このページは Cloud Translation API によって翻訳されました。

ID プロバイダを構成する

Gemini Enterprise でデータソースのアクセス制御を適用してデータを保護するには、ID プロバイダを構成する必要があります。これには、ID プロバイダの設定とデータソースの権限の管理が含まれます。 Google は ID プロバイダを使って、検索を実行しているエンドユーザーを特定し、結果として返されるドキュメントへのアクセス権があるかどうかを判断します。

ID プロバイダのタイプを選択する

選択する ID プロバイダのタイプは、Gemini Enterprise アプリに接続されているデータソースによって異なります。Gemini Enterprise は次のオプションをサポートしています。

ID プロバイダのタイプ	使用する状況
Google Identity	Gemini Enterprise を Google Workspace データソースに接続する場合は、Google Identity を使用する必要があります。 Google ID を構成する前に、組織で使用する一意のユーザー属性（通常はユーザーのメールアドレス）を特定する必要があります。ユーザーが複数のメールアドレスを持っている場合は、メールエイリアスを追加する必要があります。
サードパーティの ID プロバイダ	Gemini Enterprise をサードパーティのデータソースにのみ接続し、Microsoft Entra ID、Active Directory フェデレーションサービス（ADFS）、Okta などの OIDC または SAML 2.0 をサポートするサードパーティの ID プロバイダをすでに使用している場合は、Workforce Identity 連携を使用する必要があります。詳細については、Workforce Identity 連携をご覧ください。 Workforce Identity 連携を構成する前に、組織で使用される一意のユーザー属性を特定する必要があります。これらの属性は、Workforce Identity 連携にマッピングする必要があります。

ID プロバイダのタイプ

使用する状況

Google Identity

Gemini Enterprise を Google Workspace データソースに接続する場合は、Google Identity を使用する必要があります。

Google ID を構成する前に、組織で使用する一意のユーザー属性（通常はユーザーのメールアドレス）を特定する必要があります。ユーザーが複数のメールアドレスを持っている場合は、メールエイリアスを追加する必要があります。

サードパーティの ID プロバイダ

Gemini Enterprise をサードパーティのデータソースにのみ接続し、Microsoft Entra ID、Active Directory フェデレーションサービス（ADFS）、Okta などの OIDC または SAML 2.0 をサポートするサードパーティの ID プロバイダをすでに使用している場合は、Workforce Identity 連携を使用する必要があります。詳細については、Workforce Identity 連携をご覧ください。

Workforce Identity 連携を構成する前に、組織で使用される一意のユーザー属性を特定する必要があります。これらの属性は、Workforce Identity 連携にマッピングする必要があります。

サードパーティの ID プロバイダ用の Workforce Identity 連携

このセクションでは、サードパーティの ID プロバイダ用に Workforce Identity 連携を構成する方法について説明します。必要に応じて、Workforce Identity 連携の設定が予期したとおりに機能しているかどうかを確認できます。

Workforce Identity 連携を構成する

サードパーティの ID コネクタを使用して Workforce Identity 連携を構成する方法については、次のリソースをご覧ください。

ID プロバイダ	リソース
Entra ID	注: SharePoint、OneDrive、Outlook などの Microsoft データソースに接続し、Microsoft Entra グループを使用してドキュメントへのアクセスを制御する場合は、Entra ID で Workforce Identity 連携を設定する必要があります。Entra ID によるシングルサインオン（SSO）に別の ID プロバイダを使用する場合でも、この設定は必須です。 Microsoft Entra ID との Workforce Identity 連携を構成してユーザーログインを行う Microsoft Entra ID と多数のグループを使用して Workforce Identity 連携を構成する
Okta	Okta との Workforce Identity 連携を構成してユーザーログインを行う
OIDC または SAML 2.0	OIDC または SAML 2.0 をサポートする ID プロバイダ（IdP）との Workforce Identity 連携を構成する

属性マッピングを構成する

属性マッピングを使用すると、Workforce Identity 連携を使用してサードパーティの ID 情報を Google に接続できます。

Workforce Identity 連携で属性マッピングを構成する場合は、次の点を考慮してください。

google.subject 属性は、サードパーティのデータソースでエンドユーザーを一意に識別するフィールドにマッピングする必要があります。たとえば、メール、プリンシパル名、ユーザー ID、従業員 ID など。
組織に複数の一意の ID がある場合は、attribute.as_user_identifier_number between 1 and 50 属性を使用してこれらの一意の組織属性をマッピングします。

