Intégration de l'authentification des utilisateurs Google OAuth 2.0 dans votre application

S'inscrire sur le site Google Developers Console et créez un nouveau projet ou utilisez un projet Google existant.

Accédez à la section "Credentials" dans la Google Developers Console.
Créez des identifiants "OAuth Client ID" pour accéder à vos API activées :
Type d'application : Application web
Nom : Votre nom interne
Ajouter 2 URI de redirection autorisés :
https://{{Votre_DSN}}/api/v1/hosted/google_auth_request_callback (vous pouvez trouver votre DSN en haut à droite de la page tableau de bord Unipileexemple https://api1.unipile.com:13211/api/v1/hosted/google_auth_request_callback
https://{{Votre_DSN moins le port}}/api/v1/hosted/google_auth_request_callback/port{{Votre_DSN moins le domaine}} (vous pouvez trouver votre DSN en haut à droite du tableau de bord Unipile, exemple https://api1.unipile.com/api/v1/hosted/google_auth_request_callback/port13211

Cliquez sur "CRÉER"
Ajouter l'identifiant et le secret du client dans le tableau de bord Unipile > Paramètres > Google OAuth

Allez dans la section "Bibliothèque" de la Google Developers Console.
Activer les bibliothèques API requises :
Recherchez et activez toutes les bibliothèques d'API dont votre application aura besoin : API Gmail

Tout au long de la mise en œuvre, il se peut que vous conserviez votre projet Google dans différents états :

Type d'utilisateur" comme "Interne" : Dans ce mode, votre application est limitée aux utilisateurs de l'espace de travail Google au sein de votre organisation.
Type d'utilisateur" : "Externe" et "Statut de publication" : "En cours de test" :
Remarque : lorsque vous êtes en phase de test, vous devez ajouter des utilisateurs de test. Les jetons expirent au bout de 7 jours et les utilisateurs doivent s'authentifier à nouveau.
Pour plus d'informations sur le statut de publication, cliquez ici.
Pour plus de détails sur les types d'utilisateurs, cliquez ici.

Veillez à sélectionner le type d'utilisateur et le statut de publication appropriés en fonction de la phase de test et de déploiement de votre projet.

Accédez à la section "APIS et services activés" dans la Google Developers Console.
Vérifier les API activées : Examinez et vérifiez la liste complète des API que vous avez activées dans votre projet Google.
Le tableau de bord fournit une vue d'ensemble de toutes les API activées, ce qui vous permet de confirmer l'état des API sélectionnées pour votre projet. Utilisez cette section pour vous assurer que les API nécessaires sont activées pour une intégration transparente avec votre application.

Veillez à ce que les informations suivantes soient fournies :

Saisissez le nom de votre application : Indiquez le nom de votre application.
Adresse électronique de l'assistance aux utilisateurs : Indiquez une adresse électronique à laquelle les utilisateurs peuvent s'adresser s'ils ont des questions concernant leur consentement. Il est recommandé d'utiliser un alias ou une liste de distribution comprenant les parties concernées.
Ajouter le logo de votre application : Téléchargez le logo de votre application pour l'identifier visuellement.

Compléter ces informations dans la section de l'écran de consentement OAuth est essentiel pour que les utilisateurs comprennent et fassent confiance à votre application pendant le processus de consentement. Incluez des détails précis et des éléments de marque pour une expérience utilisateur fluide.

Fournissez les informations suivantes dans la section App Domain (Domaine d'application) :

URL de la page d'accueil de l'application : Ajoutez l'URL de la page d'accueil de votre application.
Veillez à ce qu'il s'agisse d'une véritable page d'accueil et non d'une simple page de connexion.
Lien vers la politique de confidentialité de l'application : Inclure un lien vers la politique de confidentialité de votre application.
Important : veillez à ce que votre équipe juridique examine la politique de protection de la vie privée pour s'assurer qu'elle est conforme aux exigences de l'UE. Exigences spécifiques de Googlenotamment dans la section "Usage limité" du document fourni.
Lien vers les conditions d'utilisation de l'application : Ajoutez un lien vers les conditions d'utilisation de votre application.

Procédez comme suit pour ajouter des domaines autorisés :

• Ajoutez votre domaine d'application utilisé dans votre projet Google. Veillez à ce que votre domaine soit le domaine de production et non le domaine dev/staging.
• Ajouter le domaine unipile.com

• Saisissez une adresse électronique :
  • Fournir une adresse électronique pour les informations de contact du développeur.
  • Important : il s'agit d'une adresse électronique de liste de distribution, qui permet de s'assurer que toutes les parties concernées reçoivent les courriers électroniques relatifs à la vérification Google et les notifications concernant les modifications apportées à votre projet. Maintenez cette liste de distribution à jour au fur et à mesure que les membres de l'équipe arrivent et partent.
• Contrôle post-vérification :
  • Après l'envoi pour vérification, surveillez de près le projet Google pour voir si des mesures ont été prises par Google.
  • Remarque : Google envoie des e-mails à cette adresse, mais ceux-ci peuvent se retrouver dans des dossiers de spam ou être bloqués par des serveurs. Vérifiez régulièrement les mises à jour pour ne pas manquer des communications importantes.

