Questa pagina è stata tradotta dall'API Cloud Translation.

Configura provider di identità

Per applicare controllo dell'accesso all'origine dati e proteggere i dati in Gemini Enterprise, devi configurare un provider di identità. Ciò comporta la configurazione del provider di identità e la gestione delle autorizzazioni per le origini dati. Google utilizza il tuo provider di identità per identificare l'utente finale che esegue una ricerca e determinare se ha accesso ai documenti restituiti come risultati.

Scegli il tipo di provider di identità

Il tipo di provider di identità che scegli dipende dalle origini dati connesse alla tua app Gemini Enterprise. Gemini Enterprise supporta le seguenti opzioni:

Tipo di provider di identità	Quando utilizzarlo
Google Identity	Quando connetti Gemini Enterprise a origini dati di Google Workspace, devi utilizzare Google Identity. Prima di configurare l'identità Google, devi determinare l'attributo utente unico utilizzato dalla tua organizzazione, in genere l'email dell'utente. Se gli utenti hanno più di un indirizzo email, devi aggiungere un alias email.
Provider di identità di terze parti	Se connetti Gemini Enterprise solo a origini dati di terze parti e utilizzi già un provider di identità di terze parti che supporta OIDC o SAML 2.0, come Microsoft Entra ID, Active Directory Federation Services (AD FS), Okta e altri, devi utilizzare la federazione delle identità per la forza lavoro. Per ulteriori informazioni, consulta Federazione delle identità per la forza lavoro. Prima di configurare la federazione delle identità della forza lavoro, devi determinare gli attributi utente univoci utilizzati dalla tua organizzazione e questi attributi devono essere mappati con la federazione delle identità per la forza lavoro.

Tipo di provider di identità

Quando utilizzarlo

Google Identity

Quando connetti Gemini Enterprise a origini dati di Google Workspace, devi utilizzare Google Identity.

Prima di configurare l'identità Google, devi determinare l'attributo utente unico utilizzato dalla tua organizzazione, in genere l'email dell'utente. Se gli utenti hanno più di un indirizzo email, devi aggiungere un alias email.

Provider di identità di terze parti

Se connetti Gemini Enterprise solo a origini dati di terze parti e utilizzi già un provider di identità di terze parti che supporta OIDC o SAML 2.0, come Microsoft Entra ID, Active Directory Federation Services (AD FS), Okta e altri, devi utilizzare la federazione delle identità per la forza lavoro. Per ulteriori informazioni, consulta Federazione delle identità per la forza lavoro.

Prima di configurare la federazione delle identità della forza lavoro, devi determinare gli attributi utente univoci utilizzati dalla tua organizzazione e questi attributi devono essere mappati con la federazione delle identità per la forza lavoro.

Federazione delle identità per la forza lavoro per i provider di identità di terze parti

Questa sezione descrive come configurare la federazione delle identità per la forza lavoro per i provider di identità di terze parti. Se vuoi, puoi verificare se la configurazione della federazione delle identità per la forza lavoro funziona come previsto.

Configura la federazione delle identità per la forza lavoro

Per informazioni dettagliate sulla configurazione della federazione delle identità per la forza lavoro con il connettore di identità di terze parti, consulta le seguenti risorse:

Provider di identità	Risorse
Entra ID	Nota: se ti connetti a un'origine dati Microsoft, ad esempio SharePoint, OneDrive e Outlook, e utilizzi i gruppi Microsoft Entra per controllare l'accesso ai documenti, devi configurare la federazione delle identità per la forza lavoro con Entra ID. Questo è necessario anche se utilizzi un provider di identità diverso per il Single Sign-On (SSO) con Entra ID. Configurare la federazione delle identità per la forza lavoro con Microsoft Entra ID e accedere agli utenti Configurare la federazione delle identità per la forza lavoro con Microsoft Entra ID e un numero elevato di gruppi
Okta	Configurare la federazione delle identità per la forza lavoro con Okta e accedere agli utenti
OIDC o SAML 2.0	Configura la federazione delle identità per la forza lavoro con un provider di identità (IdP) che supporta OIDC o SAML 2.0

Configura la mappatura degli attributi

La mappatura degli attributi ti aiuta a collegare le informazioni sull'identità di terze parti a Google utilizzando la federazione delle identità per la forza lavoro.

Quando configuri la mappatura degli attributi nella federazione delle identità per la forza lavoro, tieni presente quanto segue:

L'attributo google.subject deve essere mappato al campo che identifica in modo univoco gli utenti finali nelle origini dati di terze parti. Ad esempio, email, nome principale, ID utente o ID dipendente.
Se la tua organizzazione ha più di un identificatore univoco, mappa questi attributi organizzativi univoci utilizzando l'attributo attribute.as_user_identifier_number between 1 and 50.

