È comune che più membri di un team collaborino alla creazione di un agente e per consentire ai servizi di accedere all'agente. Utilizzando i ruoli, puoi controllare l'accesso e le autorizzazioni concesse entità.
Se utilizzi l'API, potresti anche avere una o più applicazioni che inviano richieste a un agente. In questo caso, puoi controllare l'accesso account di servizio.
Puoi controllare l'accesso utilizzando Identity and Access Management (IAM) o la console Dialogflow. In alcune situazioni devi utilizzare la console Google Cloud:
- La console Dialogflow fornisce l'amministratore agente (proprietario del progetto IAM) all'utente che ha creato l'agente. Se vuoi cambiare l'amministratore, aggiungi più amministratori per un agente, o rimuovere gli amministratori per un agente devi utilizzare la console Google Cloud.
- Se hai integrazioni con altre risorse Google Cloud, come Cloud Functions, e non vuoi concedere l'accesso completo al progetto a un'applicazione, devi assegnare i ruoli dell'API Dialogflow (amministratore, client o lettore) nella console Google Cloud per IAM.
- Un sottoinsieme di ruoli IAM ha ruoli della console Dialogflow corrispondenti. Se vuoi concedere un ruolo che non esiste nella console Dialogflow, devi utilizzare la console Google Cloud.
Ruoli
La tabella seguente elenca i ruoli comuni pertinenti per Dialogflow. I riepiloghi delle autorizzazioni nella tabella utilizzano i seguenti termini:
- Accesso completo: Autorizzazione per modificare l'accesso, creare, eliminare, modificare e leggere qualsiasi risorsa.
- Accesso in modifica: Autorizzazione per creare, eliminare, modificare e leggere qualsiasi risorsa.
- Accesso sessione: Autorizzazione a chiamare metodi per risorse solo di runtime durante una conversazione, ad esempio rilevare l'intento, aggiornare il contesto, aggiornare le entità di sessione o interazioni con Agent Assist. Questo accesso fornisce un sottoinsieme di autorizzazioni che si trovano con accesso completo e in modifica.
- Accesso in lettura: Autorizzazione alla lettura di qualsiasi risorsa.
| Ruolo console Dialogflow | Ruolo IAM | Riepilogo autorizzazioni | Dettagli autorizzazione |
|---|---|---|---|
| Amministratore | Progetto > Proprietario |
Concedi ai proprietari del progetto
che necessitano dell'accesso completo a tutte le risorse Google Cloud e Dialogflow:
|
Consulta Definizioni dei ruoli di base IAM. |
| Sviluppatore | Progetto > Editor |
Concedi agli editor del progetto
che richiedono l'accesso in modifica a tutte le risorse di Google Cloud e Dialogflow:
|
Consulta Definizioni dei ruoli di base IAM. |
| Revisore | Progetto > Visualizzatore |
Concedi ai visualizzatori del progetto
che richiedono l'accesso in lettura a tutte le risorse di Google Cloud e Dialogflow:
|
Consulta Definizioni dei ruoli di base IAM. |
| N/D | Progetto > Browser |
Concedi ai browser del progetto
che necessitano dell'accesso in lettura per esplorare la gerarchia di un progetto,
inclusi cartella, organizzazione e criterio IAM:
|
Consulta Definizioni dei ruoli di progetto IAM. |
| N/D | Dialogflow > Amministratore API Dialogflow |
Concedi agli amministratori dell'API Dialogflow
che necessitano dell'accesso completo alle risorse specifiche di Dialogflow:
|
Consulta Definizioni dei ruoli IAM Dialogflow. |
| N/D | Dialogflow > Client API Dialogflow |
Concedi ai client dell'API Dialogflow
che eseguono chiamate di rilevamento dell'intento utilizzando l'API:
|
Consulta Definizioni dei ruoli IAM Dialogflow. |
| N/D | Dialogflow > Editor agente console Dialogflow |
Concedi agli editor della console Dialogflow
che modificano gli agenti esistenti:
|
Consulta Definizioni dei ruoli IAM Dialogflow. |
| N/D | Dialogflow > Lettore API Dialogflow |
Concedi ai client dell'API Dialogflow
che eseguono chiamate di sola lettura specifiche per Dialogflow.
usando l'API:
|
Consulta Definizioni dei ruoli IAM Dialogflow. |
Controlla l'accesso con la console Google Cloud
Puoi controllare l'accesso con le impostazioni IAM. Consulta la guida rapida di IAM per istruzioni dettagliate su come aggiungere, modificare e rimuovere le autorizzazioni.
Per accedere alle impostazioni seguenti, apri l'app pagina IAM nella console Google Cloud.
Aggiungi un account utente o di servizio al progetto
Puoi fornire le autorizzazioni a utenti o account di servizio assegnando loro dei ruoli nel tuo progetto Google Cloud. Gli utenti vengono aggiunti fornendo il proprio indirizzo email. Vengono aggiunti anche gli account di servizio fornendo il relativo indirizzo email associato. Se vuoi utilizzarne uno per più progetti e agenti, devi aggiungere i membri dell'account di servizio. Per trovare l'indirizzo email associato al tuo account di servizio, consulta IAM la pagina Account di servizio della console Google Cloud.