たとえば、組織でメールとプリンシパル名の両方を異なるアプリケーション間でユーザー ID として使用し、プリンシパル名がサードパーティの ID プロバイダで preferred_username として設定されている場合は、Workforce Identity 連携の属性マッピング（attribute.as_user_identifier_1=assertion.preferred_username など）を使用して Gemini Enterprise にマッピングできます。
属性マッピング構成に lowerAscii() を追加して、属性に小文字の値を使用します。Workforce Identity 連携で使用する場合、Gemini Enterprise 検索では大文字と小文字が区別されません。つまり、取り込まれたデータと検索クエリの両方が小文字に正規化されます。たとえば、ユーザーの属性マッピングメールが CloudySanFrancisco@gmail.com で、ドキュメントアクセスがメール cloudysanfrancisco@gmail.com に基づいている場合、Gemini Enterprise は CloudySanFrancisco@gmail.com を cloudysanfrancisco@gmail.com に変換します。

次に、よく使用される ID プロバイダの google.subject 属性と google.groups 属性のマッピングの例を示します。

OIDC プロトコルを使用した Entra ID
この例では、メールアドレスを使用してユーザーを一意に識別します。
```
google.subject=assertion.email.lowerAscii()
google.groups=assertion.groups
google.display_name=assertion.given_name
```

SAML プロトコルを使用した Entra ID
この例では、SAML 名 ID を使用してユーザーを一意に識別します。

google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'][0].lowerAscii()
google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
google.display_name=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname'][0]

OIDC プロトコルを使用した Okta
この例では、メールアドレスを使用してユーザーを一意に識別します。
```
google.subject=assertion.email.lowerAscii()
google.groups=assertion.groups
```
SAML プロトコルを使用した Okta
この例では、JWT のサブジェクトアサーションを使用してユーザーを一意に識別します。
```
google.subject=assertion.subject.lowerAscii()
google.groups=assertion.attributes['groups']
```

省略可: Workforce Identity 連携の設定を確認する

Workforce Identity 連携の監査ロギング機能を使用して、ログインの成功と正しい属性マッピングを確認するには、次の操作を行います。

データアクセスアクティビティの Security Token Service API の監査ログを有効にします。
1. Google Cloud コンソールで、[監査ログ] ページに移動します。
  監査ログに移動
  
  このページを検索バーで検索する場合は、小見出しが「IAM と管理」の結果を選択します。
2. 既存の Google Cloud プロジェクト、フォルダ、または組織を選択します。
3. データアクセス監査ログを有効にします。
  1. 監査ログを有効にする方法の詳細な手順については、Logging のドキュメントをご覧ください。
  2. Security Token Service API で、管理読み取りの監査ログタイプを選択します。詳細については、Workforce Identity 連携のログの例をご覧ください。
Workforce プールで詳細なロギングを有効にします。Microsoft Entra ID の Workforce Identity 連携拡張グループ機能では、詳細な監査ロギング情報は生成されません。
1. [Workforce Identity プール] ページに移動します。
  
  [Workforce Identity プール] に移動
2. テーブルでプールを選択します。
3. [詳細な監査ロギングを有効にする] 切り替えボタンをクリックしてオンにします。
4. [Save Pool] をクリックします。
[プロバイダ] セクションで、プロバイダの [ログイン URL] をクリックし、Workforce プールのユーザーとして Google Cloud コンソールにログインします。
ログイン時に生成された監査ログを確認します。
1. [Workforce Identity プール] ページに移動します。
  
  [Workforce Identity プール] に移動
2. テーブルで、ログインしたプールを選択します。
3. [ログ] の横にある [表示] をクリックします。
4. 監査ログページで、クエリから protoPayload.resourceName フィルタをクリアします。
5. [クエリを実行] をクリックします。
監査ログで、ログインタイムスタンプと一致する google.identity.sts.SecurityTokenService.WebSignIn メソッドを含むエントリを確認します。
ログの metadata.mapped_attributes フィールドが、サードパーティの ID プロバイダの Workforce Identity 連携を構成するときに使用した属性と一致していることを確認します。

次に例を示します。
```
"metadata": {
  "mapped_attributes": {
    "attributes.as_user_identifier_1": "alex@admin.altostrat.com"
    "google.subject": "alex@altostrat.com"
    "google.groups": "[123abc-456d, efg-h789-ijk]"
  }
},
```

