Configurer un projet API et un compte de service pour OAuth 2.0

Pour utiliser OAuth 2.0 avec l’intégration Google Workspace, vous devez configurer les éléments suivants :

  • Un projet API – Google Workspace exige la configuration d’un projet API afin de mettre à profit la fonctionnalité et d’autres mesures de sécurité.
  • Un compte de service – En utilisant des identifiants pour un compte de service, Environnement d'apprentissage de Brightspace peut effectuer des appels autorisés à Google API au nom d'utilisateurs pour réussir l'authentification et l'autorisation. Ce mécanisme améliore la sécurité de l’intégration Google Workspace.

Remarque : Si votre instance est située sur un domaine privé, la variable de configuration d2l.3rdParty.GoogleApps.IsPrivateDomain doit être activée. Cette variable de configuration n'est visible que pour le service de soutien de D2L et les administrateurs d'installation. Pour plus d'information, reportez-vous à la rubrique Configuration de projet d'API pour des domaines privés dans cette section.

Étape 1 : Créer un projet API

Ces étapes servent à la création d'un nouveau projet d'API. Si vous avez un projet existant que vous voulez utiliser, sautez cette section.

  1. Naviguez vers la Google Developers Console et ouvrez une session avec vos identifiants d'administrateur de Google.
  2. Pour obtenir de l'information sur la façon de créer un projet, reportez-vous à la rubrique Créer, fermer et restaurer des projets dans l'Aide de la console d'API.
  3. Activer l'API Drive, l'API Calendar, l'API Gmail et SDK Admin. Pour de l'information sur la façon d'activer les API, reportez-vous à la rubrique Activer et désactiver des API dans l'Aide de la console d'API.

Étape 2 : Configurer le point d'extrémité d'autorisation adapté à votre projet API

Pour que l'autorisation automatique fonctionne, vous devez créer un nouvel ID du client de l'application Web. Cela permet aux utilisateurs d’authentifier automatiquement leur compte Google Workspace for Education sans requérir aucune intervention secondaire de l’administrateur. Il s’agit de la configuration standard pour Google Workspace.

Si vous travaillez à partir d'un domaine privé (la variable D2L.3rdParty.GoogleApps.PrivateDomain est activée), sauter cette section.

  1. Assurez-vous que votre projet API s'ouvre dans la Google Developers Console.
  2. Pour de l'information sur la façon de créer un nouvel ID du client pour OAuth 2.0 dans la console, reportez-vous à la section Applications Web sous Configuration d'OAuth 2.0 dans l'Aide de la Console des API. Sélectionnez l'option de créer une application web.

    Remarque : On vous demandera peut-être de configurer votre écran de consentement Google. L'utilisateur peut voir ceci à la configuration initiale de la connexion entre son compte Google et Environnement d'apprentissage de Brightspace. Reportez-vous à la section Consentement de l'utilisateur dans Configuration d'OAuth 2.0 et configurez l'écran de consentement au besoin.
  3. Saisissez un nom pour l'application Web.
  4. Dans le champ Authorized JavaScript Origins (Origines JavaScript autorisées), entrez votre domaine D2L.
  5. Dans le champ Authorized Redirect URI (URI de redirection autorisée), remplacez le point d'extrémité par [D2L Domain]/d2l/im/gapps/pages/auth/Signin.
  6. Créer l'ID du client.
  7. Tenez compte des valeurs suivantes :
    • ID du client
    • Code secret du client
  8. Dans Environnement d’apprentissage de Brightspace, sur la page d’Administration de Google Workspace, cliquez sur Réglages.
  9. Dans Identifiants de client Google, ajoutez les valeurs relatives à l'ID du client et au Secret du client.

Étape 3 : Configuration de projet d'API pour des domaines privés

Cette étape n'est nécessaire que si vous n'avez pas installé le correctif d'urgence pour l'authentification publique (PRB0048743) ou si vous travaillez à partir d'un domaine privé (la variable D2L.3rdParty.GoogleApps.PrivateDomain est activée). Si cette étape n'est pas nécessaire, passez à l'étape suivante.