Ad esempio, se la tua organizzazione utilizza sia l'email sia il nome principale come identificatori utente in diverse applicazioni e il nome principale è impostato come preferred_username nel tuo provider di identità di terze parti, puoi mapparlo a Gemini Enterprise utilizzando la mappatura degli attributi della federazione delle identità per la forza lavoro (ad esempio, attribute.as_user_identifier_1=assertion.preferred_username).
Utilizza valori in minuscolo per gli attributi aggiungendo lowerAscii() alle configurazioni di mappatura degli attributi. Se utilizzato con la federazione delle identità per la forza lavoro, la ricerca Gemini Enterprise non fa distinzione tra maiuscole e minuscole. Ciò significa che sia i dati importati sia le query di ricerca vengono normalizzati in minuscolo. Ad esempio, se l'email di mappatura degli attributi di un utente è CloudySanFrancisco@gmail.com e l'accesso ai documenti si basa sull'email cloudysanfrancisco@gmail.com, Gemini Enterprise converte CloudySanFrancisco@gmail.com in cloudysanfrancisco@gmail.com.

Di seguito sono riportati esempi di mappatura degli attributi google.subject e google.groups per i provider di identità di uso comune.

Entra ID con protocollo OIDC
Questo esempio utilizza l'email per identificare in modo univoco gli utenti.

google.subject=assertion.email.lowerAscii()
google.groups=assertion.groups
google.display_name=assertion.given_name

Entra ID con protocollo SAML
Questo esempio utilizza l'ID nome SAML per identificare in modo univoco gli utenti.

google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'][0].lowerAscii()
google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
google.display_name=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname'][0]

Okta con protocollo OIDC
Questo esempio utilizza l'email per identificare in modo univoco gli utenti.
```
google.subject=assertion.email.lowerAscii()
google.groups=assertion.groups
```
Okta con protocollo SAML
Questo esempio utilizza l'asserzione del soggetto del JWT per identificare in modo univoco gli utenti.
```
google.subject=assertion.subject.lowerAscii()
google.groups=assertion.attributes['groups']
```

(Facoltativo) Verifica della configurazione della federazione delle identità per la forza lavoro

Per verificare gli accessi riusciti e la mappatura degli attributi corretta utilizzando la funzionalità di audit log della federazione delle identità per la forza lavoro:

Attiva gli audit log per l'API Security Token Service dell'attività di accesso ai dati.
1. Nella console Google Cloud , vai alla pagina dei log di controllo.
  Vai agli audit log
  
  Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.
2. Seleziona un progetto, una cartella o un'organizzazione Google Cloud esistente.
3. Abilita gli audit log di accesso ai dati.
  1. Consulta la documentazione sulla registrazione per la procedura dettagliata su come attivare gli audit log.
  2. Per l'API Security Token Service, seleziona il tipo di audit log Lettura amministratore. Per ulteriori informazioni, consulta Log di esempio per la federazione delle identità per la forza lavoro.
Attiva la registrazione dettagliata nel pool di forza lavoro. La funzionalità Gruppi estesi della federazione delle identità per la forza lavoro per Microsoft Entra ID non produce informazioni dettagliate sui log di controllo.
1. Vai alla pagina Pool di identità per la forza lavoro:
  
  Vai a Pool di identità per la forza lavoro
2. Nella tabella, seleziona il pool.
3. Fai clic sul pulsante di attivazione/disattivazione Enable detailed audit logging (Attiva il logging dettagliato degli audit) in modo che sia impostato su On.
4. Fai clic su Save pool (Salva pool).
Nella sezione Providers, fai clic sull'Sign in URL (URL di accesso) del tuo provider e accedi alla console Google Cloud come utente del pool di forza lavoro.
Visualizza gli audit log generati al momento dell'accesso.
1. Vai alla pagina Pool di identità per la forza lavoro:
  
  Vai a Pool di identità per la forza lavoro
2. Nella tabella, seleziona il pool a cui hai eseguito l'accesso.
3. Fai clic su View (Visualizza) accanto a Logs (Log).
4. Nella pagina degli audit log, cancella il filtro protoPayload.resourceName dalla query.
5. Fai clic su Esegui query.
Controlla gli audit log per trovare una voce con il metodo google.identity.sts.SecurityTokenService.WebSignIn che corrisponde al timestamp di accesso.
Verifica che il campo metadata.mapped_attributes nel log corrisponda all'attributo che hai utilizzato durante la configurazione della federazione delle identità per la forza lavoro per i provider di identità di terze parti.

