La délégation au niveau du domaine est une fonctionnalité puissante qui vous permet d'autoriser les applications clientes à accéder aux données de vos utilisateurs Workspace sans demander leur consentement. Vous pouvez utiliser la délégation au niveau du domaine de deux manières :
- Autorisez un compte de service à accéder aux données au nom d'un utilisateur. Un compte de service peut utiliser les types d'applications suivants :
-
Outils de migration et de synchronisation permettant de dupliquer le contenu des utilisateurs d'un autre service vers Google Workspace
-
les applications internes, telles que les applications d'automatisation, créées par les développeurs pour votre organisation (vous pouvez par exemple déléguer l'accès à une application qui ajoute des événements aux agendas de vos utilisateurs à l'aide de l'API Calendar) ;
-
- Autorisez les utilisateurs à se servir d'applications clientes OAuth sans voir d'écran de consentement. Les utilisateurs peuvent accéder à des applications sans y être invités, et vous pouvez spécifier les données utilisateur auxquelles les applications peuvent accéder.
Vous pouvez également gérer l'installation des applications Google Workspace Marketplace au niveau du domaine et afficher les habilitations d'API correspondantes. En savoir plus sur l'accès aux données et l'installation des applications Marketplace
- Vérifiez que vous disposez des droits de super-administrateur pour votre compte Google Workspace.
- Consultez les bonnes pratiques de délégation au niveau du domaine et les bonnes pratiques d'utilisation des comptes de service.
- Consultez la liste des champs d'application d'API requis par l'application ou le compte de service. Vérifiez que le niveau d'accès de l'application ou du compte de service est limité.
- (En cas de délégation d'une application OAuth) Obtenez l'ID client OAuth auprès du développeur de l'application.
- (En cas de délégation d'un compte de service) Obtenez l'ID client du compte de service. Si vous êtes le propriétaire du compte de service, vous pouvez trouver l'ID comme suit :
- Connectez-vous à Google Cloud en tant que super-administrateur.
- Cliquez sur IAM et administration
Comptes de service
- Développez Paramètres avancés, puis copiez l'ID client.
- Grâce à la délégation au niveau du domaine, l'application a accès aux données appartenant à tous vos utilisateurs. Nous vous recommandons de vérifier régulièrement les comptes de service et de supprimer ceux qui ne sont plus utilisés.
Comptes de service -
Connectez-vous à votre Console d'administration Google.
Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).
-
Dans la console d'administration, accédez à Menu
Sécurité
Contrôle des accès et des données
Pour ce faire, vous devez être connecté en tant que super-administrateur. -
Cliquez sur Ajouter.
-
Saisissez l'ID client du compte de service ou du client OAuth2.
- Dans Habilitations OAuth, ajoutez chaque habilitation à laquelle l'application peut accéder, en veillant à ce qu'elles soient suffisamment limitées. Vous pouvez utiliser n'importe quelle habilitation OAuth 2.0 pour les API Google. Par exemple, si l'application nécessite un accès au niveau du domaine à l'API Google Drive et à l'API Google Agenda, saisissez https://www.googleapis.com/auth/drive et https://www.googleapis.com/auth/calendar.
- Cliquez sur Autoriser. Si vous rencontrez une erreur, il se peut que l'ID client ne soit pas enregistré auprès de Google, ou que des habilitations en double ou non compatibles soient présentes.
-
Sélectionnez le nouvel ID client, cliquez sur Afficher les détails et vérifiez que tous les niveaux d'accès sont indiqués.
Si ce n'est pas le cas, cliquez sur Modifier, saisissez le niveau d'accès manquant et cliquez sur Autoriser. Vous ne pouvez pas modifier l'ID client.
Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus
Il est recommandé de vérifier régulièrement les habilitations de votre application et de supprimer celles qui ne sont pas obligatoires ni utilisées activement. Supprimez également les clients dont vous n'avez plus besoin. Par exemple, supprimez l'accès à un outil de migration une fois la migration terminée.
-
Connectez-vous à votre Console d'administration Google.
Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).
-
Dans la console d'administration, accédez à Menu
Pour ce faire, vous devez être connecté en tant que super-administrateur. -
Cliquez sur le nom d'un client, puis choisissez une option :
Afficher les détails : pour afficher le nom complet du client et la liste des habilitations.
Modifier : permet d'ajouter ou de supprimer des habilitations. Vous ne pouvez pas modifier l'ID client. Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus
Suppression : les applications qui dépendent de l'autorisation du client cessent immédiatement de fonctionner.