Diese Seite wurde von der Cloud Translation API übersetzt.

Identitätsanbieter konfigurieren

Um die Zugriffssteuerung für Datenquellen zu erzwingen und Daten in Gemini Enterprise zu schützen, müssen Sie einen Identitätsanbieter konfigurieren. Dazu müssen Sie den Identitätsanbieter einrichten und die Berechtigungen für Ihre Datenquellen verwalten. Google verwendet Ihren Identitätsanbieter, um den Endnutzer zu identifizieren, der eine Suche durchführt, und um festzustellen, ob dieser Zugriff auf die Dokumente hat, die als Ergebnisse zurückgegeben werden.

Identitätsanbietertyp wählen

Der Typ des Identitätsanbieters, den Sie auswählen, hängt von den Datenquellen ab, die mit Ihrer Gemini Enterprise-App verbunden sind. Gemini Enterprise unterstützt folgende Optionen:

Typ des Identitätsanbieters	Geeignet für
Google-Identität	Um Gemini Enterprise mit Google Workspace-Datenquellen zu verbinden, müssen Sie Google Identity verwenden. Bevor Sie Google Identity konfigurieren, müssen Sie das eindeutige Nutzerattribut Ihrer Organisation ermitteln, in der Regel die E-Mail-Adresse des Nutzers. Wenn Nutzer mehr als eine E-Mail-Adresse haben, müssen Sie einen E-Mail-Alias hinzufügen.
Externer Identitätsanbieter	Wenn Sie Gemini Enterprise nur mit Drittanbieter-Datenquellen verbinden und bereits einen Drittanbieter-Identitätsanbieter verwenden, der OIDC oder SAML 2.0 unterstützt, z. B. Microsoft Entra ID, Active Directory Federation Services (AD FS) oder Okta, müssen Sie die Workforce Identity-Föderation verwenden. Weitere Informationen finden Sie unter Mitarbeiteridentitätsföderation. Bevor Sie die Mitarbeiteridentitätsföderation konfigurieren, müssen Sie die eindeutigen Nutzerattribute Ihrer Organisation ermitteln. Diese Attribute müssen der Mitarbeiteridentitätsföderation zugeordnet werden.

Typ des Identitätsanbieters

Geeignet für

Google-Identität

Um Gemini Enterprise mit Google Workspace-Datenquellen zu verbinden, müssen Sie Google Identity verwenden.

Bevor Sie Google Identity konfigurieren, müssen Sie das eindeutige Nutzerattribut Ihrer Organisation ermitteln, in der Regel die E-Mail-Adresse des Nutzers. Wenn Nutzer mehr als eine E-Mail-Adresse haben, müssen Sie einen E-Mail-Alias hinzufügen.

Externer Identitätsanbieter

Wenn Sie Gemini Enterprise nur mit Drittanbieter-Datenquellen verbinden und bereits einen Drittanbieter-Identitätsanbieter verwenden, der OIDC oder SAML 2.0 unterstützt, z. B. Microsoft Entra ID, Active Directory Federation Services (AD FS) oder Okta, müssen Sie die Workforce Identity-Föderation verwenden. Weitere Informationen finden Sie unter Mitarbeiteridentitätsföderation.

Bevor Sie die Mitarbeiteridentitätsföderation konfigurieren, müssen Sie die eindeutigen Nutzerattribute Ihrer Organisation ermitteln. Diese Attribute müssen der Mitarbeiteridentitätsföderation zugeordnet werden.

Mitarbeiteridentitätsföderation für externe Identitätsanbieter

In diesem Abschnitt wird beschrieben, wie Sie die Mitarbeiteridentitätsföderation für Drittanbieter-Identitätsanbieter konfigurieren. Optional können Sie prüfen, ob die Einrichtung der Mitarbeiteridentitätsföderation wie erwartet funktioniert.