Ad esempio:
```
"metadata": {
  "mapped_attributes": {
    "attributes.as_user_identifier_1": "alex@admin.altostrat.com"
    "google.subject": "alex@altostrat.com"
    "google.groups": "[123abc-456d, efg-h789-ijk]"
  }
},
```

Limitazioni

Quando colleghi le origini dati utilizzando un connettore per creare datastore, si applicano le seguenti limitazioni:

Sono consentiti 3000 lettori per documento. Ogni entità viene conteggiata come lettore, dove un'entità può essere un gruppo o un singolo utente.
Puoi selezionare un tipo di provider di identità per ogni località supportata in Gemini Enterprise.
Se le impostazioni del provider di identità vengono aggiornate modificando il tipo di provider di identità o il pool di forza lavoro, i datastore esistenti non verranno aggiornati automaticamente con le nuove impostazioni. Devi eliminare e ricreare questi datastore per applicare le nuove impostazioni dell'identità.
Per impostare un'origine dati come controllata dall'accesso, devi selezionare questa impostazione durante la creazione del datastore. Non puoi attivare o disattivare questa impostazione per un datastore esistente.
Per visualizzare l'anteprima dei risultati dell'interfaccia utente per le app di ricerca che utilizzano il controllo dell'accesso di terze parti, devi accedere alla console federata o utilizzare l'app web. Consulta Visualizzare l'anteprima dell'app.

Connettersi al provider di identità

La sezione seguente descrive come connettersi al tuo provider di identità utilizzando la consoleGoogle Cloud .

Prima di iniziare

Prima di connettere il provider di identità:

Concedi le autorizzazioni agli amministratori.
Se stai connettendo un provider di identità di terze parti, configura la federazione delle identità per la forza lavoro.

Connetti il provider di identità

Per specificare un provider di identità per Gemini Enterprise e attivare il controllo dell'accesso dell'accesso all'origine dati:

Nella console Google Cloud , vai alla pagina Gemini Enterprise.

Gemini Enterprise
Fai clic su Settings (Impostazioni) > Authentication (Autenticazione).
Fai clic su Add identity provider (Aggiungi provider di identità) per la sede che vuoi aggiornare.
Fai clic su Add identity provider (Aggiungi provider di identità) e seleziona il tipo di provider di identità.
Se selezioni 3rd party identity (Identità di terze parti), devi anche selezionare il pool di forza lavoro che si applica alle tue origini dati.
Fai clic su Salva modifiche.

Concedi autorizzazioni agli utenti

Gli utenti devono disporre del ruolo Utente Discovery Engine (roles/discoveryengine.user) per accedere, gestire e condividere le app.

Tipo di provider di identità Descrizione

Tipo di provider di identità	Descrizione
Google Identity	Se utilizzi Google Identity, Google consiglia di creare un gruppo Google che includa tutti i dipendenti che utilizzano l'app. Se sei un amministratore di Google Workspace, puoi includere tutti gli utenti di un'organizzazione in un gruppo Google seguendo i passaggi descritti in Aggiungere tutti gli utenti dell'organizzazione a un gruppo. Concedi agli utenti il ruolo Discovery Engine User (`roles/discoveryengine.user`). Per ulteriori informazioni sull'aggiunta del ruolo, vedi Concedere autorizzazioni agli utenti.
Provider di identità di terze parti	Concedi il ruolo Discovery Engine User (`roles/discoveryengine.user`) ai tuoi utenti e agli utenti del pool di forza lavoro nelle policy IAM. Per ulteriori informazioni sull'aggiunta del ruolo, vedi Concedere autorizzazioni agli utenti. Google consiglia di configurare le attestazioni dei gruppi per le identità di terze parti.

Google Identity

Se utilizzi Google Identity, Google consiglia di creare un gruppo Google che includa tutti i dipendenti che utilizzano l'app.
Se sei un amministratore di Google Workspace, puoi includere tutti gli utenti di un'organizzazione in un gruppo Google seguendo i passaggi descritti in Aggiungere tutti gli utenti dell'organizzazione a un gruppo.
Concedi agli utenti il ruolo Discovery Engine User (roles/discoveryengine.user). Per ulteriori informazioni sull'aggiunta del ruolo, vedi Concedere autorizzazioni agli utenti.

Provider di identità di terze parti

Concedi il ruolo Discovery Engine User (roles/discoveryengine.user) ai tuoi utenti e agli utenti del pool di forza lavoro nelle policy IAM. Per ulteriori informazioni sull'aggiunta del ruolo, vedi Concedere autorizzazioni agli utenti.
Google consiglia di configurare le attestazioni dei gruppi per le identità di terze parti.

Passaggi successivi

Se hai datastore Cloud Storage o BigQuery e vuoi applicare il controllo dell'accesso ai dati, devi configurare i controlli dell'accesso per le origini dati personalizzate.
Se ti connetti alla tua origine dati personalizzata, scopri come configurare le identità esterne.
Visualizza l'anteprima dell'app.
Quando l'app è pronta per essere condivisa con gli utenti, puoi attivarla e condividere l'URL con loro. Gli utenti devono accedere prima di poter accedere all'app. Per ulteriori informazioni, consulta Visualizzare l'app web di ricerca.