Si votre application cible un type d'utilisateur externe, vous pouvez vous adresser à la plus large audience possible de comptes Google, qui inclut les comptes Google administrés par une organisation Google Workspace.
Les administrateurs Google Workspace peuvent utiliser les commandes d'accès aux API pour activer ou restreindre l'accès aux API Google Workspace pour les applications et comptes de service détenus par le client et tiers. Cette fonctionnalité permet aux administrateurs Google Workspace de limiter l'accès aux seuls ID client OAuth approuvés par l'organisation, ce qui réduit les risques liés aux accès tiers aux services Google.
Pour toucher la plus large audience possible de comptes Google et renforcer la confiance, nous vous recommandons de procéder comme suit :
- Faites valider votre application par Google. Le cas échéant, vous devez faire valider votre application pour la validation de la marque, ainsi que pour la validation des niveaux d'accès sensibles et restreints. Les administrateurs Google Workspace peuvent consulter l'état validé de votre application . Ils peuvent faire plus confiance aux applications validées par Google qu'à celles dont l'état n'est pas validé ou est inconnu.
- Les administrateurs Google Workspace peuvent accorder aux ID client OAuth de votre application l'accès aux services restreints et les niveaux d'accès à haut risque qu'ils contiennent. Si vous incluez l'ID client OAuth de votre application dans vos documents d'aide, vous pouvez fournir aux administrateurs Google Workspace et aux défenseurs de votre application au sein de leur organisation les informations nécessaires pour accorder l'accès à votre application. Cela peut également les aider à comprendre les modifications de configuration qui peuvent être nécessaires avant que votre application puisse accéder aux données d'une organisation.
- Surveillez régulièrement l'adresse e-mail d'assistance utilisateur que vous fournissez lorsque vous configurez votre page de l'écran de consentement OAuth. Les administrateurs Google Workspace peuvent consulter cette adresse e-mail lorsqu'ils examinent l'accès de votre application. Ils peuvent vous contacter pour vous poser des questions ou vous faire part de leurs préoccupations.
Impact des commandes d'administrateur Google Workspace sur la validité des jetons
Les administrateurs Google Workspace peuvent implémenter plusieurs commandes qui affectent indirectement la validité et la durée de vie des jetons OAuth.
- Contrôle de session Google Cloud : les administrateurs Google Workspace peuvent définir la durée des sessions pour les services Google Cloud (par exemple, console Google Cloud, gcloud CLI). Ce paramètre s'applique à toutes les applications, y compris les applications tierces, qui nécessitent une autorisation utilisateur pour les niveaux d'accès Google Cloud. Le dépassement de cette durée de session peut invalider les jetons d'actualisation associés à ces niveaux d'accès Google Cloud. Pour en savoir plus, consultez Définir la durée de session pour les services Google Cloud.
- Contrôle de session des services Google généraux : les administrateurs peuvent également contrôler la durée des sessions Web pour des services tels que Gmail sur le Web. Les utilisateurs sont alors obligés de se reconnecter à l'interface Web Google une fois la session expirée. Toutefois, cette commande n'invalide généralement pas les jetons d'actualisation OAuth accordés aux applications tierces pour accéder aux données d'API (telles que les API Gmail, Drive ou Agenda), sauf si les niveaux d'accès sont spécifiquement liés à Google Cloud. Pour en savoir plus, consultez Définir la durée de session pour les services Google.
- Contrôle de l'accès des applications : les administrateurs peuvent bloquer des applications, limiter leur accès à certains services ou révoquer complètement l'accès, ce qui invalide les jetons d'actualisation associés.
- Délégation au niveau du domaine (DWD) : bien que la DWD ne modifie pas la durée de vie des jetons, elle permet aux administrateurs de préautoriser les applications, en contournant le consentement de l'utilisateur et en gérant directement l'accès de l'application aux données de l'organisation.
Associer votre projet à une organisation
Si vous êtes un utilisateur Google Workspace, nous vous recommandons vivement de créer votre projet de développeur dans une ressource d'organisation de votre compte Google Workspace ou Cloud Identity. Cela vous permet d' utiliser les fonctionnalités de gestion d'entreprise, telles que les notifications importantes, le contrôle des accès et la gestion du cycle de vie des projets, sans les lier à un compte de développeur individuel. Sinon, il peut être difficile (voire impossible) de transférer à un nouveau propriétaire à l'avenir.
Lorsque vous configurez votre projet de développeur, créez-le dans une organisation ou migrez vos projets existants vers une organisation.