Configuration de l'authentification OAuth Gmail

Ce guide vous accompagne dans la création d'une application Google Cloud pour l'authentification OAuth avec Gmail. OAuth offre un accès plus sécurisé à votre compte Gmail comparé à l'authentification par mot de passe traditionnelle.

Prérequis

• Un compte Google (personnel ou Google Workspace)
• Accès à Google Cloud Console
• L'URL de votre installation Perfex CRM (pour la configuration du redirect URI)

Configuration étape par étape

Étape 1 : Créer un projet Google Cloud

1. Allez sur Google Cloud Console
2. Cliquez sur le menu déroulant du projet en haut de la page
3. Cliquez sur "New Project"
4. Entrez un nom de projet (ex. "Perfex Mailbox OAuth")
5. Cliquez sur "Create"
6. Attendez la création du projet et sélectionnez-le

Étape 2 : Activer l'API Gmail

1. Dans Google Cloud Console, accédez à "APIs & Services" > "Library"
2. Recherchez "Gmail API"
3. Cliquez sur "Gmail API" dans les résultats
4. Cliquez sur "Enable"
5. Attendez l'activation de l'API

Étape 3 : Configurer l'écran de consentement OAuth

1. Accédez à "APIs & Services" > "OAuth consent screen"
2. Sélectionnez le type d'utilisateur "External" (sauf si vous avez un compte Google Workspace, vous pouvez choisir "Internal")
3. Cliquez sur "Create"
4. Remplissez les informations requises :
   • App name : Entrez le nom de votre application (ex. "Perfex CRM Mailbox")
   • User support email : Votre adresse email
   • Developer contact information : Votre adresse email
5. Cliquez sur "Save and Continue"
6. Sur la page "Scopes", cliquez sur "Add or Remove Scopes"
7. Ajoutez les scopes suivants :
   • https://www.googleapis.com/auth/gmail.readonly
   • https://www.googleapis.com/auth/gmail.send
   • https://www.googleapis.com/auth/gmail.modify
8. Cliquez sur "Update", puis "Save and Continue"
9. Sur la page "Test users" (si vous utilisez le type External) :
   • Ajoutez votre adresse Gmail comme utilisateur de test
   • Cliquez sur "Save and Continue"
10. Vérifiez et cliquez sur "Back to Dashboard"

Étape 4 : Créer les identifiants OAuth 2.0

1. Accédez à "APIs & Services" > "Credentials"
2. Cliquez sur "Create Credentials" > "OAuth client ID"
3. Sélectionnez "Web application" comme type d'application
4. Entrez un nom pour votre client OAuth (ex. "Perfex Mailbox Client")
5. Sous "Authorized redirect URIs", cliquez sur "Add URI"
6. Ajoutez votre redirect URI au format :

https://your-domain.com/admin/mailbox/oauth/callback?provider=gmail

Remplacez your-domain.com par votre domaine Perfex CRM réel.

7. Cliquez sur "Create"
8. IMPORTANT : Copiez et sauvegardez les deux :
   • Client ID (vous en aurez besoin)
   • Client Secret (vous en aurez besoin - cliquez sur "Show" pour le révéler)

Étape 5 : Configurer dans Perfex CRM

1. Accédez à votre zone admin Perfex CRM
2. Allez dans Mailbox > Configuration
3. Sélectionnez "OAuth2" comme méthode d'authentification
4. Sélectionnez "Gmail" comme fournisseur
5. Entrez votre Client ID dans le champ "Gmail Client ID"
6. Entrez votre Client Secret dans le champ "Gmail Client Secret"
7. Cliquez sur "Save Configuration"
8. Cliquez sur le bouton "Connect Gmail"
9. Autorisez l'application dans la fenêtre popup Google
10. Vous devriez voir un message de succès confirmant la connexion

Limitations et considérations importantes

Limitations des applications de test Google

Ces limitations sont imposées par Google, pas par notre logiciel.