Veillez à indiquer une adresse électronique activement suivie et régulièrement vérifiée afin de rester informé de l'état d'avancement de votre projet Google et de toute action requise après la vérification.

• Cliquez sur le bouton "ADD OR REMOVE SCOPE" pour accéder au menu.
• Ajoutez les champs d'application suivants (s'ils n'apparaissent pas dans la liste, rafraîchissez la page) :
  ./auth/gmail.send
  ./auth/gmail.labels
  ./auth/gmail.readonly
  ./auth/gmail.modify (inutile si vous ne voulez pas déplacer ou supprimer des courriels. Vous devrez démontrer à Google que vous l'utilisez réellement. Informez-nous pour que nous le supprimions manuellement de votre compte Unipile)

Vous ne pouvez procéder à cette étape que lorsque votre intégration est entièrement terminée et opérationnelle en production.

Produisez et hébergez une vidéo de démonstration conforme aux exigences de Google. Pour valider votre application auprès de Google, vous devez également soumettre une vidéo présentant les fonctionnalités de votre application. Cette vidéo doit être téléchargée en tant que vidéo YouTube "non répertoriée" à des fins de vérification, et un seul lien vidéo est autorisé.

• Votre application et le flux OAuth sont présentés en anglais, comme indiqué dans la documentation Google sous "Apps requesting sensitive scopes" et "Apps requesting restricted scopes".
• La démonstration est effectuée dans un domaine de production.
• Dans les paramètres de votre projet Google, accédez au menu Navigation -> APIs & Services -> OAuth Consent Screen et confirmez ce qui suit :
  • Le statut de publication est défini sur "En production".
  • Le type d'utilisateur est désigné comme "externe".

• Affichez la page d'accueil de votre application avec l'URL complète, en mettant l'accent sur son statut de production.
• Expliquez comment un client de Google peut se connecter à son compte en mettant l'accent sur l'utilisation du bouton de connexion officiel de Google.
• Au cours du processus d'authentification, lorsque l'écran du processus OAuth s'affiche, mettez l'URL en surbrillance et faites-la glisser pour faire apparaître l'ID CLIENT dans l'URL.

• Présenter séquentiellement chaque série de champs d'application demandés, en les adaptant à votre cas d'utilisation spécifique.
• Démontrez la fonctionnalité bidirectionnelle en montrant la synchronisation entre votre application et Gmail. Utilisez des onglets distincts pour basculer entre votre application et chaque section pertinente de Gmail. Par exemple, vous pouvez envoyer un courriel par l'intermédiaire de votre application, illustrer la synchronisation des modifications dans la liste des courriels envoyés sur Gmail et, dans l'autre sens, afficher la réception d'un courriel entrant dans votre application.

En suivant ces conseils, votre vidéo de démonstration présentera efficacement le processus d'authentification et les capacités fonctionnelles de votre application en synchronisation avec les services Google.

Après avoir créé votre vidéo de démonstration et vous être assuré qu'elle répond à tous les critères énoncés, veuillez partager l'URL de la vidéo YouTube avec nous. Nous pouvons vous aider dans le processus d'évaluation ou vous pouvez soumettre directement votre application pour vérification.

Veuillez suivre les étapes suivantes :

• Ajoutez la vidéo finale à votre projet Google en tant que lien vidéo YouTube non répertorié.
• Soumettez l'URL de la vidéo YouTube à votre Customer Success Manager pour examen.
• Après l'examen, procédez à la vérification de l'application.

N'oubliez pas que la durée de la procédure de vérification peut varier. Après la soumission, il faut compter entre 2 et 8 semaines, en fonction de la file d'attente des soumissions de Google et du nombre de cycles de remédiation jugés nécessaires. Restez informé et coordonnez-vous avec nous tout au long du processus de vérification.

Si votre application utilise des champs d'application restreints, des étapes supplémentaires sont nécessaires. Voici un bref aperçu de ce qu'il faut prévoir :

Évaluation de la sécurité de Google
Pour garantir la sécurité des données des utilisateurs, les applications qui demandent l'accès aux données des utilisateurs de Google à portée restreinte doivent faire l'objet d'une évaluation de sécurité. Cette évaluation est essentielle pour vérifier que toutes les applications accédant aux données des utilisateurs de Google peuvent traiter les données en toute sécurité et supprimer les données des utilisateurs sur demande. Le processus d'évaluation est décrit en détail sur le site CASA (Cloud Application Security Assessment).

Google classe votre application dans la catégorie Tier 2 ou Tier 3.

Niveau 2 (auto-scanné - vérifié en laboratoire) >> Le plus courant
Option gratuite OU payante (évaluateur tiers)
Processus CASA de niveau 2
Niveau 3 (Lab Scanned - Lab Verified)
Payé - Doit être complété par un évaluateur tiers
Après avoir reçu votre classification de niveau, Google vous fournira des instructions et des outils pour réaliser l'évaluation. Consultez le lien fourni pour obtenir des informations sur l'évaluation de la sécurité de Google et faites défiler vers le bas jusqu'à la FAQ sur l'évaluation de la sécurité pour obtenir des informations plus détaillées. Veillez à vous conformer à ce processus afin de démontrer que votre application est capable de traiter les données des utilisateurs en toute sécurité lorsqu'elle utilise des champs d'application restreints.

