrome Policy

Pour activer l'API Chrome Policy dans votre projet Google Cloud:

1. Ouvrez la console Google Cloud.
2. En haut de la page, choisissez votre projet Google Cloud.
3. En haut à gauche, cliquez sur Menu menu > API et services > Bibliothèque.
4. Dans le champ de recherche, saisissez "Chrome", puis appuyez sur Entrée.
5. Dans la liste des résultats, cliquez sur API Chrome Policy.
6. Cliquez sur Activer.
7. Pour activer d'autres API, répétez les étapes 2 à 5.

Étape 3: Créez des identifiants

Les requêtes envoyées à l'API Chrome Policy peuvent être authentifiées en tant qu'utilisateur final ou compte de service robot.

Configurer l'écran de consentement OAuth

1. Ouvrez la console Google Cloud.
2. En haut de la page, choisissez votre projet Google Cloud.
3. En haut à gauche, cliquez sur Menu menu > API et services > Écran d'autorisation OAuth.
4. Sélectionnez le type d'utilisateur de votre application, puis cliquez sur Créer.
5. Remplissez le formulaire d'inscription de l'application, puis cliquez sur Enregistrer et continuer.

6. Cliquez sur Ajouter ou supprimer des niveaux d'accès. Un panneau s'affiche avec la liste des champs d'application de chaque API activée dans votre projet Google Cloud. Ajoutez l'un des champs d'application d'autorisation suivants:

   • https://www.googleapis.com/auth/chrome.management.policy
   • https://www.googleapis.com/auth/chrome.management.policy.readonly

   Le champ d'application readonly n'autorise aucune opération de mutation.

Configurer l'authentification des utilisateurs finaux ou des comptes de service

Cliquez sur l'une des options ci-dessous pour obtenir des instructions détaillées:

Option 1: S'authentifier en tant qu'utilisateur final avec OAuth 2.0

1. Ouvrez la console Google Cloud.
2. En haut de la page, choisissez votre projet Google Cloud.
3. En haut à gauche, cliquez sur Menu menu > API et services > Identifiants.
4. Cliquez sur Créer des identifiants > ID client OAuth.
5. Suivez la procédure permettant de créer les identifiants OAuth 2.0.

Aucune configuration spéciale n'est requise dans la console d'administration par l'administrateur Chrome de l'organisation pour l'authentification OAuth 2.0. Les utilisateurs de votre application devront disposer des autorisations de rôle d'administrateur requises associées à leur compte et accepter l'écran de consentement OAuth de l'application.

Conseil:Vous pouvez tester votre application dans OAuth Playground.

Option 2: S'authentifier en tant que compte de service

Un compte de service est un type particulier de compte utilisé par une application plutôt que par une personne. Vous pouvez utiliser un compte de service pour accéder à des données, pour effectuer des actions par le compte robot lui-même, ou pour accéder à des données au nom des utilisateurs. Pour en savoir plus, consultez la page Comprendre les comptes de service.

Créer un compte de service et des identifiants

1. Ouvrez la console Google Cloud.
2. En haut de la page, choisissez votre projet Google Cloud.
3. En haut à gauche, cliquez sur Menu menu > API et services > Identifiants.
4. Cliquez sur Créer des identifiants > Compte de service.
5. Saisissez le nom du compte de service, puis cliquez sur Créer et continuer.
6. (Facultatif) Attribuez des rôles à votre compte de service pour accorder l'accès aux ressources de votre projet Google Cloud. Pour en savoir plus, consultez Accorder, modifier et révoquer les accès à des ressources.
7. Cliquez sur Continuer.
8. Facultatif: indiquez les utilisateurs ou les groupes autorisés à gérer et à effectuer des actions avec ce compte de service. Pour en savoir plus, consultez Gérer l'emprunt d'identifiants pour un compte de service.
9. Cliquez sur OK. Après quelques minutes, votre nouveau compte de service apparaît dans la liste "Comptes de service". (Vous devrez peut-être actualiser la page.)
10. Dans la liste "Comptes de service", cliquez sur le compte de service que vous avez créé.
11. Cliquez sur Clés > Ajouter des clés > Créer une clé.
12. Sélectionnez JSON, puis cliquez sur Créer.

