Contrôler l'accès à l'API à l'aide de la délégation au niveau du domaine

En tant qu'administrateur, vous pouvez utiliser la délégation au niveau du domaine pour autoriser des applications tierces et internes à accéder aux données de vos utilisateurs.

Les développeurs d'applications et les administrateurs peuvent créer des comptes de service avec OAuth 2.0. Vous autorisez ensuite les comptes de service à accéder aux données de vos utilisateurs sans que chacun d'entre eux ait à donner son consentement. Les applications bénéficiant généralement d'une délégation au niveau du domaine incluent :

  • les outils de migration et de synchronisation de Google Workspace ;

  • les applications internes, telles que les applications d'automatisation, créées par les développeurs pour votre organisation (vous pouvez par exemple déléguer l'accès à une application qui ajoute des événements aux agendas de vos utilisateurs à l'aide de l'API Calendar) ;

  • les applications à autorisation OAUTH à trois acteurs, qui nécessitent normalement le consentement de chaque utilisateur (les utilisateurs activent des applications sans y être invités, et vous pouvez spécifier les données utilisateur auxquelles les applications peuvent accéder).

Pour déléguer l'accès dans la console d'administration Google, ajoutez l'ID client du compte de service ou l'ID client OAuth2 de l'application, puis accordez l'accès aux API Google compatibles (habilitations).

À propos de la délégation au niveau du domaine

La délégation au niveau du domaine est une fonctionnalité puissante qui permet aux applications d'accéder aux données des utilisateurs dans l'environnement Google Workspace de votre organisation. Par exemple, vous pouvez accorder une délégation au niveau du domaine à une application de migration qui duplique le contenu des utilisateurs d'un autre service vers Google Workspace. Pour cette raison, seuls les super-administrateurs peuvent gérer la délégation au niveau du domaine, et ils doivent spécifier chaque habilitation d'API accessible par l'application.

Vous pouvez également gérer l'installation des applications Google Workspace Marketplace au niveau du domaine et afficher les habilitations d'API correspondantes. En savoir plus sur l'accès aux données et l'installation des applications Marketplace

Tout ouvrir   |   Tout fermer

Avant de commencer
  • Vous devez disposer des droits de super-administrateur pour votre compte Google Workspace.

  • Pour ajouter ou modifier une application, demandez les informations suivantes à son développeur :
  • Grâce à la délégation au niveau du domaine, l'application a accès aux données appartenant à tous vos utilisateurs. Nous vous recommandons de vérifier régulièrement les comptes de service et de supprimer ceux qui ne sont plus utilisés.
Configurer la délégation au niveau du domaine pour un client
  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à "" puis Sécurité puis Commandes des API.
  3. Sous Délégation au niveau du domaine, cliquez sur Gérer la délégation au niveau du domaine.
  4. Sur la page Gérer la délégation au niveau du domaine, cliquez sur Ajouter.

  5. Saisissez l'ID client du compte de service ou l'ID client OAuth2 de l'application. (Cet ID est généralement fourni par le développeur. Si vous êtes le propriétaire du compte de service, vous pouvez également rechercher son ID.)

  6. Dans Habilitations OAuth, ajoutez chaque habilitation à laquelle l'application peut accéder, en veillant à ce qu'elles soient suffisamment limitées. Vous pouvez utiliser n'importe quelle habilitation OAuth 2.0 pour les API Google. Par exemple, si l'application nécessite un accès au niveau du domaine à l'API Google Drive et à l'API Google Agenda, saisissez https://www.googleapis.com/auth/drive et https://www.googleapis.com/auth/calendar.
  7. Cliquez sur Autoriser. Si vous rencontrez une erreur, il se peut que l'ID client ne soit pas enregistré auprès de Google, ou que des habilitations en double ou non compatibles soient présentes.
  8. Pour vous assurer que chaque champ d'application s'affiche, sélectionnez le nouvel ID client, puis cliquez sur Afficher les détails.

    Si ce n'est pas le cas, cliquez sur Modifier, saisissez les champs d'application manquants, puis cliquez sur Autoriser. Notez que vous ne pouvez pas modifier l'ID client.

L'application devrait être disponible dans l'heure qui suit, mais un délai de 24 heures peut être nécessaire.

Afficher, modifier ou supprimer des clients et des habilitations

Il est recommandé de vérifier régulièrement les habilitations de votre application et de supprimer celles qui ne sont pas obligatoires ni utilisées activement. Supprimez également les clients dont vous n'avez plus besoin. Par exemple, supprimez l'accès à un outil de migration une fois la migration terminée.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à "" puis Sécurité puis Commandes des API.
  3. Sous Délégation au niveau du domaine, cliquez sur Gérer la délégation au niveau du domaine.
  4. Cliquez sur le nom d'un client, puis choisissez une option :
  • Afficher les détails : pour afficher le nom complet du client et la liste des habilitations.

  • Modifier : permet d'ajouter ou de supprimer des habilitations. Vous ne pouvez pas modifier l'ID client. Les modifications prennent généralement effet dans l'heure qui suit, mais un délai de 24 heures peut être nécessaire.

  • Supprimer : les applications qui dépendent de l'autorisation du client cessent immédiatement de fonctionner.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Connectez-vous pour accéder à des options d'assistance supplémentaires afin de résoudre rapidement votre problème.