S'authentifier en tant qu'utilisateur final

Dans la plupart des situations, nous vous recommandons de recourir à un compte de service pour vous authentifier auprès d'une API Google Cloud Platform (GCP). Dans certains cas, vous souhaiterez peut-être que vos utilisateurs s'authentifient directement. Exemple :

Vous devez accéder à des ressources pour le compte d'un utilisateur final de votre application. Par exemple, votre application doit accéder aux ensembles de données Google BigQuery appartenant aux utilisateurs de votre application.
Vous devez vous authentifier vous-même au lieu d'utiliser votre application pour le faire. Par exemple, étant donné que l'API Cloud Resource Manager peut créer et gérer des projets appartenant à un utilisateur spécifique, vous devez vous authentifier en tant qu'utilisateur pour créer des projets en son nom.

Ce guide traite des identifiants de l'utilisateur final. Il ne traite pas de l'authentification d'un utilisateur sur votre application. Pour ce cas d'utilisation, nous recommandons l'authentification Firebase.

Processus d'authentification

Lorsqu'une application doit accéder à des ressources pour le compte d'un utilisateur, un écran d'autorisation s'affiche. Une fois que l'utilisateur a autorisé cet accès, votre application demande des identifiants auprès d'un serveur d'autorisation. Avec les identifiants, l'application peut accéder aux ressources pour le compte de l'utilisateur.

Ce processus est un protocole appelé OAuth 2.0.

Pour en savoir plus sur OAuth 2.0, consultez la page OAuth 2.0.

Spécifier des champs d'application d'API

Lorsque vous utilisez un compte de service pour vous authentifier auprès d'une API GCP, GCP authentifie automatiquement le compte de service doté d'un accès complet à l'API. Lors de l'authentification en tant qu'utilisateur final, vous devez spécifier manuellement les champs d'application OAuth. Les champs d'application OAuth limitent les actions que votre application peut effectuer pour le compte de l'utilisateur final. Par exemple, ces actions peuvent inclure la lecture de fichiers de Cloud Storage ou la gestion de projets GCP.

Consultez la page API spécifique pour en savoir plus sur les champs d'application OAuth disponibles. Par exemple, si vous prévoyez d'utiliser la méthode disks.get() pour l'API Compute Engine, vous devez définir l'un de ces champs d'application OAuth. Définissez le champ d'application minimal requis en fonction de votre cas d'utilisation.

Accorder et limiter l'accès aux ressources du projet

Si vous utilisez les identifiants de l'utilisateur final pour accéder aux ressources de votre projet, vous devez lui accorder l'accès aux ressources de votre projet. Faites cela sur GCP en définissant un rôle dans Google Cloud Identity and Access Management (Cloud IAM).

Vous voudrez peut-être limiter les ressources auxquelles l'utilisateur a accès, en particulier lorsque vous autorisez l'utilisateur à accéder aux ressources d'un projet vous appartenant. Définissez les rôles selon le principe du moindre privilège s'appliquant à l'utilisateur.

Chaque service dispose d'un ensemble de rôles Cloud IAM, mais vous pouvez choisir de créer des rôles personnalisés à la place. Pour plus d'informations, consultez les pages Comprendre les rôles et Créer et gérer des rôles personnalisés.

Exemple d'authentification d'un utilisateur final

Renseignez les sections suivantes pour obtenir les identifiants d'un utilisateur final. Les étapes suivantes nécessitent l'utilisation de l'API BigQuery, mais vous pouvez reproduire ce processus avec n'importe quelle API GCP disposant d'une bibliothèque cliente.

Configurer le projet

Connectez-vous à votre compte Google.
Si vous n'en possédez pas déjà un, vous devez en créer un.
Dans la page de sélection du projet de la console GCP, sélectionnez ou créez un projet GCP.

Remarque : Si vous ne prévoyez pas de conserver les ressources que vous créez dans cette procédure, créez un projet au lieu de sélectionner un projet existant. Après avoir suivi ces étapes, vous pouvez supprimer le projet, ce qui supprime toutes les ressources qui lui sont associées.

Accéder à la page de sélection du projet
Assurez-vous que la facturation est activée pour votre projet Google Cloud Platform. Découvrez comment confirmer que la facturation est activée pour votre projet.
Activez les BigQuery requises.
Activer les API

Installez les bibliothèques clientes BigQuery.
Si vous utilisez Python ou Node.js, vous devez installer une bibliothèque d'authentification supplémentaire.
Python
Installez la bibliothèque d'intégration oauthlib pour Google Auth.
```
pip install --upgrade google-auth-oauthlib
```

Créer vos identifiants client

Créez vos identifiants client dans la console Google Cloud Platform.

Accédez à la page de l'écran d'autorisation OAuth dans la console GCP.
Sur la page Identifiants, cliquez sur le bouton Créer des identifiants, puis sélectionnez ID client OAuth.
Sélectionnez Autre, puis le bouton Créer. Lorsque la boîte de dialogue de confirmation apparaît, sélectionnez le bouton OK.
Téléchargez les identifiants en sélectionnant le bouton Download JSON (Télécharger JSON) associé à l'ID client.
Enregistrez le fichier d'identifiants sous le nom client_secrets.json. Ce fichier doit être distribué avec votre application.

S'authentifier et appeler l'API

Utilisez les identifiants du client pour exécuter le flux OAuth 2.0.

Python

Afficher dans GitHub

from google_auth_oauthlib import flow

# TODO: Uncomment the line below to set the `launch_browser` variable.
# launch_browser = True
#
# The `launch_browser` boolean variable indicates if a local server is used
# as the callback URL in the auth flow. A value of `True` is recommended,
# but a local server does not work if accessing the application remotely,
# such as over SSH or from a remote Jupyter notebook.

appflow = flow.InstalledAppFlow.from_client_secrets_file(
    'client_secrets.json',
    scopes=['https://www.googleapis.com/auth/bigquery'])

if launch_browser:
    appflow.run_local_server()
else:
    appflow.run_console()

credentials = appflow.credentials

Utilisez les identifiants authentifiés pour vous connecter à l'API BigQuery.

Python

Afficher dans GitHub

from google.cloud import bigquery

# TODO: Uncomment the line below to set the `project` variable.
# project = 'user-project-id'
#
# The `project` variable defines the project to be billed for query
# processing. The user must have the bigquery.jobs.create permission on
# this project to run a query. See:
# https://cloud.google.com/bigquery/docs/access-control#permissions

client = bigquery.Client(project=project, credentials=credentials)

query_string = """SELECT name, SUM(number) as total
FROM `bigquery-public-data.usa_names.usa_1910_current`
WHERE name = 'William'
GROUP BY name;
"""
query_job = client.query(query_string)

# Print the results.
for row in query_job.result():  # Wait for the job to complete.
    print("{}: {}".format(row['name'], row['total']))

L'exécution de l'exemple de code ouvre un navigateur qui demande l'accès au projet associé aux codes secrets du client. Les identifiants correspondants peuvent ensuite être utilisés pour accéder aux ressources BigQuery de l'utilisateur, car l'exemple a demandé le champ d'application BigQuery.

Dans un cas d'utilisation différent, vous souhaiterez peut-être ajouter des rôles IAM pour déterminer ce à quoi l'utilisateur peut accéder.

Étapes suivantes

Apprenez-en davantage sur l'authentification auprès d'une API GCP.
Découvrez la manière de configurer l'authentification pour les applications de production.
Découvrez comment utiliser les clés API.