È comune che più membri del team collaborino alla creazione di un agente e i servizi lo accedano. Utilizzando i ruoli, puoi controllare l'accesso e le autorizzazioni concesse alle entità.
Se utilizzi l'API, potresti anche avere una o più applicazioni che inviano richieste a un agente. In questo caso, puoi controllare l'accesso con gli account di servizio.
Puoi controllare l'accesso utilizzando Identity and Access Management (IAM) o la console Dialogflow. Esistono alcuni casi in cui è necessario utilizzare la console Google Cloud:
- La console di Dialogflow fornisce il ruolo Amministratore agente (proprietario del progetto IAM) all'utente che ha creato l'agente. Se vuoi cambiare l'amministratore, aggiungere più amministratori per un agente o rimuovere gli amministratori per un agente, devi utilizzare la console Google Cloud.
- Se hai integrazioni con altre risorse di Google Cloud, come Cloud Functions, e non vuoi concedere a un'applicazione l'accesso completo al progetto, devi assegnare i ruoli dell'API Dialogflow (Amministratore, client o lettore) nella console Google Cloud per IAM.
- Un sottoinsieme di ruoli IAM ha ruoli della console Dialogflow corrispondenti. Se vuoi concedere un ruolo che non esiste nella console di Dialogflow, devi utilizzare la console Google Cloud.
Ruoli
Nella tabella seguente sono elencati i ruoli comuni pertinenti a Dialogflow. I riepiloghi delle autorizzazioni nella tabella utilizzano i seguenti termini:
- Accesso completo: autorizzazione per modificare l'accesso, creare, eliminare, modificare e leggere qualsiasi risorsa.
- Accesso in modifica: autorizzazione per creare, eliminare, modificare e leggere qualsiasi risorsa.
- Accesso a sessioni: autorizzazione per chiamare metodi per le risorse solo di runtime durante una conversazione, ad esempio per rilevare l'intento, aggiornare il contesto, aggiornare le entità di sessione o le interazioni con la conversazione di Agent Assist. Questo accesso fornisce un sottoinsieme di autorizzazioni trovate con accesso completo e in modifica.
- Accesso in lettura: autorizzazione a leggere qualsiasi risorsa.
Ruolo della console Dialogflow | Ruolo IAM | Riepilogo autorizzazioni | Dettagli autorizzazione |
---|---|---|---|
Amministratore | Progetto > Proprietario |
Concedi ai proprietari del progetto che hanno bisogno dell'accesso completo a tutte le risorse Google Cloud e Dialogflow:
|
Consulta le definizioni dei ruoli di base IAM. |
Sviluppatore | Progetto > Editor |
Concedi agli editor del progetto che devono accedere in modifica a tutte le risorse Google Cloud e Dialogflow:
|
Consulta le definizioni dei ruoli di base IAM. |
Revisore | Progetto > Visualizzatore |
Concedi ai visualizzatori del progetto che hanno bisogno dell'accesso in lettura a tutte le risorse Google Cloud e Dialogflow:
|
Consulta le definizioni dei ruoli di base IAM. |
N/A | Progetto > Browser |
Concedi ai browser di progetto che hanno bisogno dell'accesso in lettura per sfogliare la gerarchia di un progetto, inclusi cartella, organizzazione e criterio IAM:
|
Consulta le definizioni dei ruoli del progetto IAM. |
N/A | Dialogflow > Amministratore API Dialogflow |
Concedi agli amministratori dell'API Dialogflow che hanno bisogno dell'accesso completo alle risorse specifiche per Dialogflow:
|
Consulta le definizioni dei ruoli IAM Dialogflow. |
N/A | Dialogflow > Client API Dialogflow |
Concedi ai client API Dialogflow che eseguono il rilevamento di chiamate intento utilizzando l'API:
|
Consulta le definizioni dei ruoli IAM Dialogflow. |
N/A | Dialogflow > Editor agente console Dialogflow |
Concedi agli editor della console di Dialogflow che modificano gli agenti esistenti:
|
Consulta le definizioni dei ruoli IAM Dialogflow. |
N/A | Dialogflow > Lettore API Dialogflow |
Concedi ai client API Dialogflow che eseguono chiamate di sola lettura specifiche per Dialogflow utilizzando l'API:
|
Consulta le definizioni dei ruoli IAM Dialogflow. |
Controllare l'accesso con la console Google Cloud
Puoi controllare l'accesso con le impostazioni IAM. Consulta la guida rapida di IAM per istruzioni dettagliate su come aggiungere, modificare e rimuovere le autorizzazioni.
Per accedere alle impostazioni seguenti, apri la pagina IAM nella console Google Cloud.
Aggiungi un account utente o di servizio al progetto
Puoi concedere autorizzazioni agli utenti o agli account di servizio assegnando loro i ruoli nel tuo progetto Google Cloud. Per aggiungere gli utenti, fornisci il proprio indirizzo email. Gli account di servizio vengono aggiunti anche fornendo l'indirizzo email associato. Devi aggiungere membri dell'account di servizio se vuoi utilizzare un solo account di servizio per più progetti e agenti. Per trovare l'indirizzo email associato al tuo account di servizio, consulta la pagina Account di servizio IAM nella console Google Cloud.
