Esta página se ha traducido con Cloud Translation API.

Configurar proveedor de identidades

Para aplicar el control de acceso a las fuentes de datos y proteger los datos en Gemini Enterprise, debe configurar un proveedor de identidades. Para ello, debe configurar el proveedor de identidades y gestionar los permisos de sus fuentes de datos. Google usa tu proveedor de identidades para identificar al usuario final que realiza una búsqueda y determinar si tiene acceso a los documentos que se devuelven como resultados.

Elige el tipo de proveedor de identidades

El tipo de proveedor de identidades que elijas dependerá de las fuentes de datos conectadas a tu aplicación Gemini Enterprise. Gemini Enterprise admite las siguientes opciones:

Tipo de proveedor de identidades	Cuándo se puede utilizar
Google Identity	Cuando conectes Gemini Enterprise a fuentes de datos de Google Workspace, debes usar Google Identity. Antes de configurar la identidad de Google, debes determinar el atributo de usuario único que utiliza tu organización, normalmente el correo del usuario. Si los usuarios tienen más de una dirección de correo, debes añadir un alias de correo.
Proveedor de identidades de terceros	Si solo conectas Gemini Enterprise a fuentes de datos de terceros y ya utilizas un proveedor de identidades de terceros que admite OIDC o SAML 2.0 (como Microsoft Entra ID, Active Directory Federation Services [AD FS] u Okta, entre otros), debes usar la federación de identidades de trabajo. Para obtener más información, consulta Federación de Identidades de Workforce. Antes de configurar Workforce Identity Federation, debes determinar los atributos de usuario únicos que usa tu organización. Estos atributos deben asignarse a Workforce Identity Federation.

Tipo de proveedor de identidades

Cuándo se puede utilizar

Google Identity

Cuando conectes Gemini Enterprise a fuentes de datos de Google Workspace, debes usar Google Identity.

Antes de configurar la identidad de Google, debes determinar el atributo de usuario único que utiliza tu organización, normalmente el correo del usuario. Si los usuarios tienen más de una dirección de correo, debes añadir un alias de correo.

Proveedor de identidades de terceros

Si solo conectas Gemini Enterprise a fuentes de datos de terceros y ya utilizas un proveedor de identidades de terceros que admite OIDC o SAML 2.0 (como Microsoft Entra ID, Active Directory Federation Services [AD FS] u Okta, entre otros), debes usar la federación de identidades de trabajo. Para obtener más información, consulta Federación de Identidades de Workforce.

Antes de configurar Workforce Identity Federation, debes determinar los atributos de usuario únicos que usa tu organización. Estos atributos deben asignarse a Workforce Identity Federation.

Federación de identidades para los trabajadores con proveedores de identidades externos

En esta sección se describe cómo configurar la federación de identidades de los empleados para proveedores de identidades de terceros. Si quieres, puedes verificar si la configuración de Workforce Identity Federation funciona correctamente.

Configurar Workforce Identity Federation

Para obtener información sobre cómo configurar la federación de identidades de los trabajadores con tu conector de identidades de terceros, consulta los siguientes recursos:

Proveedor de identidades	Recursos
ID de Entra	Nota: Si te conectas a una fuente de datos de Microsoft, como SharePoint, OneDrive y Outlook, y usas grupos de Microsoft Entra para controlar el acceso a los documentos, debes configurar la federación de identidades de empleados con Entra ID. Esto es obligatorio aunque uses otro proveedor de identidades para el inicio de sesión único (SSO) con Entra ID. Configurar la federación de identidades de los empleados con Microsoft Entra ID e iniciar sesión de los usuarios Configurar la federación de identidades para los trabajadores con Microsoft Entra ID y un gran número de grupos
Okta	Configurar la federación de identidades de los empleados con Okta e iniciar sesión de los usuarios
OIDC o SAML 2.0	Configurar la federación de identidades de trabajo con un proveedor de identidades que admita OIDC o SAML 2.0

Configurar el mapeo de atributos

El mapeo de atributos te ayuda a conectar tu información de identidad de terceros con Google mediante la federación de identidades de la plantilla.

Cuando configure el mapeo de atributos en Workforce Identity Federation, tenga en cuenta lo siguiente:

El atributo google.subject debe asignarse al campo que identifica de forma única a los usuarios finales en las fuentes de datos de terceros. Por ejemplo, correo electrónico, nombre principal, ID de usuario o ID de empleado.
Si tu organización tiene más de un identificador único, asigna estos atributos únicos de la organización mediante el atributo attribute.as_user_identifier_number between 1 and 50.