Identitätsföderation von Arbeitslasten konfigurieren

Weitere Informationen zum Konfigurieren der Mitarbeiteridentitätsföderation mit Ihrem Drittanbieter-Identitätsconnector finden Sie in den folgenden Ressourcen:

Identitätsanbieter	Ressourcen
Entra ID	Hinweis: Wenn Sie eine Verbindung zu einer Microsoft-Datenquelle wie SharePoint, OneDrive und Outlook herstellen und Microsoft Entra-Gruppen verwenden, um den Dokumentzugriff zu steuern, müssen Sie die Mitarbeiteridentitätsföderation mit Entra ID einrichten. Dies ist auch dann erforderlich, wenn Sie einen anderen Identitätsanbieter für die Einmalanmeldung (SSO, Single Sign-On) mit Entra ID verwenden. Mitarbeiteridentitätsföderation mit Microsoft Entra ID konfigurieren und Nutzer anmelden Mitarbeiteridentitätsföderation mit Microsoft Entra ID und einer großen Anzahl von Gruppen konfigurieren
Okta	Mitarbeiteridentitätsföderation mit Okta konfigurieren und Nutzer anmelden
OIDC oder SAML 2.0	Mitarbeiteridentitätsföderation mit einem Identitätsanbieter (IdP) konfigurieren, der OIDC oder SAML 2.0 unterstützt

Attributzuordnung konfigurieren

Mit der Attributzuordnung können Sie Ihre Drittanbieter-Identitätsinformationen über die Mitarbeiteridentitätsföderation mit Google verbinden.

Beachten Sie beim Konfigurieren der Attributzuordnung in der Mitarbeiteridentitätsföderation Folgendes:

Das Attribut google.subject muss dem Feld zugeordnet werden, das Endnutzer in Drittanbieterdatenquellen klar identifiziert. Beispiele: E-Mail-Adresse, Name des Hauptkontos, Nutzer-ID oder Mitarbeiternummer.
Wenn Ihre Organisation mehrere eindeutige IDs hat, ordnen Sie diese eindeutigen Organisationskennungen über das Attribut attribute.as_user_identifier_number between 1 and 50 zu.

Wenn Ihre Organisation beispielsweise sowohl E-Mail-Adressen als auch die Namen von Hauptkonten als Nutzerkennungen in verschiedenen Anwendungen verwendet und der Prinzipalname in Ihrem Drittanbieter-Identitätsanbieter als preferred_username festgelegt ist, können Sie ihn mit der Attributzuordnung der Mitarbeiteridentitätsföderation (z. B. attribute.as_user_identifier_1=assertion.preferred_username) Gemini Enterprise zuordnen.
Verwenden Sie Kleinbuchstaben für Attribute, indem Sie den Attributzuordnungskonfigurationen lowerAscii() anhängen. Bei Verwendung mit der Mitarbeiteridentitätsföderation wird bei Gemini Enterprise-Suchen nicht zwischen Groß- und Kleinschreibung unterschieden. Das bedeutet, dass sowohl aufgenommene Daten als auch Suchanfragen zu Kleinbuchstaben normalisiert werden. Wenn die E-Mail-Adresse für die Attributzuordnung eines Nutzers beispielsweise CloudySanFrancisco@gmail.com lautet und der Dokumentzugriff auf der E-Mail-Adresse cloudysanfrancisco@gmail.com basiert, konvertiert Gemini Enterprise CloudySanFrancisco@gmail.com in cloudysanfrancisco@gmail.com.

Im Folgenden finden Sie Beispiele für die Zuordnung von google.subject- und google.groups-Attributen für häufig verwendete Identitätsanbieter.

Entra ID mit OIDC-Protokoll
In diesem Beispiel wird die E-Mail-Adresse verwendet, um Nutzer klar zu identifizieren.

google.subject=assertion.email.lowerAscii()
google.groups=assertion.groups
google.display_name=assertion.given_name

Entra ID mit SAML-Protokoll
In diesem Beispiel wird die SAML-Name-ID verwendet, um Nutzer klar zu identifizieren.

google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'][0].lowerAscii()
google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
google.display_name=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname'][0]

Okta mit OIDC-Protokoll
In diesem Beispiel wird die E-Mail-Adresse verwendet, um Nutzer klar zu identifizieren.
```
google.subject=assertion.email.lowerAscii()
google.groups=assertion.groups
```
Okta mit SAML-Protokoll
In diesem Beispiel wird die Subjekt-Assertion des JWT verwendet, um Nutzer klar zu identifizieren.
```
google.subject=assertion.subject.lowerAscii()
google.groups=assertion.attributes['groups']
```

Optional: Einrichtung der Mitarbeiteridentitätsföderation prüfen

So prüfen Sie mit der Funktion zum Audit-Logging der Mitarbeiteridentitätsföderation, ob Anmeldungen erfolgreich waren und die Attributzuordnung korrekt ist:

Aktivieren Sie für die Security Token Service API für Datenzugriffsaktivitäten Audit-Logs.
1. Rufen Sie in der Google Cloud Console die Seite Audit-Logs auf:
  Zu Audit-Logs
  
  Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM & Admin lautet.
2. Wählen Sie ein vorhandenes Google Cloud Projekt, einen Ordner oder eine Organisation aus.
3. Audit-Logs zum Datenzugriff aktivieren.
  1. Eine detaillierte Anleitung zum Aktivieren von Audit-Logs finden Sie in der Logging-Dokumentation.
  2. Wählen Sie für die Security Token Service API den Audit-Logtyp Administrator-Lesezugriff aus. Weitere Informationen finden Sie unter Beispiellogs für die Mitarbeiteridentitätsföderation.
Aktivieren Sie das detaillierte Logging in Ihrem Personalpool. Das Feature „Erweiterte Gruppen für die Mitarbeiteridentitätsföderation“ für Microsoft Entra IDs erzeugt keine detaillierten Audit-Log-Informationen.
1. Rufen Sie die Seite Mitarbeiteridentitätspools auf.
  
  Zu Workforce Identity-Pools
2. Wählen Sie in der Tabelle den Pool aus.
3. Stellen Sie die Schaltfläche Detaillierte Audit-Protokollierung aktivieren auf die Position „Ein“.
4. Klicken Sie auf Pool speichern.
Klicken Sie im Bereich Anbieter auf die Anmelde-URL für Ihren Anbieter und melden Sie sich als Nutzer des Personalpools in der Google Cloud Konsole an.
Sehen Sie sich die Audit-Logs an, die bei Ihrer Anmeldung generiert wurden.
1. Rufen Sie die Seite Mitarbeiteridentitätspools auf.
  
  Zu Workforce Identity-Pools
2. Wählen Sie in der Tabelle den Pool aus, in dem Sie sich angemeldet haben.
3. Klicken Sie neben Logs auf Ansehen.
4. Entfernen Sie auf der Seite „Audit-Log“ den protoPayload.resourceName-Filter aus der Abfrage.
5. Klicken Sie auf Abfrage ausführen.
Suchen Sie in den Audit-Logs nach einem Eintrag mit der google.identity.sts.SecurityTokenService.WebSignIn-Methode, der mit dem Zeitstempel der Anmeldung übereinstimmt.
Prüfen Sie, ob das Feld metadata.mapped_attributes im Log mit dem Attribut übereinstimmt, das Sie beim Konfigurieren der Mitarbeiteridentitätsföderation für Drittanbieter-Identitätsanbieter verwendet haben.

Beispiel:
```
"metadata": {
  "mapped_attributes": {
    "attributes.as_user_identifier_1": "alex@admin.altostrat.com"
    "google.subject": "alex@altostrat.com"
    "google.groups": "[123abc-456d, efg-h789-ijk]"
  }
},
```

Beschränkungen

Wenn Sie Ihre Datenquellen über einen Connector verbinden, um Datenspeicher zu erstellen, gelten folgende Einschränkungen:

Pro Dokument sind 3.000 Leser zulässig. Jedes Hauptkonto zählt als ein Leser. Ein Hauptkonto kann eine Gruppe oder ein einzelner Nutzer sein.
Sie können pro im Gemini Enterprise-Agentspace unterstütztem Standort einen Identitätsanbietertyp auswählen.
Wenn die Einstellungen des Identitätsanbieters durch Ändern des Identitätsanbietertyps oder des Personalpools aktualisiert werden, werden vorhandene Datenspeicher nicht automatisch auf die neuen Einstellungen aktualisiert. Sie müssen diese Datenspeicher löschen und neu erstellen, um die neuen Identitätseinstellungen anzuwenden.
Wenn Sie eine Datenquelle als zugriffsgesteuert festlegen möchten, müssen Sie diese Einstellung beim Erstellen des Datenspeichers wählen. Sie können diese Einstellung für vorhandene Datenspeicher weder aktivieren noch deaktivieren.
Wenn Sie eine Vorschau der UI-Ergebnisse für Suchanwendungen anzeigen möchten, die die Zugriffssteuerung von Drittanbietern verwenden, müssen Sie sich in der föderierten Konsole anmelden oder die Web-App verwenden. Weitere Informationen finden Sie unter Vorschau Ihrer App.

Verbindung zu Ihrem Identitätsanbieter herstellen

Im folgenden Abschnitt wird beschrieben, wie Sie über die Google Cloud Konsole eine Verbindung zu Ihrem Identitätsanbieter herstellen.

