Contrôler l'accès à l'API G Suite à l'aide de la délégation au niveau du domaine

En tant qu'administrateur G Suite, vous pouvez accorder une délégation au niveau du domaine pour autoriser les applications tierces et internes à accéder aux données de vos utilisateurs G Suite.

Les développeurs d'applications et les administrateurs G Suite peuvent créer des comptes de service avec OAuth 2.0. Vous autorisez ensuite les comptes de service à accéder aux données G Suite de vos utilisateurs sans que chacun d'entre eux ait à donner son consentement. Les applications bénéficiant généralement d'une délégation au niveau du domaine incluent :

  • les outils de synchronisation et de migration G Suite tels que G Suite Migrate ;

  • les applications internes (applications d'automatisation, par exemple) créées par les développeurs pour votre organisation G Suite (vous pouvez par exemple déléguer l'accès à une application qui ajoute des événements aux agendas de vos utilisateurs à l'aide de l'API Calendar) ;

  • les applications à autorisation OAUTH à trois acteurs, qui nécessitent normalement le consentement de chaque utilisateur (les utilisateurs activent des applications sans y être invités, et vous pouvez spécifier les données utilisateur auxquelles les applications peuvent accéder).

Pour déléguer l'accès dans la console d'administration, ajoutez l'ID client du compte de service ou l'ID client OAuth2 de l'application, puis accordez l'accès aux API Google compatibles (habilitations).

À propos de la délégation au niveau du domaine

La délégation au niveau du domaine est une fonctionnalité puissante qui permet aux applications d'accéder aux données des utilisateurs dans l'ensemble de votre compte G Suite. Par exemple, vous pouvez accorder une délégation au niveau du domaine à une application de migration qui duplique le contenu des utilisateurs d'un autre service vers G Suite. Pour cette raison, seuls les super-administrateurs peuvent gérer la délégation au niveau du domaine, et ils doivent spécifier chaque habilitation d'API accessible par l'application.

Vous pouvez également gérer l'installation au niveau du domaine et afficher les habilitations des API pour les applications G Suite Marketplace. En savoir plus sur l'accès aux données et l'installation des applications Marketplace

Avant de commencer

  • Vous devez disposer de droits de super-administrateur pour votre compte G Suite.

  • Pour ajouter ou modifier une application, demandez les informations suivantes au développeur de l'application :
  • Grâce à la délégation au niveau du domaine, l'application a accès aux données appartenant à tous vos utilisateurs G Suite. Nous vous recommandons de vérifier régulièrement les comptes de service et de supprimer ceux qui ne sont plus utilisés.

Configurer la délégation au niveau du domaine pour un client

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à "" puis Sécurité puis Commandes des API.
  3. Sous Délégation au niveau du domaine, cliquez sur Gérer la délégation au niveau du domaine.

  4. Sur la page Gérer la délégation au niveau du domaine, cliquez sur Ajouter.

  5. Saisissez l'ID client du compte de service ou l'ID client OAuth2 de l'application. Il est généralement fourni par le développeur. Si vous êtes le propriétaire du compte de service, vous pouvez également rechercher son ID.

  6. Sous Habilitation OAuth, ajoutez chaque habilitation à laquelle l'application peut accéder, en veillant à ce qu'elles soient suffisamment limitées. Vous pouvez utiliser n'importe quelle habilitation OAuth 2.0 pour les API Google. Par exemple, si l'application nécessite un accès au niveau du domaine à l'API Google Drive et à l'API Google Agenda, saisissez https://www.googleapis.com/auth/drive et https://www.googleapis.com/auth/calendar.
     
  7. Cliquez sur Autoriser. Si vous rencontrez une erreur, il se peut que l'ID client ne soit pas enregistré auprès de Google, ou que des habilitations en double ou non compatibles soient présentes.

L'application devrait être disponible dans l'heure qui suit, mais un délai de 24 heures peut être nécessaire.

Afficher, modifier ou supprimer des clients et des habilitations

Il est recommandé de vérifier régulièrement les habilitations de votre application et de supprimer celles qui ne sont pas obligatoires ni utilisées activement. Supprimez également les clients dont vous n'avez plus besoin. Par exemple, supprimez l'accès à G Suite Migrate une fois la migration terminée.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à "" puis Sécurité puis Commandes des API.
  3. Sous Délégation au niveau du domaine, cliquez sur Gérer la délégation au niveau du domaine.
  4. Cliquez sur le nom d'un client, puis sur l'action que vous souhaitez effectuer :
  • Afficher les détails : pour afficher le nom complet du client et la liste des habilitations.

  • Modifier : pour ajouter ou supprimer des habilitations (vous ne pouvez pas modifier l'ID client). Les modifications prennent généralement effet dans l'heure qui suit, mais un délai de 24 heures peut être nécessaire.

  • Suppression : les applications qui dépendent de l'autorisation du client cessent immédiatement de fonctionner.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Connectez-vous pour accéder à des options d'assistance supplémentaires afin de résoudre rapidement votre problème.