L’outil open source workspace-guest-provisioning automatise la gestion des comptes invités dans Google Workspace™ via Google Apps Script. Cette solution simplifie l’intégration de collaborateurs externes en automatisant la création et la révocation des accès. Elle renforce la sécurité grâce à des dates d’expiration automatiques et des permissions strictement définies.
Reposant sur l’API Directory, cette architecture sans serveur élimine le besoin d’infrastructure supplémentaire pour l’administration. Elle permet aux entreprises de standardiser leurs flux de travail avec des prestataires ou partenaires. Cette approche réduit les erreurs humaines et assure un contrôle rigoureux des données durant toute la collaboration.
La gestion des accès pour les utilisateurs externes est souvent un véritable casse-tête dans l’administration quotidienne d’un domaine. Pour simplifier et sécuriser ce processus, j’ai développé un nouvel outil open source : workspace-guest-provisioning.
Cet article vous présente en détail cette solution, son fonctionnement sous le capot, et comment la déployer pour sécuriser vos environnements collaboratifs.
Pourquoi automatiser la création des comptes invités ?
Lorsqu’on collabore régulièrement avec des prestataires, des clients ou des partenaires, la création et la révocation de leurs accès nécessitent de nombreuses manipulations manuelles. Ce travail répétitif est chronophage et augmente le risque de conserver des accès ouverts par oubli une fois la mission terminée.
En tant qu’administrateur, il est crucial de garder un contrôle strict sur les données de l’entreprise. L’automatisation permet de standardiser ce flux de travail, de limiter les erreurs humaines et de garantir que chaque invité ne dispose que des droits strictement nécessaires pendant une durée déterminée.
Des cas d’usage concrets en entreprise
L’intégration d’un script de provisionnement répond à de multiples situations rencontrées régulièrement dans la gestion d’un système d’information.
- Le recours à des freelances : lorsqu’un développeur ou un consultant externe rejoint un projet pour trois mois, le script permet de créer son compte avec une date d’expiration automatique.
- Les audits externes : un auditeur a souvent besoin d’un accès en lecture seule à certains dossiers spécifiques. L’outil provisionne l’accès temporaire et le révoque automatiquement à la fin de l’intervention.
- Les partenariats commerciaux : pour faciliter les échanges avec un fournisseur, on peut lui ouvrir un accès restreint à un drive partagé, sans lui donner de licence complète.
Architecture technique et sécurité de la solution
L’ensemble de l’outil est construit avec Google Apps Script, ce qui permet une intégration native et sans serveur supplémentaire directement dans votre environnement Workspace. Le code source du projet s’articule autour des fichiers standards d’un développement classique :
- Le script principal qui contient la logique de création et de gestion des utilisateurs (Code.gs).
- Le manifeste du projet qui définit les portées d’autorisation et la configuration (appsscript.json).
- Le fichier de documentation technique pour vous guider dans l’installation (README.md).
- Les informations concernant les droits de distribution et d’utilisation du code (LICENSE).
Extrait de fonctionnement
Le cœur du système repose sur l’interaction avec l’API Directory de Google Workspace™. Voici un exemple simplifié de la logique que l’on retrouve dans le fichier Code.gs[cite: 1] pour ajouter un invité :
// Exemple simplifié de logique d'ajout d'un utilisateur externe
function provisionExternalGuest(email, role, expirationDate) {
try {
// Logique de validation et de création de l'accès
Logger.log('Provisionnement en cours pour : ' + email);
// Ajout des permissions spécifiques via les services avancés
// ...
return { success: true, message: 'Accès provisionné avec succès.' };
} catch (error) {
Logger.log('Erreur lors du provisionnement : ' + error.message);
return { success: false, error: error.message };
}
}