Por ejemplo, si tu organización usa tanto el correo electrónico como el nombre de entidad principal como identificadores de usuario en diferentes aplicaciones, y el nombre de entidad principal se define como preferred_username en tu proveedor de identidades de terceros, puedes asignarlo a Gemini Enterprise mediante la asignación de atributos de la federación de identidades de la plantilla (por ejemplo, attribute.as_user_identifier_1=assertion.preferred_username).
Usa valores en minúsculas para los atributos añadiendo lowerAscii() a las configuraciones de asignación de atributos. Cuando se usa con Workforce Identity Federation, la búsqueda de Gemini Enterprise no distingue entre mayúsculas y minúsculas. Esto significa que tanto los datos insertados como las consultas de búsqueda se normalizan a minúsculas. Por ejemplo, si el correo de asignación de atributos de un usuario es CloudySanFrancisco@gmail.com y el acceso a los documentos se basa en el correo cloudysanfrancisco@gmail.com, Gemini Enterprise convierte CloudySanFrancisco@gmail.com en cloudysanfrancisco@gmail.com.

A continuación, se muestran ejemplos de asignaciones de atributos google.subject y google.groups para proveedores de identidades habituales.

Entra ID con protocolo OIDC
En este ejemplo se usa el correo electrónico para identificar a los usuarios de forma única.
```
google.subject=assertion.email.lowerAscii()
google.groups=assertion.groups
google.display_name=assertion.given_name
```

Entra ID con protocolo SAML
En este ejemplo se usa el ID de nombre de SAML para identificar a los usuarios de forma única.

google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'][0].lowerAscii()
google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
google.display_name=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname'][0]

Okta con protocolo OIDC
En este ejemplo se usa el correo electrónico para identificar a los usuarios de forma única.
```
google.subject=assertion.email.lowerAscii()
google.groups=assertion.groups
```
Okta con protocolo SAML
En este ejemplo se usa la aserción de asunto del JWT para identificar de forma única a los usuarios.
```
google.subject=assertion.subject.lowerAscii()
google.groups=assertion.attributes['groups']
```

Opcional: Verificar la configuración de Workforce Identity Federation

Para verificar que los inicios de sesión se han realizado correctamente y que la asignación de atributos es correcta mediante la función de registro de auditoría de Workforce Identity Federation, haz lo siguiente:

Habilita los registros de auditoría de la API Security Token Service de la actividad de acceso a datos.
1. En la Google Cloud consola, ve a la página Registros de auditoría:
  Ve a Registros de auditoría.
  
  Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea IAM y administrador.
2. Selecciona un proyecto, una carpeta o una organización Google Cloud .
3. Habilita los registros de auditoría de acceso a datos.
  1. Consulta la documentación de Logging para ver los pasos detallados sobre cómo habilitar los registros de auditoría.
  2. En la API Security Token Service, selecciona el tipo de registro de auditoría Actividad de administración. Para obtener más información, consulta los registros de ejemplo de la federación de identidades de Workforce.
Habilita el registro detallado en tu grupo de trabajadores. La función de grupos ampliados de federación de identidades de la plantilla para Microsoft Entra ID no genera información detallada de registro de auditoría.
1. Ve a la página Grupos de identidades de Workforce:
  
  Ir a Grupos de identidades de Workforce
2. En la tabla, selecciona el grupo.
3. Activa el interruptor Habilitar registro de auditoría detallado.
4. Haz clic en Guardar grupo.
En la sección Proveedores, haga clic en la URL de inicio de sesión de su proveedor e inicie sesión en la consola de Google Cloud como usuario del grupo de trabajo.
Consulta los registros de auditoría que se generaron cuando iniciaste sesión.
1. Ve a la página Grupos de identidades de Workforce:
  
  Ir a Grupos de identidades de Workforce
2. En la tabla, selecciona el grupo en el que te hayas registrado.
3. Haz clic en Ver junto a Registros.
4. En la página del registro de auditoría, borra el filtro protoPayload.resourceName de la consulta.
5. Haz clic en Realizar una consulta.
Consulta los registros de auditoría para ver si hay una entrada con el método google.identity.sts.SecurityTokenService.WebSignIn que coincida con la marca de tiempo de inicio de sesión.
Confirma que el campo metadata.mapped_attributes del registro coincide con el atributo que has usado al configurar la federación de identidades para los trabajadores con proveedores de identidades de terceros.