  1. Assurez-vous que votre projet API s'ouvre dans la Google Developers Console.
  2. Pour de l'information sur la façon de créer un nouvel ID du client OAuth 2.0 dans la console, reportez-vous à la section Applications installées sous Configuration d'OAuth 2.0 dans l'Aide à la console d'API. Sélectionnez l’option de créer une application de type Autre pour créer une application installée.

    Remarque : On vous demandera peut-être de configurer votre écran de consentement Google. L'utilisateur peut voir ceci à la configuration initiale de la connexion entre son compte Google et Environnement d'apprentissage de Brightspace. Reportez-vous à la section Consentement de l'utilisateur dans Configuration d'OAuth 2.0 et configurez l'écran de consentement au besoin.
  3. Saisissez un nom pour l'application installée.
  4. Créer l'ID du client.
  5. Tenez compte des valeurs suivantes :
    • ID du client
    • Code secret du client
  6. Dans Environnement d’apprentissage de Brightspace, sur la page d’Administration de Google Workspace, cliquez sur Réglages.
  7. Dans Identifiants de client Google, ajoutez les valeurs relatives à l'ID du client et au Secret du client.
  8. Si vous avez sélectionné l’option Aucun compte de service, suivez les étapes ci-dessous pour intégrer plusieurs outils Google Workspace. Ces étapes doivent être suivies pour chaque outil Google Workspace que vous souhaitez intégrer.

  1. Dans votre console d’administration Google (au http://admin.google.com), ouvrez une session sur votre console d’administration Google.

  2. Allez à Sécurité > contrôles API.

  3. Sous Contrôle d’accès aux applications, sélectionnez Gérer l’accès aux applications de tiers.

  4. Cliquez sur Configurer la nouvelle application, puis sélectionnez le nom de l’application OAuth ou l’ID du client.

  5. Entrez le ClientID de l’application tel qu’indiqué ci-dessus, puis cliquez sur Rechercher.

  6. Dans la liste des résultats de recherche, cliquez sur Sélectionner pour l’application que vous voulez gérer.
    Remarque : Cochez la case de chaque ID de client à configurer, puis cliquez sur Sélectionner.

  7. Sélectionnez Fiable : Peut accéder à tous les services Google.

  8. Cliquez sur Configurer. À la page des applications, la colonne Accès affiche l’état d’accès des applications comme étant fiable.

Étape 4 : Si vous n’avez pas sélectionné l’option Aucun compte de service dans la zone d’accès à Workspace, configurez le compte de service.

Pour utiliser SDK Admin pour effectuer les tâches de l'administrateur, vous devez configurer un compte de service. Le compte de service vous permet de créer, lier et désactiver des utilisateurs de façon sécuritaire avec l’intégration de Google Workspace.

  1. Assurez-vous que votre projet API s'ouvre dans la Google Developers Console.
  2. Pour de l'information sur la façon de créer un nouveau compte de service, reportez-vous à la section Comptes de service sous Configuration d'OAuth 2.0 dans l'Aide de la Console des API. Pour plus d'information, reportez-vous à la rubrique Utilisation d'OAuth 2.0 pour les applications entre serveurs et Comptes de services sur la plateforme d'identification de Google.
  3. Pour identifier facilement votre compte de service de l'application Web Brightspace, créez un nouveau compte de service.
    • D2L recommande d'entrer le nom d'un compte de service qui est le même que celui de l'application Web.
    • D2L recommande de choisir le rôle du propriétaire du projet.
  4. Choisissez de générer la clé de fichier P12 et sauvegardez-la sur votre disque local.
  5. Créez la clé du compte de service.
  6. Notez votre clé de mot de passe privé et fermez la boîte de dialogue.
  7. Dans la Google Developers Console, cliquez sur le lien pour accéder à la zone où vous pouvez gérer vos comptes de service.
  8. Depuis le bouton Plus d'options en regard de votre compte de service (3 points verticaux), sélectionnez Modifier.
  9. Assurez-vous que l'option de délégation à l'échelle du domaine est activée et enregistrez.
  10. Pour le compte de service que vous avez créé, cliquez sur le lien pour voir l'ID du client et prenez en note les éléments suivants :
    • Compte de service (adresse de courriel), qui est inscrit à la page du compte de service Google Workspace dans l’Environnement d’apprentissage de Brightspace, dans le champ courriel du compte de service.
    • L'ID du client, qui est entré dans les réglages de sécurité du domaine pour l'accès aux portées d'API.

