Cette page a été traduite par l'API Cloud Translation.

Annoter les évaluations

Cette page explique comment envoyer des commentaires sur la précision des évaluations créées par reCAPTCHA. Grâce à ces informations, reCAPTCHA peut ajuster le modèle spécifique à votre site et améliorer ses performances au fil du temps.

Quand annoter les évaluations

Lors de la création d'une évaluation, reCAPTCHA fournit un score qui vous aide à comprendre le niveau de risque des interactions utilisateur. Par la suite, lorsque votre site disposera d'informations supplémentaires sur les interactions des utilisateurs pour déterminer si elles étaient légitimes ou frauduleuses, vous pourrez confirmer ou corriger l'évaluation de reCAPTCHA. Pour ce faire, vous devez renvoyer à Google les ID d'évaluation reCAPTCHA libellés LEGITIMATE ou FRAUDULENT. En confirmant ou en corrigeant l'évaluation de reCAPTCHA, vous améliorez ses performances sur votre site.

Pour améliorer les performances de reCAPTCHA, vous pouvez confirmer les annotations des vrais positifs et des vrais négatifs, en plus des annotations des erreurs d'évaluation potentielles. Par exemple, dans le cas d'un utilisateur qui s'est authentifié à l'aide d'une méthode d'authentification à deux facteurs et qui a reçu un score reCAPTCHA élevé, vous pouvez annoter l'évaluation comme LEGITIMATE. Si le score reCAPTCHA est faible et que votre site détermine que l'interaction est frauduleuse ou abusive, vous pouvez annoter l'évaluation comme FRAUDULENT.

La liste suivante contient des informations supplémentaires sur des exemples d'interactions utilisateur qui indiquent si une interaction est légitime ou frauduleuse :

Les rejets de débit de carte de crédit ou d'autres preuves concrètes de fraude indiquent qu'une transaction financière antérieure était frauduleuse.
Un nouveau compte qui envoie des messages signalés comme spam par d'autres utilisateurs peut indiquer que la création du compte est frauduleuse.
Une demande d'assistance envoyée si un utilisateur rencontre des difficultés pour se connecter à son compte peut indiquer que la tentative de connexion est légitime.
Un achat ou une réservation sur un site qui utilise reCAPTCHA pour se protéger du scraping peut indiquer que l'utilisateur est légitime.

Avant de commencer

Assurez-vous de disposer du rôle Identity and Access Management suivant : Agent reCAPTCHA Enterprise (roles/recaptchaenterprise.agent).
Selon l'endroit où vous avez configuré reCAPTCHA, procédez comme suit:
Créez une évaluation pour votre site Web.
Créez une évaluation pour votre application mobile.
Configurer l'intégration WAF

Récupérer l'ID d'évaluation

Pour annoter une évaluation, récupérez l'ID d'évaluation unique comme suit:

Pour les intégrations Web et mobiles, vous pouvez récupérer l'ID d'évaluation unique à partir de la réponse d'évaluation.

Après avoir créé une évaluation, vous recevez une réponse JSON comme illustré dans l'exemple suivant.

Récupérez l'ID d'évaluation unique à partir du champ name de la réponse JSON.
```
{
'tokenProperties': {
  'valid': True,
  'hostname': 'www.google.com',
  'action': 'homepage',
  'createTime': u'2019-03-28T12:24:17.894Z'
},
'riskAnalysis': {
  'score': 0.1,
  'reasons': ['AUTOMATION']
},
'event': {
  'token': 'RESPONSE_TOKEN',
  'siteKey': 'KEY_ID'
},
'name': 'ASSESSMENT_ID'
}
```
Pour les intégrations WAF, vous pouvez récupérer l'ID d'évaluation unique à partir du jeton reCAPTCHA. L'ID d'évaluation unique est la chaîne alphanumérique unique de 16 caractères qui apparaît à la fin du jeton reCAPTCHA après :U=. Par exemple, si le jeton reCAPTFHA est .................U=6ZZZZe73fZZZZZZ0, l'ID d'évaluation est 6ZZZZe73fZZZZZZ0.

Annoter une évaluation

Déterminez les informations et les étiquettes à ajouter dans le corps JSON de la requête en fonction de votre cas d'utilisation.

Le tableau suivant répertorie les libellés et les valeurs que vous pouvez utiliser pour annoter des événements:

