Ajouter des applications connectées à des listes blanches

Gérer l'accès OAuth aux applications connectées

Afin d'éviter que le contenu Google Drive ou Gmail sensible ne soit partagé avec des personnes externes au domaine de votre organisation par le biais d'applications OAuth tierces, vous pouvez, en tant que super-administrateur, révoquer les jetons d'accès OAuth.

Vous pouvez également désactiver plusieurs champs d'application d'API dans les services G Suite tels que Gmail, Drive et Agenda, et de certains services Google Cloud Platform, tels que le machine learning (apprentissage automatique). Vous pouvez ajouter à la liste blanche les applications tierces pouvant accéder à ces champs d'application.

Si vous désactivez un champ d'application d'une API ou autorisez une application tierce à accéder à un service G Suite tel qu'Agenda, l'action s'appliquera à tous les champs d'application fournis par ce service, y compris les champs d'application OAuth. Certaines applications telles que Gmail offrent un meilleur niveau de contrôle d'accès pour les champs d'application à haut risque prédéfinis. 

 

Modifications apportées aux paramètres de l'API Admin à partir du 4 novembre 2019

Abandon du paramètre "Document de référence sur les API" 

À partir du 4 novembre 2019, le paramètre "Document de référence sur les API" ne sera plus disponible. Afin d'améliorer la sécurité, l'accès aux API Admin de G Suite sera contrôlé uniquement par l'autorisation API Admin.

Nouveautés

Voici les seuls cas nécessitant une intervention de votre part : 

Si "Document de référence sur les API" est désactivé
Emplacement : Sécurité > Document de référence sur les API
Si l'accès à l'API Admin est activé
Emplacement : Sécurité > Autorisations de l'API Admin
API Reference setting turned off Admin API setting enabled

 

À partir du 4 novembre 2019 : si le paramètre Document de référence sur les API est désactivé, la configuration de votre accès à l'API Admin passera automatiquement sur Désactiver. Par conséquent, vos utilisateurs ne pourront pas se connecter à certaines applications tant que vous n'aurez pas accordé l'accès API à ces applications. Ils recevront alors l'alerte "L'accès aux données de votre compte est limité par les règles de votre organisation " ou votre message personnalisé. 

Procédure à suivre avant le 4 novembre 2019

Suivez la procédure décrite dans la section suivante pour :

  • vérifier les paramètres de l'API Admin Accès API > Admin, et les applications qui demandent l'accès à l'API Admin de G Suite ; 
  • ajouter des applications aux applications de confiance, qui peuvent accéder à l'API Admin et accorder des jetons OAuth aux utilisateurs.

Ajouter une application à la liste blanche

Pour ce faire, vous devez être connecté en tant que super-administrateur.

Si vous disposez de l'édition Drive Enterprise, les paramètres d'accès à l'API ne s'appliquent pas à Gmail et à Agenda.

Avant d'ajouter des applications à la liste blanche, définissez d'abord les champs d'application des API G Suite auxquels les applications tierces peuvent accéder. Créez ensuite des listes blanches indiquant les applications autorisées à accéder aux champs d'application bloqués. Voici comment procéder :

Étape 1 : Vérifiez l'accès des applications tierces aux champs d'application des API
  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Sécurité.

    Pour afficher l'option "Sécurité" sur la page d'accueil, vous devrez peut-être cliquer sur Autres commandes au bas de la page.

  3. Cliquez sur Autorisations des API.
  4. Vérifiez l'accès aux API pour ces services principaux :
    • G Suite :
      • Gmail
      • Drive
      • Agenda
      • Contacts
      • Administration
      • Vault
      • Apps Script Runtime : ce paramètre permet de contrôler les actions que les projets Apps Script peuvent exécuter, et les applications, modules complémentaires et scripts App Maker à l'intérieur comme à l'extérieur de votre domaine.
      • API Apps Script : ce paramètre permet de définir si des clients peuvent gérer des projets à l'aide de l'API Apps Script
    • Google Cloud Platform :
      • Cloud Platform : comprend tous les services de Google Cloud Platform, à l'exception du machine learning (apprentissage automatique) et de Cloud Billing
      • Machine learning (apprentissage automatique) : comprend Cloud Video Intelligence, l'API Cloud Speech, l'API Cloud Natural Language, l'API Cloud Translation et l'API Cloud Vision
      • Cloud Billing
  5. Cliquez sur le lien Applications pour confirmer les applications actuellement autorisées à accéder au service principal.
  6. (Facultatif) Vous pouvez filtrer les applications installées par autorisation d'API, nom ou nombre d'utilisateurs.
  7. (Facultatif) Pour ajouter une application à la liste "Applications de confiance", cliquez sur Plus Plus à droite, puis sélectionnez Faire confiance.
  8. Parcourez ces applications avant de passer à l'étape suivante et de créer une liste blanche.
Étape 2 : Ajoutez une application à la liste blanche des applications de confiance
  1. Sur la page d'accueil de la console d'administration, accédez à Sécurité puis Autorisations des API.
  2. Au bas de la liste des applications, cliquez sur le lien Applications de confiance.
  3. Cliquez sur "Ajouter une application à la liste blanche" Ajouter 
    La fenêtre Ajouter l'application à la liste des applications de confiance s'ouvre
  4. Dans la liste Sélectionner le type d'application, choisissez une option :
    • Android
    • iOS
    • Applications Web : vous devez renseigner l'ID client OAuth2
  5. Sous Android ou iOS®, saisissez le nom d'une application, puis cliquez sur Rechercher pour afficher la liste des applications disponibles.
  6. Faites défiler la page pour afficher plus d'applications.
  7. Lorsque toutes les applications sont affichées, recherchez le nom complet ou partiel d'une application à l'aide des raccourcis clavier Ctrl+F ou ⌘+F (Mac).
  8. Cochez l'application que vous voulez ajouter, puis cliquez sur Ajouter.
  9. (Facultatif) Pour permettre aux applications internes d'utiliser les API G Suite dont l'accès est limité, procédez comme suit :
    1. Revenez sur la page "Sécurité".
    2. Au bas de la page, à côté de Paramètres des applications internes, cochez l'option Approuver les applications appartenant au domaine, puis cliquez sur Enregistrer.