1. Expiration des tokens (7 jours) - Les applications non vérifiées (en mode test) ont des tokens OAuth qui expirent après 7 jours. Après 7 jours, les utilisateurs doivent ré-autoriser la connexion. C'est une politique de sécurité Google pour les applications non vérifiées.

2. Restrictions des utilisateurs de test - Seuls les utilisateurs ajoutés à la liste "Test users" peuvent utiliser l'app OAuth. Maximum de 100 utilisateurs de test autorisés. Cette restriction s'applique jusqu'à la vérification et publication de l'app.

3. Processus de vérification d'app - Pour supprimer l'expiration des tokens à 7 jours, vous devez soumettre votre app pour vérification Google. La vérification peut prendre plusieurs semaines (généralement 4-8 semaines). Google examine votre app pour la sécurité et la conformité.

Vérification et publication de l'app

Pour supprimer les limitations :

1. Soumettre pour vérification

   • Allez dans "OAuth consent screen" dans Google Cloud Console
   • Cliquez sur le bouton "PUBLISH APP"
   • Remplissez le formulaire de vérification avec :
     • Objectif et fonctionnalité de l'app
     • URL de la politique de confidentialité
     • URL des conditions d'utilisation
     • Démonstration vidéo (optionnel mais recommandé)
   • Soumettez pour examen

2. Délai de vérification

   • Examen initial : 1-2 semaines
   • ** demandes d'informations supplémentaires** : Variable (si Google demande des clarifications)
   • Approbation finale : 4-8 semaines au total (typique)

3. Après vérification

   • Les tokens n'expirent plus après 7 jours
   • Plus de restrictions pour les utilisateurs de test
   • L'app peut être utilisée par tout utilisateur Gmail

Production vs Test

• Mode Test : Configuration rapide, mais les tokens expirent tous les 7 jours
• Mode Production : Nécessite une vérification, mais les tokens n'expirent pas
• Le choix vous appartient - notre logiciel fonctionne avec les deux modes

Rafraîchissement des tokens

Notre module gère automatiquement le rafraîchissement des tokens quand possible. Cependant :

• Applications non vérifiées : Les tokens expirent après 7 jours et nécessitent une ré-autorisation manuelle
• Applications vérifiées : Les tokens se rafraîchissent automatiquement sans intervention utilisateur

Notes

• Le redirect URI doit correspondre exactement à ce que vous avez configuré dans Google Cloud Console
• Gardez votre Client Secret sécurisé - ne le partagez jamais publiquement
• Si vous changez de domaine, mettez à jour le redirect URI dans Google Cloud Console
• Le flux OAuth est entièrement géré par Google - notre module initie et reçoit uniquement le callback

Dépannage

Erreur "Redirect URI mismatch" :

• Assurez-vous que le redirect URI dans Google Cloud Console correspond exactement : https://your-domain.com/admin/mailbox/oauth/callback?provider=gmail
• Vérifiez les barres obliques finales ou les différences HTTP vs HTTPS

"Token expired" après 7 jours :

• C'est attendu pour les applications non vérifiées (politique Google)
• Ré-autorisez en cliquant à nouveau sur "Connect Gmail"
• Pour éviter cela, soumettez votre app pour vérification Google

Erreur "Access blocked" :

• Assurez-vous que votre email est ajouté à la liste "Test users" (pour les apps non vérifiées)
• Vérifiez que Gmail API est activée dans votre projet Google Cloud

Impossible de trouver Gmail API :

• Assurez-vous d'être dans le bon projet Google Cloud
• Essayez de rechercher "Gmail" dans l'API Library

Ressources supplémentaires

• Documentation Google OAuth 2.0
• Documentation Gmail API
• Google Cloud Console

info

L'expiration des tokens à 7 jours et les restrictions des utilisateurs de test sont des politiques de sécurité Google pour les applications non vérifiées. Ces limitations ne sont pas imposées par notre logiciel. Une fois votre app vérifiée par Google, ces restrictions sont levées.