制限事項

コネクタを使用してデータソースを接続し、データストアを作成する場合、次の制限が適用されます。

ドキュメントごとに許可される閲覧者は 3,000 人です。各プリンシパルは閲覧者としてカウントされます。プリンシパルはグループユーザーまたは個々のユーザーです。
Gemini Enterprise でサポートされているロケーションごとに、ID プロバイダのタイプを 1 つ選択できます。
ID プロバイダのタイプまたは Workforce プールを変更して ID プロバイダの設定を更新しても、既存のデータストアが新しい設定に自動的に更新されることはありません。新しい ID 設定を適用するには、これらのデータストアを削除して再作成する必要があります。
データソースをアクセス制御対象として設定するには、データストアの作成時にこの設定を選択する必要があります。既存のデータストアでこの設定をオンまたはオフにすることはできません。
サードパーティのアクセス制御を使用する検索アプリの UI 結果をプレビューするには、連携コンソールにログインするか、ウェブアプリを使用する必要があります。アプリをプレビューするをご覧ください。

ID プロバイダに接続する

次のセクションでは、Google Cloud コンソールを使用して ID プロバイダに接続する方法について説明します。

始める前に

ID プロバイダを接続する前に、次の操作を行います。

管理者に権限を付与します。
サードパーティの ID プロバイダを接続する場合は、Workforce Identity 連携を構成します。

ID プロバイダを接続する

Gemini Enterprise の ID プロバイダを指定してデータソースのアクセス制御を有効にする手順は次のとおりです。

Google Cloud コンソールで、[Gemini Enterprise] ページに移動します。

Gemini Enterprise
[設定] > [認証] をクリックします。
更新するロケーションの [ID プロバイダを追加] をクリックします。
[ID プロバイダを追加] をクリックして、ID プロバイダのタイプを選択します。
[サードパーティ ID] を選択した場合は、データソースに適用する Workforce プールも選択する必要があります。
[変更を保存] をクリックします。

ユーザーに権限を付与する

アプリにアクセスして管理し、共有するには、ディスカバリーエンジンユーザー（roles/discoveryengine.user）ロールが必要です。

ID プロバイダのタイプ説明

ID プロバイダのタイプ	説明
Google Identity	Google Identity を使用している場合は、アプリを使用するすべての従業員を含む Google グループを作成することをおすすめします。 Google Workspace 管理者の場合は、組織のすべてのユーザーをグループに追加するの手順に沿って、組織内のすべてのユーザーを Google グループに含めることができます。ユーザーにディスカバリーエンジンユーザー（`roles/discoveryengine.user`）ロールを付与します。ロールの追加の詳細については、ユーザーに権限を付与するをご覧ください。
サードパーティの ID プロバイダ	ユーザーと IAM ポリシーの Workforce プールユーザーにディスカバリーエンジンユーザー（`roles/discoveryengine.user`）ロールを付与します。ロールの追加の詳細については、ユーザーに権限を付与するをご覧ください。サードパーティの ID のグループクレームを構成することをおすすめします。

Google Identity

Google Identity を使用している場合は、アプリを使用するすべての従業員を含む Google グループを作成することをおすすめします。
Google Workspace 管理者の場合は、組織のすべてのユーザーをグループに追加するの手順に沿って、組織内のすべてのユーザーを Google グループに含めることができます。
ユーザーにディスカバリーエンジンユーザー（roles/discoveryengine.user）ロールを付与します。ロールの追加の詳細については、ユーザーに権限を付与するをご覧ください。

サードパーティの ID プロバイダ

ユーザーと IAM ポリシーの Workforce プールユーザーにディスカバリーエンジンユーザー（roles/discoveryengine.user）ロールを付与します。ロールの追加の詳細については、ユーザーに権限を付与するをご覧ください。
サードパーティの ID のグループクレームを構成することをおすすめします。

次のステップ

Cloud Storage または BigQuery のデータストアがある場合に、データに対するアクセス制御を適用するには、カスタムデータソースのアクセス制御を構成する必要があります。
独自のカスタムデータソースに接続する場合は、外部 ID を設定する方法を確認してください。
アプリをプレビューします。
アプリをユーザーと共有する準備ができたら、アプリをオンにして、URL をユーザーと共有します。ユーザーは、アプリにアクセスする前にログインする必要があります。詳細については、検索ウェブアプリを表示するをご覧ください。