Por ejemplo:
```
"metadata": {
  "mapped_attributes": {
    "attributes.as_user_identifier_1": "alex@admin.altostrat.com"
    "google.subject": "alex@altostrat.com"
    "google.groups": "[123abc-456d, efg-h789-ijk]"
  }
},
```

Limitaciones

Cuando conecte sus fuentes de datos mediante un conector para crear almacenes de datos, se aplicarán las siguientes limitaciones:

Se permiten 3000 lectores por documento. Cada entidad principal se considera un lector. Una entidad principal puede ser un grupo o un usuario concreto.
Puedes seleccionar un tipo de proveedor de identidades por cada ubicación admitida en Gemini Enterprise.
Si se actualiza la configuración del proveedor de identidades cambiando el tipo de proveedor de identidades o el grupo de usuarios, los almacenes de datos no se actualizarán automáticamente con la nueva configuración. Debes eliminar y volver a crear estos almacenes de datos para aplicar los nuevos ajustes de identidad.
Para definir una fuente de datos como controlada por acceso, debe seleccionar este ajuste durante la creación del almacén de datos. No puedes activar ni desactivar este ajuste en un almacén de datos que ya tengas.
Para previsualizar los resultados de la interfaz de usuario de las aplicaciones de búsqueda que usan el control de acceso de terceros, debes iniciar sesión en la consola federada o usar la aplicación web. Consulta Previsualizar tu aplicación.

Conectarse a un proveedor de identidades

En la siguiente sección se describe cómo conectarse a su proveedor de identidades mediante la consolaGoogle Cloud .

Antes de empezar

Antes de conectar el proveedor de identidades, haz lo siguiente:

Concede permisos a los administradores.
Si vas a conectar un proveedor de identidades externo, configura la federación de identidades para los trabajadores.

Conectar proveedor de identidades

Para especificar un proveedor de identidades para Gemini Enterprise y activar el control de acceso a la fuente de datos, sigue estos pasos:

En la Google Cloud consola, ve a la página Gemini Enterprise.

Gemini Enterprise
Haz clic en Configuración > Autenticación.
Haz clic en Añadir proveedor de identidades en la ubicación que quieras actualizar.
Haz clic en Añadir proveedor de identidades y selecciona el tipo de proveedor de identidades.
Si seleccionas Identidad de terceros, también debes seleccionar el grupo de trabajadores que se aplique a tus fuentes de datos.
Haz clic en Guardar cambios.

Conceder permisos a los usuarios

Los usuarios necesitan el rol Usuario de Discovery Engine (roles/discoveryengine.user) para acceder a las aplicaciones, gestionarlas y compartirlas.

Tipo de proveedor de identidades Descripción

Tipo de proveedor de identidades	Descripción
Google Identity	Si utilizas la identidad de Google, Google recomienda crear un grupo de Google que incluya a todos los empleados que usen la aplicación. Si eres administrador de Google Workspace, puedes incluir a todos los usuarios de una organización en un grupo de Google siguiendo los pasos que se indican en el artículo Añadir a todos los usuarios de tu organización a un grupo. Asigna el rol Usuario de Discovery Engine (`roles/discoveryengine.user`) a los usuarios. Para obtener más información sobre cómo añadir el rol, consulta Conceder permisos a los usuarios.
Proveedor de identidades de terceros	Concede el rol Usuario de Discovery Engine (`roles/discoveryengine.user`) a tus usuarios y a los usuarios del grupo de personal en las políticas de gestión de identidades y accesos. Para obtener más información sobre cómo añadir el rol, consulta Conceder permisos a los usuarios. Google recomienda configurar las reclamaciones de grupo para tus identidades de terceros.

Google Identity

Si utilizas la identidad de Google, Google recomienda crear un grupo de Google que incluya a todos los empleados que usen la aplicación.
Si eres administrador de Google Workspace, puedes incluir a todos los usuarios de una organización en un grupo de Google siguiendo los pasos que se indican en el artículo Añadir a todos los usuarios de tu organización a un grupo.
Asigna el rol Usuario de Discovery Engine (roles/discoveryengine.user) a los usuarios. Para obtener más información sobre cómo añadir el rol, consulta Conceder permisos a los usuarios.

Proveedor de identidades de terceros

Concede el rol Usuario de Discovery Engine (roles/discoveryengine.user) a tus usuarios y a los usuarios del grupo de personal en las políticas de gestión de identidades y accesos. Para obtener más información sobre cómo añadir el rol, consulta Conceder permisos a los usuarios.
Google recomienda configurar las reclamaciones de grupo para tus identidades de terceros.

Siguientes pasos

Si tienes almacenes de datos de Cloud Storage o BigQuery y quieres aplicar el control de acceso a los datos, debes configurar los controles de acceso para las fuentes de datos personalizadas.
Si te conectas a tu propia fuente de datos personalizada, consulta cómo puedes configurar identidades externas.
Genera una vista previa de tu aplicación.
Cuando quieras compartir la aplicación con tus usuarios, puedes activarla y compartir la URL con ellos. Los usuarios deben iniciar sesión para poder acceder a la aplicación. Para obtener más información, consulta Ver la aplicación web de búsqueda.