Remarque : Si vous désactivez l'option Approuver les applications appartenant au domaine, les applications internes ne pourront pas utiliser les API G Suite dont l'accès est limité. Les applications appartenant au domaine incluent :

  • les éventuels projets Google Apps Script créés par les utilisateurs du domaine ;
  • les applications associées à l'organisation dans la console Google Cloud Platform appartenant au domaine. 
Étape 3 : Bloquez des champs d'application d'API spécifiques
  1. Sur la page d'accueil de la console d'administration, accédez à Sécurité puis Autorisations des API.
  2. Cliquez sur le lien Applications pour désigner les applications concernées par le blocage de l'accès aux API.
    Si vous révoquez l'accès d'une application, elle disparaît de la liste sous 24 heures.
  3. Si vous cliquez sur l'option Désactiver, vous pouvez bloquer l'accès aux API pour ces services principaux :
    • G Suite :
      • Gmail
      • Drive
      • Agenda
      • Contacts
      • Administration
      • Vault
    • Google Cloud Platform :
      • Cloud Platform : comprend tous les services de Google Cloud Platform, à l'exception du machine learning (apprentissage automatique) et de Cloud Billing
      • Machine learning (apprentissage automatique) : comprend Cloud Video Intelligence, l'API Cloud Speech, l'API Cloud Natural Language, l'API Cloud Translation et l'API Cloud Vision
      • Cloud Billing
  4. Si vous désactivez l'accès aux API dans Gmail, choisissez l'une des options suivantes :
    • Tous les accès : bloque toutes les applications tierces, à l'exception de celles que vous avez ajoutées à la liste blanche.
    • Accès à haut risque : bloque les applications tierces avec des champs d'application OAuth à haut risque :
      • https://mail.google.com/
      • https://www.googleapis.com/auth/gmail.compose
      • https://www.googleapis.com/auth/gmail.insert
      • https://www.googleapis.com/auth/gmail.metadata
      • https://www.googleapis.com/auth/gmail.modify
      • https://www.googleapis.com/auth/gmail.readonly
      • https://www.googleapis.com/auth/gmail.send
      • https://www.googleapis.com/auth/gmail.settings.basic
      • https://www.googleapis.com/auth/gmail.settings.sharing

        Pour en savoir plus sur les champs d'application Gmail, consultez le guide Choisir les champs d'application Auth.

        .
  5. Si vous désactivez l'accès aux API dans Drive, choisissez l'une des options suivantes :
    • Tous les accès : bloque toutes les applications tierces, à l'exception de celles que vous avez ajoutées à la liste blanche.
    • Accès à haut risque : bloque les applications tierces à l'aide des champs d'application OAuth à haut risque suivants :
      • https://www.googleapis.com/auth/drive
      • https://www.googleapis.com/auth/drive.apps.readonly
      • https://www.googleapis.com/auth/drive.metadata
      • https://www.googleapis.com/auth/drive.metadata.readonly
      • https://www.googleapis.com/auth/drive.readonly
      • https://www.googleapis.com/auth/drive.scripts
      • https://www.googleapis.com/auth/documents

        Pour en savoir plus sur les champs d'application Drive, consultez le guide À propos des protocoles d'autorisation

        .
  6. Cliquez sur Enregistrer.

Si vous désactivez l'accès aux API :

  • Toute application déjà installée cessera de fonctionner une fois que vous aurez bloqué les champs d'application, et les jetons seront révoqués.
  • Lorsqu'un utilisateur tentera d'installer une application dont le champ d'application est bloqué, le message d'erreur suivant s'affichera sous Affiche un message quand les utilisateurs tentent d'accéder aux applications avec des autorisations désactivées (en dessous de la liste des champs d'application d'API). Vous pouvez modifier le message par défaut si nécessaire (le message peut compter jusqu'à 300 caractères). 
Étape 4 : Retirez une application d'une liste blanche
  1. Sur la page d'accueil de la console d'administration, accédez à Sécurité puis Autorisations des API.
  2. Au bas de la liste des applications, cliquez sur le lien Applications de confiance.
  3. Cliquez sur l'icône Action menu située à côté de l'application à retirer de la liste blanche, puis sélectionnez Supprimer.
Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?