Para aplicar el control de acceso a la fuente de datos y proteger los datos en Gemini Enterprise, debes configurar un proveedor de identidad. Esto implica configurar el proveedor de identidad y administrar los permisos para tus fuentes de datos. Google usa tu proveedor de identidad para identificar al usuario final que realiza una búsqueda y determinar si tiene acceso a los documentos que se muestran como resultados.
Elige el tipo de proveedor de identidad
El tipo de proveedor de identidad que elijas dependerá de las fuentes de datos conectadas a tu app de Gemini Enterprise. Gemini Enterprise admite las siguientes opciones:
| Tipo de proveedor de identidad | Cuándo usar |
|---|---|
| Google Identity |
Cuando conectas Gemini Enterprise a fuentes de datos de Google Workspace, debes usar Google Identity.
Antes de configurar la identidad de Google, debes determinar el atributo de usuario único que usa tu organización, que suele ser el correo electrónico del usuario. Si los usuarios tienen más de una dirección de correo electrónico, debes agregar un alias de correo electrónico. |
| Proveedor de identidad de terceros |
Cuando solo conectas Gemini Enterprise a fuentes de datos externas y ya usas un proveedor de identidad externo que admite OIDC o SAML 2.0, como Microsoft Entra ID, Active Directory Federation Services (AD FS), Okta y otros, debes usar la Federación de identidades de personal.
Para obtener más información, consulta federación de identidades de personal.
Antes de configurar la federación de identidades de personal, debes determinar los atributos de usuario únicos que usa tu organización, y estos atributos deben asignarse con la federación de identidades de personal. |
Federación de identidades de personal para proveedores de identidad externos
En esta sección, se describe cómo configurar la federación de identidades de personal para proveedores de identidad externos. De manera opcional, puedes verificar si la configuración de la federación de identidades de personal funciona según lo previsto.
Configura la federación de identidades de personal
Para obtener detalles sobre la configuración de la federación de identidades de personal con tu conector de identidades externo, consulta los siguientes recursos:
| Proveedor de identidad | Recursos |
|---|---|
| Entra ID | |
| Okta | |
| OIDC o SAML 2.0 |
Configura la asignación de atributos
La asignación de atributos te ayuda a conectar tu información de identidad de terceros con Google a través de la federación de identidades de personal.
Cuando configures la asignación de atributos en la federación de identidades de personal, ten en cuenta lo siguiente:
El atributo
google.subjectdebe asignarse al campo que identifica de manera inequívoca a los usuarios finales en las fuentes de datos de terceros. Por ejemplo, correo electrónico, nombre principal, ID de usuario o ID de empleado.Si tu organización tiene más de un identificador único, asigna estos atributos organizacionales únicos con el atributo
attribute.as_user_identifier_number between 1 and 50.Por ejemplo, si tu organización usa tanto el correo electrónico como el nombre principal como identificadores de usuario en diferentes aplicaciones, y el nombre principal se establece como
preferred_usernameen tu proveedor de identidad externo, puedes asignarlo a Gemini Enterprise con la asignación de atributos de la Federación de identidades de personal (por ejemplo,attribute.as_user_identifier_1=assertion.preferred_username).Usa valores en minúsculas para los atributos agregando
lowerAscii()a las configuraciones de asignación de atributos. Cuando se usa con la Federación de identidades de personal, la búsqueda de Gemini Enterprise no distingue mayúsculas de minúsculas. Esto significa que tanto los datos transferidos como las búsquedas se normalizan a minúsculas. Por ejemplo, si el correo electrónico de asignación de atributos de un usuario esCloudySanFrancisco@gmail.comy el acceso a los documentos se basa en el correo electrónicocloudysanfrancisco@gmail.com, Gemini Enterprise convierteCloudySanFrancisco@gmail.comencloudysanfrancisco@gmail.com.
A continuación, se muestran ejemplos de asignaciones de atributos google.subject y google.groups para proveedores de identidad de uso frecuente.
Entra ID con protocolo OIDC
En este ejemplo, se usa el correo electrónico para identificar a los usuarios de manera inequívoca.google.subject=assertion.email.lowerAscii() google.groups=assertion.groups google.display_name=assertion.given_nameEntra ID con protocolo SAML
En este ejemplo, se usa el ID de nombre de SAML para identificar a los usuarios de manera inequívoca.google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'][0].lowerAscii() google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups'] google.display_name=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname'][0]Okta con protocolo OIDC
En este ejemplo, se usa el correo electrónico para identificar a los usuarios de manera inequívoca.google.subject=assertion.email.lowerAscii() google.groups=assertion.groupsOkta con protocolo SAML
En este ejemplo, se usa la aserción del sujeto del JWT para identificar de manera inequívoca a los usuarios.google.subject=assertion.subject.lowerAscii() google.groups=assertion.attributes['groups']
Opcional: Verifica la configuración de la federación de identidades de personal
Para verificar que los accesos se hayan realizado correctamente y que la asignación de atributos sea correcta con la función de registro de auditoría de la federación de identidades de personal, haz lo siguiente:
Habilita los registros de auditoría para la API de Security Token Service de la actividad de acceso a los datos.