    La nouvelle paire de clés publique/privée est générée et téléchargée sur votre ordinateur sous la forme d'un nouveau fichier. Ce fichier est la seule copie de cette clé. Pour savoir comment stocker votre clé en toute sécurité, consultez Gérer les clés de compte de service.

Autoriser le compte de service dans la console d'administration

Si vous choisissez d'authentifier les requêtes en tant que compte de service, l'administrateur Chrome de l'organisation doit effectuer des étapes supplémentaires dans la console d'administration pour terminer le processus.

L'administrateur Chrome peut attribuer directement un rôle au compte de service avec les autorisations de rôle d'administrateur requises, ou configurer une délégation au niveau du domaine afin que le compte de service puisse emprunter l'identité d'utilisateurs disposant des autorisations appropriées et agir en leur nom.

Pour configurer la délégation au niveau du domaine pour votre compte de service, l'administrateur Chrome doit suivre ces étapes dans la console d'administration:

1. Ouvrez la console d'administration.
2. En haut à gauche, cliquez sur Menu menu > Sécurité > Contrôle des accès et des données > Commandes des API.
3. Cliquez sur Gérer la délégation au niveau du domaine.
4. Cliquez sur Ajouter.
5. Dans le champ "ID client", collez l'ID client associé à votre compte de service. Découvrez comment trouver l'ID client de votre compte de service.
6. Dans le champ "Champs d'application OAuth", saisissez les champs d'application requis par l'application du compte de service, séparés par une virgule. Il s'agit du même ensemble de champs d'application que celui défini lors de la configuration de l'écran de consentement OAuth.
7. Cliquez sur Autoriser.

Étape 4: Testez votre application dans OAuth Playground

1. Ouvrez la console Google Cloud.
2. En haut de la page, choisissez votre projet Google Cloud.
3. En haut à gauche, cliquez sur Menu menu > API et services > Identifiants.
4. Cliquez sur Créer des identifiants > ID client OAuth.
5. Cliquez sur Type d'application > Application Web.
6. Dans le champ "Name" (Nom), saisissez un nom pour l'identifiant. Ce nom ne s'affiche que dans la console Cloud.
7. Pour l'heure des tests, ajoutez https://developers.google.com/oauthplayground à "URI de redirection autorisés". Si nécessaire, vous pouvez supprimer cette URI de redirection de votre application une fois les tests effectués.
8. Cliquez sur Créer, puis copiez l'ID client et le code secret du client dans votre presse-papiers.
9. Dans un nouvel onglet, ouvrez OAuth 2.0 Playground.
10. En haut à droite, cliquez sur Configuration OAuth 2.0 settings.
11. Sélectionnez Use your own OAuth credentials (Utiliser vos propres identifiants OAuth). Collez ensuite l'ID client et le code secret du client que vous avez copiés à l'étape 8, puis cliquez sur Fermer.
12. Sur la gauche, suivez les étapes OAuth 2.0 Playground :
    • Pour "Étape 1: Sélectionner et autoriser des API", ajoutez https://www.googleapis.com/auth/chrome.management.policy et tous les autres champs d'application d'API nécessaires, puis cliquez sur Autoriser les API.
    • Pour "Étape 2: Échanger le code d'autorisation contre des jetons", vous pouvez éventuellement sélectionner Actualiser automatiquement le jeton avant son expiration.
    • À l'étape 3: Configurer la requête d'API, saisissez l'URI de votre requête pour l'API Chrome Policy, en modifiant les paramètres "Méthode HTTP" et d'autres paramètres si nécessaire. Exemple de requête d'URL: https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers

Étape 5: Vérifiez que votre application est approuvée

L'administrateur d'une organisation peut marquer des applications comme approuvées ou bloquées dans la console d'administration. Pour en savoir plus, consultez Contrôler quelles applications tierces et internes ont accès aux données Google Workspace.