Étape 5 : Autoriser le compte de service à accéder au domaine Google

Pour que le compte de service effectue des actions d'utilisateur pour votre domaine, vous devez lui en donner l'accès.

  1. Accédez à https://admin.google.com et connectez-vous à l’aide de votre compte d’administrateur de Google Workspace.
  2. Pour de l'information sur la façon d'autoriser un compte de service à accéder à votre domaine Google, reportez-vous à la rubrique OAuth : Gestion de l’accès au client d’API dans l’aide pour l’administrateur de Google Workspace. Rendez-vous dans la zone Gestion de l'accès au client d'API.
  3. Dans le champ Nom du client, entrez votre ID du client de votre compte de service. Votre ID du client provient du compte de service client où vous avez généré la clé P12.
  4. Avant de modifier l'accès en lecture seulement à l'API d'annuaire Google, revoyez la politique de votre organisation.
  5. Procédez de l'une des façons suivantes :
    • Si vous avez activé l’accès en lecture seule aux réglages de l’API d’annuaire Google dans Administration de Google Workspace, ajoutez les portées d’API suivantes au champ Une ou plusieurs portées d’API sous forme de liste séparée par des virgules :

      https://www.googleapis.com/auth/admin.directory.user.readonly, https://apps-apis.google.com/a/feeds/domain/, https://www.googleapis.com/auth/gmail.readonly, https://www.googleapis.com/auth/calendar.readonly, https://www.googleapis.com/auth/drive.readonly

      Remarque : La portée pour la récupération seule d’utilisateurs ou d’alias d’utilisateurs (lecture seule) est : https://www.googleapis.com/auth/admin.directory.user.readonly.
    • Si vous n’avez pas activé l’accès en lecture seule aux réglages de l’API d’annuaire Google dans Administration de Google Workspace, ajoutez les portées d’API suivantes au champ Une ou plusieurs portées d’API sous forme de liste séparée par des virgules :

      https://apps-apis.google.com/a/feeds/domain/, https://www.googleapis.com/auth/admin.directory.user,
      https://www.googleapis.com/auth/gmail.readonly, https://www.googleapis.com/auth/calendar.readonly, https://www.googleapis.com/auth/drive.readonly

      Remarque : La portée globale d’accès aux opérations de tous les utilisateurs ou alias d’utilisateurs (voir et gérer) est : https://www.googleapis.com/auth/admin.directory.user.
  6. Cliquez sur Autoriser.

Étape 6 : Configurer compte de service dans Environnement d'apprentissage de Brightspace.

  1. Depuis admintools_navbar_icon Outils d’administration, ou dans la section Relatif à l’organisation du composant graphique Outils d’administration, cliquez sur le lien Administration de Google Workspace.
  2. Cliquez sur Compte de service.
  3. Entrez votre Nom d’ouverture de session de l’administrateur de domaine Google Workspace.
  4. Entrez votre courriel de compte de service.
  5. Entrez votre Mot de passe P12.
  6. Dans Téléversement de clé de fichier P12, cliquez sur Choisir fichier et joignez le fichier P12 que vous avez enregistré sur votre disque local.
  7. Cliquez sur Save (enregistrer).