-
En la consola de Google Cloud , ve a la página Registros de auditoría:
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.
- Selecciona un Google Cloud proyecto, una carpeta o una organización existentes.
- Habilita todos los registros de auditoría de acceso a los datos
- Consulta la documentación de Logging para obtener los pasos detallados sobre cómo habilitar los registros de auditoría.
- Para la API de Security Token Service, selecciona el tipo de registro de auditoría Lectura de administración. Para obtener más información, consulta Registros de ejemplo para la federación de identidades de personal.
-
Habilita el registro detallado en tu grupo de trabajadores. La función de grupos extendidos de la federación de identidades de personal para Microsoft Entra ID no genera información detallada de registro de auditoría.
Ve a la página federación de identidades de personal.
En la tabla, elige el grupo.
Haz clic en el botón de activación Habilitar el registro de auditoría detallado para llevarlo a la posición activada.
Haz clic en Guardar grupo.
En la sección Proveedores, haz clic en la URL de acceso de tu proveedor y accede a la consola de Google Cloud como usuario del grupo de personal.
Consulta los registros de auditoría que se generaron cuando accediste.
Ve a la página federación de identidades de personal.
En la tabla, selecciona el grupo en el que accediste.
Haz clic en Ver junto a Registros.
En la página del registro de auditoría, borra el filtro
protoPayload.resourceNamede la consulta.Haz clic en Ejecutar consulta.
Verifica los registros de auditoría para encontrar una entrada con el método
google.identity.sts.SecurityTokenService.WebSignInque coincida con la marca de tiempo de acceso.Confirma que el campo
metadata.mapped_attributesdel registro coincida con el atributo que usaste cuando configuraste la federación de identidades de personal para proveedores de identidad de terceros.Por ejemplo:
"metadata": { "mapped_attributes": { "attributes.as_user_identifier_1": "alex@admin.altostrat.com" "google.subject": "alex@altostrat.com" "google.groups": "[123abc-456d, efg-h789-ijk]" } },
Limitaciones
Cuando conectas tus fuentes de datos con un conector para crear almacenes de datos, se aplican las siguientes limitaciones:
Se permiten 3,000 lectores por documento. Cada principal se considera un lector, y una principal puede ser un grupo o un usuario individual.
Puedes seleccionar un tipo de proveedor de identidad por ubicación admitida en Gemini Enterprise.
Si se actualiza la configuración del proveedor de identidad cambiando el tipo de proveedor de identidad o el grupo de personal, los almacenes de datos existentes no se actualizarán automáticamente con la nueva configuración. Debes borrar y volver a crear estos almacenes de datos para aplicar la nueva configuración de identidad.
Para establecer una fuente de datos como controlada por acceso, debes seleccionar este parámetro de configuración durante la creación del almacén de datos. No puedes activar ni desactivar este parámetro de configuración para un almacén de datos existente.
Para obtener una vista previa de los resultados de la IU de las apps de búsqueda que usan el control de acceso de terceros, debes acceder a la consola federada o usar la app web. Consulta Obtén una vista previa de tu app.
Conéctate a tu proveedor de identidad
En la siguiente sección, se describe cómo conectarte a tu proveedor de identidad con la consola deGoogle Cloud .
Antes de comenzar
Antes de conectar el proveedor de identidad, haz lo siguiente:
Si conectas un proveedor de identidad externo, configura la federación de identidades de personal.
Conecta un proveedor de identidad
Para especificar un proveedor de identidad para Gemini Enterprise y activar el control de acceso a la fuente de datos, sigue estos pasos:
En la consola de Google Cloud , ve a la página Gemini Enterprise.
Haz clic en Configuración > Autenticación.
Haz clic en Agregar proveedor de identidad para la ubicación que deseas actualizar.
Haz clic en Agregar proveedor de identdad y selecciona el tipo de proveedor de identidad.
Si seleccionas Identidad de terceros, también debes seleccionar el grupo de personal que se aplica a tus fuentes de datos.Haz clic en Guardar cambios.
Otorga permisos a los usuarios
Los usuarios necesitan el rol de Usuario de Discovery Engine (roles/discoveryengine.user) para acceder a las apps, administrarlas y compartirlas.
| Tipo de proveedor de identidad | Descripción |
|---|---|
| Google Identity |
|
| Proveedor de identidad de terceros |
|
Próximos pasos
Si tienes almacenes de datos de Cloud Storage o BigQuery y deseas aplicar el control de acceso a los datos, debes configurar los controles de acceso para las fuentes de datos personalizadas.
Si te conectas a tu propia fuente de datos personalizada, obtén información sobre cómo configurar identidades externas.
Cuando esté todo listo para compartir la app con los usuarios, puedes activarla y compartir la URL con ellos. Los usuarios deben acceder antes de poder usar la app. Para obtener más información, consulta Visualiza la app web de búsqueda.