Informations sur l'évaluation de la sécurité de Google

Réévaluation annuelle de la sécurité des applications à portée restreinte
Les applications qui accèdent à des champs d'application restreints doivent faire l'objet d'un processus de revérification annuelle de la conformité et d'une évaluation de la sécurité tous les 12 mois pour conserver l'accès aux champs d'application restreints vérifiés. Ce processus garantit le respect permanent des normes de sécurité et la protection des données des utilisateurs.

Si, à un moment donné, vous introduisez un nouveau champ d'application restreint qui n'a pas été évalué et approuvé précédemment, votre application peut nécessiter une réévaluation à ce moment-là.

L'équipe d'évaluation de Google vous contactera par courrier électronique lorsqu'il sera temps de renouveler la certification de votre application. Il est essentiel de tenir à jour les informations relatives au propriétaire et à l'éditeur du projet dans votre Cloud Console. Ainsi, les bons membres de votre équipe recevront les notifications relatives à cette mise en application annuelle, ce qui permettra de respecter les exigences de réévaluation en temps voulu et sans heurts. Restez vigilant et répondez rapidement aux communications de Google afin de préserver la sécurité et la conformité de votre application. Consultez la FAQ de Google pour plus d'informations.

Option de liste blanche
Si vous préférez une alternative aux processus standard de vérification et d'examen de la sécurité, vous avez la possibilité de faire figurer votre demande sur la liste blanche. Cela vous permet de contourner les procédures habituelles, mais il est important de noter que cette option n'est applicable que si votre application répond à des critères très spécifiques. Bien que la plupart des cas d'utilisation ne remplissent pas ces critères, nous avons souligné les exigences ci-dessous pour vous permettre d'évaluer si l'inscription sur la liste blanche pourrait convenir à votre application.

Exigences :

La majorité des clients utilisent Google Workspace :
La majorité de vos clients devraient utiliser des comptes Google Workspace (anciennement GSuite), c'est-à-dire qu'ils ont des adresses électroniques au format @company.com.
L'inscription sur la liste blanche nécessite une action de la part des administrateurs des utilisateurs finaux pour autoriser l'accès. Vous devez fournir aux administrateurs de vos utilisateurs votre ID client Google projet. Ils doivent ouvrir leur Console : https://admin.google.com/ac/owl/list?tab=configuredApps et vous autoriser à accéder à l'identifiant client.
Utilisation limitée du compte Gmail personnel :
Moins de 100 comptes Gmail personnels (adresses @gmail.com) devraient pouvoir s'authentifier dans ce flux.
Les projets non vérifiés ont une limite de 100 utilisateurs (à vie) par projet. Lorsqu'ils sont inscrits sur la liste blanche, les comptes Google Workspace ne sont pas pris en compte dans cette limite. En revanche, les comptes Gmail personnels sont toujours pris en compte dans cette limite.
Utilisateurs d'essais gratuits et liste blanche :
Les utilisateurs de la version d'essai gratuite doivent utiliser leur adresse électronique Workspace et mettre l'application sur liste blanche.
Gardez à l'esprit que l'inscription sur liste blanche est une solution de contournement et qu'elle peut ne pas convenir à tous les cas d'utilisation. Évaluez soigneusement ces exigences pour déterminer si votre application répond aux critères de la liste blanche. Si c'est le cas, prenez les mesures nécessaires pour répondre à ces exigences et explorez cette approche alternative.

Unipile s'appuie sur Google OAuth 2.0 pour authentifier les utilisateurs et obtenir les autorisations nécessaires pour accéder à leurs données de messagerie. Ce processus comprend la détection automatique des fournisseurs et la gestion simplifiée des justificatifs OAuth, ce qui réduit considérablement la complexité de l'intégration et le temps de développement.

Hosted Auth d'Unipile offre un processus d'intégration rapide et facile, garantissant la sécurité et l'adaptabilité tout en améliorant l'efficacité des développeurs et des utilisateurs. Il simplifie le processus d'authentification, gère les informations d'identification sensibles et prend en charge l'intégration transparente de divers fournisseurs de messagerie électronique.

Dans Google OAuth 2.0, les jetons d'accès accordent une autorisation temporaire d'accès à des ressources spécifiques à l'utilisateur, tandis que les jetons d'actualisation permettent de renouveler ces jetons d'accès sans que l'utilisateur n'ait à s'authentifier à nouveau. Ceci garantit un accès continu aux données de l'utilisateur avec un minimum d'interruption.

Oui, Unipile peut intégrer des notifications webhook pour fournir des mises à jour en temps réel à votre application. Ces webhooks alertent automatiquement l'application lorsque des événements spécifiques se produisent, tels que la réception de nouveaux e-mails, ce qui permet à l'application de rester synchronisée avec l'activité e-mail de l'utilisateur et de garantir une intégration évolutive et réactive.