Étiquette Description Exemple de requête

Étiquette	Description	Exemple de requête
`reasons`	Facultatif. Une étiquette pour vos évaluations. Fournissez des détails sur les événements en temps réel dans le libellé `reasons` quelques secondes ou minutes après l'événement, car ils influencent la détection en temps réel. Pour obtenir la liste des valeurs possibles, reportez-vous à la section Valeurs des motifs. Exemple: Pour détecter les piratages de compte, annotez si le mot de passe saisi était correct avec les valeurs `CORRECT_PASSWORD` ou `INCORRECT_PASSWORD`. Si vous avez déployé votre propre MFA, vous pouvez ajouter les valeurs suivantes: `INITIATED_TWO_FACTOR`, `PASSED_TWO_FACTOR` ou `FAILED_TWO_FACTOR`.	{ "reasons": ["INCORRECT_PASSWORD"] }
`annotation`	Facultatif. Étiquette indiquant la légitimité des évaluations. Le libellé `annotation` fournit des informations sur les événements de connexion et d'inscription afin de valider ou de corriger vos évaluations des risques. Valeurs possibles: `LEGITIMATE` ou `FRAUDULENT`. Vous pouvez envoyer ces informations à tout moment ou dans le cadre d'une job par lot. Toutefois, nous vous recommandons d'envoyer ces informations quelques secondes ou minutes après l'événement, car elles influencent la détection en temps réel.	{ "annotation": "LEGITIMATE" }

reasons

Facultatif. Une étiquette pour vos évaluations.

Fournissez des détails sur les événements en temps réel dans le libellé reasons quelques secondes ou minutes après l'événement, car ils influencent la détection en temps réel.

Pour obtenir la liste des valeurs possibles, reportez-vous à la section Valeurs des motifs.

Exemple: Pour détecter les piratages de compte, annotez si le mot de passe saisi était correct avec les valeurs CORRECT_PASSWORD ou INCORRECT_PASSWORD. Si vous avez déployé votre propre MFA, vous pouvez ajouter les valeurs suivantes: INITIATED_TWO_FACTOR, PASSED_TWO_FACTOR ou FAILED_TWO_FACTOR.

      {
      "reasons": ["INCORRECT_PASSWORD"]
      }

annotation

Facultatif. Étiquette indiquant la légitimité des évaluations.

Le libellé annotation fournit des informations sur les événements de connexion et d'inscription afin de valider ou de corriger vos évaluations des risques.

Valeurs possibles: LEGITIMATE ou FRAUDULENT.

Vous pouvez envoyer ces informations à tout moment ou dans le cadre d'une job par lot. Toutefois, nous vous recommandons d'envoyer ces informations quelques secondes ou minutes après l'événement, car elles influencent la détection en temps réel.

      {
       "annotation": "LEGITIMATE"
      }

Annotez une évaluation à l'aide de la méthode projects.assessments.annotate avec gcloud CLI ou une clé API.

Remarque :Si vous utilisez la version v1beta1 de l'API, nous vous recommandons d'utiliser la version v1, car les nouvelles fonctionnalités telles que reCAPTCHA Account Defender ne sont disponibles que sur la version v1. Pour effectuer la migration de v1beta1 vers v1, consultez Migrer de l'API v1beta vers l'API v1 .
gcloud CLI

Avant d'utiliser les données de requête, effectuez les remplacements suivants:
- ASSESSMENT_ID: valeur du champ name renvoyé par l'appel projects.assessments.create.
- ANNOTATION_LABEL: libellé indiquant si l'évaluation est légitime ou frauduleuse. Les valeurs possibles sont LEGITIMATE ou FRAUDULENT.
- ANNOTATION_REASON: décrit le contexte de l'annotation choisie pour cette évaluation. Pour en savoir plus sur les valeurs possibles, consultez les raisons d'annoter une évaluation.
Méthode HTTP et URL :
```
POST https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate
```
Corps JSON de la requête :
```
{
"annotation": "ANNOTATION_LABEL"
"reasons": "ANNOTATION_REASON"
}
```
Pour envoyer votre requête, choisissez l'une des options suivantes :
curl

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate"
PowerShell

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate" | Select-Object -Expand Content
Vous devriez recevoir un code d'état indiquant le succès de l'opération (2xx), ainsi qu'une réponse vide.
Clé API

Avant d'utiliser les données de requête, effectuez les remplacements suivants:
- ASSESSMENT_ID : valeur du champ name renvoyée par l'appel projects.assessments.create
- ANNOTATION_LABEL: libellé indiquant si l'évaluation est légitime ou frauduleuse. Les valeurs possibles sont LEGITIMATE ou FRAUDULENT.
- ANNOTATION_REASON: décrit le contexte de l'annotation choisie pour cette évaluation. Pour en savoir plus sur les valeurs possibles, consultez les raisons d'annoter une évaluation.
Méthode HTTP et URL :
```
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments/ASSESSMENT_ID:annotate?key=API_KEY
```
Corps JSON de la requête :
```
{
"annotation": "ANNOTATION_LABEL"
"reasons": "ANNOTATION_REASON"
}
```
Pour envoyer votre requête, choisissez l'une des options suivantes :
curl

Remarque:Créez une clé API pour vous authentifier auprès de l'API.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante:

curl -X POST \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments/ASSESSMENT_ID:annotate?key=API_KEY"
PowerShell

Remarque:Créez une clé API pour vous authentifier auprès de l'API.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante:

$headers = @{ }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments/ASSESSMENT_ID:annotate?key=API_KEY" | Select-Object -Expand Content
Vous devriez recevoir un code d'état indiquant le succès de l'opération (2xx), ainsi qu'une réponse vide.

Étapes suivantes

En savoir plus sur les fonctionnalités de protection des comptes utilisateur de reCAPTCHA