Per aggiungere un membro:
- Fai clic sul pulsante Aggiungi nella parte superiore della pagina.
- Inserisci l'indirizzo email del membro.
- Seleziona un ruolo.
- Fai clic su Salva.
Cambia autorizzazioni
- Fai clic sul pulsante Modifica in corrispondenza del membro.
- Seleziona un altro ruolo.
- Fai clic su Salva.
Rimuovere un membro
- Fai clic sul pulsante Elimina in corrispondenza del membro.
Controlla l'accesso con la console Dialogflow
Le opzioni di condivisione si trovano nelle impostazioni dell'agente. Per aprire le impostazioni di condivisione dell'agente:
- Vai alla console Dialogflow ES.
- Seleziona l'agente nella parte superiore del menu della barra laterale sinistra.
- Fai clic sul pulsante delle impostazioni accanto al nome dell'agente.
- Fai clic sulla scheda Condividi. Se non vedi la scheda Condividi, è perché non disponi del ruolo richiesto Amministratore agente.
Aggiungi un utente
- Inserisci l'indirizzo email dell'utente in Invita nuove persone.
- Seleziona un ruolo.
- Fai clic su Aggiungi.
- Fai clic su Salva.
Cambia autorizzazioni
- Trova l'utente nell'elenco.
- Seleziona un altro ruolo.
- Fai clic su Salva.
Rimuovere un utente
Trova l'utente nell'elenco.
Fai clic sul pulsante Elimina in corrispondenza dell'utente.
Fai clic su Salva.
Account di servizio creati automaticamente
Quando crei e collabori con l'agente, Dialogflow crea alcuni agenti di servizio. automaticamente.
Per visualizzare i ruoli concessi a questi agenti di servizio, attiva Includi concessioni dei ruoli fornite da Google nella sezione Pagina IAM.
Non devi eliminare, modificare o scaricare chiavi per nessuno di questi agenti di servizio, né utilizzare questi agenti per effettuare chiamate API dirette. Vengono utilizzati solo dal servizio Dialogflow per connettersi a una varietà dei servizi Google Cloud usati dal tuo agente. Potresti dover fare riferimento a questi agenti di servizio via email quando e configurare alcune funzionalità di Dialogflow.
Nella tabella seguente sono descritti alcuni di questi agenti di servizio:
| Modulo email IAM | Finalità |
|---|---|
| service-project-number @gcp-sa-dialogflow.iam.gserviceaccount.com |
Utilizzato per connettere l'agente ai servizi che gestiscono il traffico di integrazione. |
| firebase-adminsdk-alphanum @project-id.iam.gserviceaccount.com |
Utilizzato per collegare l'agente ai servizi che gestiscono il traffico dell'integrazione dell'Assistente Google. |
| project-id @appspot.gserviceaccount.com |
Utilizzato per collegare l'agente ai servizi che gestiscono il traffico dell'integrazione dell'Assistente Google. |
Ruolo di amministratore dei trasferimenti
Per trasferire il ruolo di amministratore di un agente, L'amministratore esistente deve seguire i passaggi precedenti per aggiungere un nuovo amministratore. Una volta che il nuovo amministratore accetta il ruolo concesso, puoi rimuovere il vecchio amministratore in sicurezza.
Se l'amministratore esistente non lavora più per la tua organizzazione, e devi trasferire il ruolo di amministratore a un altro dipendente. hai due opzioni:
- Un amministratore del organizzazione associato al progetto dell'agente dispone delle autorizzazioni per modificare l'amministratore dell'agente.
- Se disponi delle autorizzazioni di lettura per l'agente, puoi esportare l'agente e importarlo in un agente in cui il dipendente desiderato è l'amministratore. Ciò potrebbe causare tempi di inattività per un agente di produzione live durante la migrazione dell'agente e l'aggiornamento delle eventuali integrazioni.
OAuth
Se utilizzi librerie client di Google per accedere a Dialogflow, non c'è bisogno di usare OAuth perché queste librerie gestiscono l'implementazione per conto tuo. Tuttavia, se implementi il tuo cliente, potresti dover implementare il tuo flusso OAuth. L'accesso all'API Dialogflow richiede uno dei seguenti ambiti OAuth:
https://www.googleapis.com/auth/cloud-platform(accesso a tutte le risorse del progetto)https://www.googleapis.com/auth/dialogflow(accesso alle risorse Dialogflow)
Richieste che prevedono l'accesso a Cloud Storage
Alcune richieste Dialogflow di accesso agli oggetti Cloud Storage per leggere o scrivere dati. Quando chiami una di queste richieste, Dialogflow accede ai dati di Cloud Storage per conto del chiamante. Ciò significa che l'autenticazione della richiesta deve disporre delle autorizzazioni per accedere a Dialogflow e agli oggetti Cloud Storage.
Quando utilizzi una libreria client di Google e i ruoli IAM, vedi il Guida al controllo dell'accesso di Cloud Storage per informazioni sui ruoli di Cloud Storage.
Quando implementi il tuo client e utilizzi OAuth, devi utilizzare il seguente ambito OAuth:
https://www.googleapis.com/auth/cloud-platform(accesso a tutte le risorse del progetto)