Hinweise

Führen Sie vor dem Herstellen einer Verbindung zum Identitätsanbieter folgende Schritte aus:

Administratoren Berechtigungen erteilen
Wenn Sie einen externen Identitätsanbieter verbinden, konfigurieren Sie die Mitarbeiteridentitätsföderation.

Identitätsanbieter verbinden

So geben Sie einen Identitätsanbieter für Gemini Enterprise an und aktivieren die Zugriffssteuerung für Datenquellen:

Rufen Sie in der Google Cloud Console die Seite Gemini Enterprise auf.

Gemini Enterprise
Klicken Sie auf Einstellungen > Authentifizierung.
Klicken Sie für den Standort, den Sie aktualisieren möchten, auf Identitätsanbieter hinzufügen.
Klicken Sie auf Identitätsanbieter hinzufügen und wählen Sie den Typ Ihres Identitätsanbieters aus.
Wenn Sie Drittanbieteridentität auswählen, müssen Sie auch den Personalpool auswählen, der für Ihre Datenquellen gilt.
Klicken Sie auf Änderungen speichern.

Nutzern Berechtigungen erteilen

Nutzer benötigen die Rolle „Discovery Engine-Nutzer“ (roles/discoveryengine.user), um auf Apps zuzugreifen, diese zu verwalten und freizugeben.

Typ des Identitätsanbieters Beschreibung

Typ des Identitätsanbieters	Beschreibung
Google-Identität	Wenn Sie Google Identity verwenden, empfiehlt Google, eine Google-Gruppe zu erstellen, die alle Mitarbeiter enthält, die die App verwenden. Als Google Workspace-Administrator können Sie alle Nutzer einer Organisation in eine Google-Gruppe aufnehmen. Folgen Sie dazu der Anleitung unter Alle Nutzer Ihrer Organisation einer Gruppe hinzufügen. Weisen Sie Nutzern die Rolle „Discovery Engine-Nutzer“ (`roles/discoveryengine.user`) zu. Weitere Informationen zum Hinzufügen der Rolle finden sich unter Nutzern Berechtigungen erteilen.
Externer Identitätsanbieter	Weisen Sie Ihren Nutzern die Rolle „Discovery Engine-Nutzer“ (`roles/discoveryengine.user`) zu und ebenso den Personalpoolnutzer in IAM-Richtlinien. Weitere Informationen zum Hinzufügen der Rolle finden sich unter Nutzern Berechtigungen erteilen. Google empfiehlt, Gruppenansprüche für externe Identitäten zu konfigurieren.

Google-Identität

Wenn Sie Google Identity verwenden, empfiehlt Google, eine Google-Gruppe zu erstellen, die alle Mitarbeiter enthält, die die App verwenden.
Als Google Workspace-Administrator können Sie alle Nutzer einer Organisation in eine Google-Gruppe aufnehmen. Folgen Sie dazu der Anleitung unter Alle Nutzer Ihrer Organisation einer Gruppe hinzufügen.
Weisen Sie Nutzern die Rolle „Discovery Engine-Nutzer“ (roles/discoveryengine.user) zu. Weitere Informationen zum Hinzufügen der Rolle finden sich unter Nutzern Berechtigungen erteilen.

Externer Identitätsanbieter

Weisen Sie Ihren Nutzern die Rolle „Discovery Engine-Nutzer“ (roles/discoveryengine.user) zu und ebenso den Personalpoolnutzer in IAM-Richtlinien. Weitere Informationen zum Hinzufügen der Rolle finden sich unter Nutzern Berechtigungen erteilen.
Google empfiehlt, Gruppenansprüche für externe Identitäten zu konfigurieren.

Nächste Schritte

Wenn Sie Cloud Storage- oder BigQuery-Datenspeicher nutzen und die Zugriffssteuerung für die Daten erzwingen möchten, müssen Sie Zugriffssteuerungen für benutzerdefinierte Datenquellen konfigurieren.
Wenn Sie eine Verbindung zu Ihrer eigenen benutzerdefinierten Datenquelle herstellen, erfahren Sie hier, wie Sie externe Identitäten einrichten.
App als Vorschau
Wenn Sie die App für Ihre Nutzer freigeben möchten, können Sie sie aktivieren und die URL mit den Nutzern teilen. Nutzer müssen sich anmelden, bevor sie auf die App zugreifen können. Weitere Informationen finden Sie unter Web-App für die Suche aufrufen.