Vous souhaitez synchroniser les lieux de travail (Working Locations) entre MOFFI et Google Calendar, mais vous ne pouvez pas (ou ne voulez pas) accorder des droits de "Super Administrateur" à l'application ?
C'est possible grâce à l'option "Compte de Service avec délégation utilisateur". Cette méthode sécurisée permet de limiter les accès au strict nécessaire.
Pourquoi choisir cette méthode ?
Contrairement à la méthode standard qui demande un accès global à l'agenda de l'entreprise, cette approche déporte l'autorisation sur une "micro-application" dédiée et sécurisée.
- Sécurité accrue : L'application principale MOFFI ne demande pas de droits sensibles sur l'ensemble du tenant Google.
- Contrôle utilisateur : Chaque collaborateur valide explicitement l'accès à son propre agenda.
- Conformité : Idéal pour les organisations avec des politiques de sécurité strictes.
⚠️ Attention : Cette option nécessite une configuration initiale de la part de l'administrateur MOFFI et une action de la part de chaque utilisateur.
1. Configuration Administrateur
Avant que vos utilisateurs ne puissent activer la synchronisation, vous devez préparer le terrain sur le portail d'administration MOFFI.
- Connectez-vous à votre portail administrateur.
- Allez dans le menu Paramètres > Intégrations.
- Activez l'option "Compte applicatif" (Service Account).
- Cliquez sur "Connecter un compte". Une fenêtre Google s'ouvre : connectez-vous avec votre compte de service dédié (ex:
moffi-connector@votre-domaine.com). - Acceptez les autorisations suivantes :
https://www.googleapis.com/auth/calendar.readonly: Pour vérifier quels calendriers lui sont accessibles.https://www.googleapis.com/auth/calendar.events: Pour pouvoir lire et écrire les statuts "Working Location".
Note importante : Ces permissions sont accordées au compte de service uniquement. À ce stade, il n'a accès à rien. Il ne pourra agir (en lecture/écriture) que sur les agendas des utilisateurs qui lui auront explicitement délégué l'accès à l'étape suivante.
- Une fois connecté et sauvegardé, le système est prêt à enrôler les utilisateurs.
2. L'expérience utilisateur (Onboarding)
C'est ici que la magie opère. Pour éviter d'avoir à gérer manuellement les partages d'agenda, MOFFI automatise le processus via le parcours d'accueil (Onboarding) des collaborateurs, via le module Google.
Ce qui change pour l'utilisateur : Lorsqu'un utilisateur se connecte pour la première fois (ou relance son onboarding), une nouvelle étape "Autorisation synchro Lieu de travail" apparaît.
- La demande : Un écran invite l'utilisateur à autoriser le compte de service (celui que vous avez configuré à l'étape 1) à accéder à son agenda.
- L'autorisation : En cliquant sur "Autoriser", l'utilisateur est redirigé vers une fenêtre Google sécurisée.
- La validation Google : Une "micro-application" dédiée demande uniquement le droit de "Gérer les partages" (
acls). - Le résultat :
- Si l'utilisateur accepte, MOFFI ajoute instantanément votre compte de service en tant que "Détenteur de droits de modification" sur l'agenda personnel de l'utilisateur.
- La synchronisation est alors active immédiatement.
Important : Si l'utilisateur clique sur "Ignorer", la synchronisation ne sera pas activée pour lui, mais il pourra toujours utiliser MOFFI pour ses réservations de bureau.
3. Comment ça marche techniquement ?
Pour les équipes IT et Sécurité, voici le détail du flux pour comprendre pourquoi cette méthode est sécurisée :
- Isolation des droits : L'application MOFFI principale ne demande jamais d'accès complet à l'agenda.
- Micro-Application OAuth : Une application secondaire est utilisée uniquement durant l'onboarding. Son seul rôle est d'obtenir un jeton temporaire pour ajouter le compte de service dans la liste des partages de l'utilisateur (
calendar.acls). - Accès ciblé : Une fois le partage effectué, c'est le compte de service qui effectue les écritures (création des événements Working Location), et non l'application via le jeton de l'utilisateur.
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.