Authentification en tant qu'utilisateur final

Cet article explique comment accéder aux API Google Cloud pour le compte d'un utilisateur final. Pour obtenir des informations générales sur l'authentification auprès des API Google Cloud, consultez la page Présentation de l'authentification.

Flux d'authentification

Lorsqu'une application doit accéder aux API Google Cloud pour le compte d'un utilisateur final, elle établit un flux d'autorisation OAuth. Une fois que l'utilisateur a parcouru ce flux, votre application reçoit ses identifiants. Grâce à ces identifiants, votre application peut appeler les API Google Cloud au nom de l'utilisateur.

Ce processus est un protocole appelé OAuth 2.0.

Pour en savoir plus sur OAuth 2.0, consultez la page OAuth 2.0.

Spécifier des champs d'application OAuth

Lors de l'authentification en tant qu'utilisateur final, vous devez spécifier explicitement les champs d'application OAuth. Les champs d'application OAuth limitent les actions que votre application peut effectuer pour le compte de l'utilisateur final. Par exemple, ces actions peuvent inclure la lecture de fichiers de Cloud Storage ou la gestion de projets Google Cloud.

Consultez la page API spécifique pour en savoir plus sur les champs d'application OAuth disponibles. Par exemple, si vous prévoyez d'utiliser la méthode disks.get() pour l'API Compute Engine, vous devez définir l'un de ces champs d'application OAuth. Définissez le champ d'application minimal requis en fonction de votre cas d'utilisation.

Accorder et limiter l'accès aux ressources du projet

Si vous utilisez les identifiants de l'utilisateur final pour accéder aux ressources de votre projet, vous devez lui accorder l'accès aux ressources de votre projet. Faites cela dans Google Cloud en définissant un rôle dans la gestion de l'authentification et des accès (IAM).

Vous voudrez peut-être limiter les ressources auxquelles l'utilisateur a accès, en particulier lorsque vous autorisez l'utilisateur à accéder aux ressources d'un projet vous appartenant. Définissez les rôles selon le principe du moindre privilège s'appliquant à l'utilisateur.

Chaque service dispose d'un ensemble de rôles IAM mais vous pouvez choisir de créer des rôles personnalisés à la place. Pour plus d'informations, consultez les pages Comprendre les rôles et Créer et gérer des rôles personnalisés.

Exemple d'authentification d'un utilisateur final

Renseignez les sections suivantes pour obtenir les identifiants d'un utilisateur final. Les étapes suivantes nécessitent l'utilisation de l'API BigQuery, mais vous pouvez reproduire ce processus avec n'importe quelle API Google Cloud disposant d'une bibliothèque cliente.

Configurer le projet

Connectez-vous à votre compte Google.
Si vous n'en possédez pas déjà un, vous devez en créer un.

Dans Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Cloud.

Remarque : Si vous ne comptez pas conserver les ressources créées dans cette procédure, créez un projet au lieu de sélectionner un projet existant. Après avoir suivi ces étapes, vous pouvez supprimer le projet. Cela entraîne la suppression de toutes les ressources qui lui sont associées.

Accéder à la page de sélection du projet

Vérifiez que la facturation est activée pour votre projet Google Cloud. Découvrez comment vérifier que la facturation est activée pour votre projet.

Activez l'API BigQuery.
Activer l'API

Installez les bibliothèques clientes BigQuery.
Si vous utilisez Python ou Node.js, vous devez installer une bibliothèque d'authentification supplémentaire.
Python
Installez la bibliothèque d'intégration oauthlib pour Google Auth.
```
pip install --upgrade google-auth-oauthlib
```

Créer vos identifiants client

Créez vos identifiants client dans Google Cloud Console.

Accédez à l'écran d'autorisation OAuth dans Cloud Console.
Sur la page Identifiants, cliquez sur le bouton Créer des identifiants, puis sélectionnez ID client OAuth.
Sélectionnez Autre, puis le bouton Créer. Lorsque la boîte de dialogue de confirmation apparaît, sélectionnez le bouton OK.
Téléchargez les identifiants en sélectionnant le bouton Download JSON (Télécharger JSON) associé à l'ID client.
Enregistrez le fichier d'identifiants sous le nom client_secrets.json. Ce fichier doit être distribué avec votre application.

S'authentifier et appeler l'API

Utilisez les identifiants du client pour exécuter le flux OAuth 2.0.

Python

Afficher sur GitHub

from google_auth_oauthlib import flow

# TODO: Uncomment the line below to set the `launch_browser` variable.
# launch_browser = True
#
# The `launch_browser` boolean variable indicates if a local server is used
# as the callback URL in the auth flow. A value of `True` is recommended,
# but a local server does not work if accessing the application remotely,
# such as over SSH or from a remote Jupyter notebook.

appflow = flow.InstalledAppFlow.from_client_secrets_file(
    "client_secrets.json", scopes=["https://www.googleapis.com/auth/bigquery"]
)

if launch_browser:
    appflow.run_local_server()
else:
    appflow.run_console()

credentials = appflow.credentials

Utilisez les identifiants authentifiés pour vous connecter à l'API BigQuery.

Python

Afficher sur GitHub

from google.cloud import bigquery

# TODO: Uncomment the line below to set the `project` variable.
# project = 'user-project-id'
#
# The `project` variable defines the project to be billed for query
# processing. The user must have the bigquery.jobs.create permission on
# this project to run a query. See:
# https://cloud.google.com/bigquery/docs/access-control#permissions

client = bigquery.Client(project=project, credentials=credentials)

query_string = """SELECT name, SUM(number) as total
FROM `bigquery-public-data.usa_names.usa_1910_current`
WHERE name = 'William'
GROUP BY name;
"""
query_job = client.query(query_string)

# Print the results.
for row in query_job.result():  # Wait for the job to complete.
    print("{}: {}".format(row["name"], row["total"]))

L'exécution de l'exemple de code ouvre un navigateur qui demande l'accès au projet associé aux codes secrets du client. Les identifiants correspondants peuvent ensuite être utilisés pour accéder aux ressources BigQuery de l'utilisateur, car l'exemple a demandé le champ d'application BigQuery.

Dans un cas d'utilisation différent, vous souhaiterez peut-être ajouter des rôles IAM pour déterminer ce à quoi l'utilisateur peut accéder.

Étapes suivantes

Apprenez-en davantage sur l'authentification auprès d'une API Google Cloud.
Apprenez-en davantage sur l'authentification en tant que compte de service
Découvrez comment utiliser les clés API.