Per aggiungere un membro:
- Fai clic sul pulsante Aggiungi nella parte superiore della pagina.
- Inserisci l'indirizzo email del membro.
- Seleziona un ruolo.
- Fai clic su Salva.
Cambia autorizzazioni
- Fai clic sul pulsante Modifica relativo al membro.
- Seleziona un altro ruolo.
- Fai clic su Salva.
Rimuovere un membro
- Fai clic sul pulsante Elimina per il membro.
Controllare l'accesso con la console di Dialogflow
Le opzioni di condivisione sono disponibili nelle impostazioni dell'agente. Per aprire le impostazioni di condivisione degli agenti:
- Vai alla console Dialogflow ES.
- Seleziona l'agente nella parte superiore del menu della barra laterale sinistra.
- Fai clic sul pulsante delle impostazioni accanto al nome dell'agente.
- Fai clic sulla scheda Condividi. Se non vedi la scheda Condividi, significa che non disponi del ruolo Amministratore agente richiesto.
Aggiungi un utente
- Inserisci l'indirizzo email dell'utente in Invita nuove persone.
- Seleziona un ruolo.
- Fai clic su Aggiungi.
- Fai clic su Salva.
Cambia autorizzazioni
- Trova l'utente nell'elenco.
- Seleziona un altro ruolo.
- Fai clic su Salva.
Rimuovere un utente
Trova l'utente nell'elenco.
Fai clic sul pulsante Elimina
per l'utente.Fai clic su Salva.
Account di servizio creati automaticamente
Quando crei e lavori con il tuo agente, Dialogflow crea automaticamente alcuni account di servizio gestiti da Google.
Per visualizzare questi account di servizio, abilita l'opzione Includi concessioni di ruoli fornite da Google nella pagina IAM.
Non devi eliminare, modificare o scaricare le chiavi per nessuno di questi account di servizio, né utilizzare questi account di servizio per effettuare chiamate API dirette. Vengono utilizzati solo dal servizio Dialogflow per connettersi a una serie di servizi Google Cloud utilizzati dal tuo agente. Potrebbe essere necessario fare riferimento a questi account di servizio via email quando configuri determinate funzionalità di Dialogflow.
Nella tabella seguente vengono descritti alcuni di questi account di servizio:
Modulo email IAM | Finalità |
---|---|
service-project-number @gcp-sa-dialogflow.iam.gserviceaccount.com |
Utilizzato per connettere l'agente ai servizi che gestiscono il traffico di integrazione. |
firebase-adminsdk-alphanum @project-id.iam.gserviceaccount.com |
Utilizzato per collegare l'agente ai servizi che gestiscono il traffico dell'integrazione dell'Assistente Google. |
project-id @appspot.gserviceaccount.com |
Utilizzato per collegare l'agente ai servizi che gestiscono il traffico dell'integrazione dell'Assistente Google. |
Trasferisci ruolo di amministratore
Per trasferire il ruolo di amministratore di un agente, l'amministratore esistente deve seguire i passaggi precedenti per aggiungere un nuovo amministratore. Una volta che il nuovo amministratore accetta il ruolo, puoi rimuovere il vecchio amministratore.
Se l'amministratore esistente non lavora più presso la tua organizzazione e hai bisogno che il ruolo di amministratore venga trasferito a un altro dipendente, hai due opzioni:
- Un amministratore dell'organizzazione associata al progetto dell'agente dispone delle autorizzazioni per modificare l'amministratore dell'agente.
- Se disponi delle autorizzazioni di lettura per l'agente, puoi esportarlo e importarlo in un agente di cui il dipendente desiderato è l'amministratore. Ciò potrebbe causare tempi di inattività per un agente di produzione attivo durante la migrazione dell'agente e l'aggiornamento delle eventuali integrazioni.
OAuth
Se utilizzi le librerie client di Google per accedere a Dialogflow, non è necessario utilizzare OAuth direttamente, perché queste librerie gestiscono l'implementazione per te. Tuttavia, se stai implementando il tuo client, potrebbe essere necessario implementare un tuo flusso OAuth. L'accesso all'API Dialogflow richiede uno dei seguenti ambiti OAuth:
https://www.googleapis.com/auth/cloud-platform
(accesso a tutte le risorse di progetto)https://www.googleapis.com/auth/dialogflow
(accesso alle risorse Dialogflow)
Richieste che riguardano l'accesso a Cloud Storage
Alcuni Dialogflow richiedono l'accesso agli oggetti in Cloud Storage per la lettura o la scrittura di dati. Quando chiami una di queste richieste, Dialogflow accede ai dati di Cloud Storage per conto del chiamante. Ciò significa che l'autenticazione delle richieste deve disporre delle autorizzazioni per accedere a Dialogflow e agli oggetti Cloud Storage.
Se utilizzi una libreria client di Google e i ruoli IAM, consulta la guida controllo dell'accesso di Cloud Storage per informazioni sui ruoli di Cloud Storage.
Quando implementi il tuo client e utilizzi OAuth, devi utilizzare il seguente ambito OAuth:
https://www.googleapis.com/auth/cloud-platform
(accesso a tutte le risorse di progetto)