이 페이지는 Cloud Translation API를 통해 번역되었습니다.

ID 공급업체 구성

데이터 소스 액세스 제어를 적용하고 Gemini Enterprise에서 데이터를 보호하려면 ID 공급업체를 구성해야 합니다. 여기에는 ID 공급업체를 설정하고 데이터 소스의 권한을 관리하는 작업이 포함됩니다. Google은 ID 공급업체를 사용하여 검색을 수행하는 최종 사용자를 식별하고 결과로 반환되는 문서에 액세스할 수 있는지 확인합니다.

ID 공급업체 유형 선택

선택하는 ID 제공업체의 유형은 Gemini Enterprise 앱에 연결된 데이터 소스에 따라 다릅니다. Gemini Enterprise는 다음 옵션을 지원합니다.

ID 공급업체 유형	사용 시기
Google Identity	Gemini Enterprise를 Google Workspace 데이터 소스에 연결할 때는 Google ID를 사용해야 합니다. Google ID를 구성하기 전에 조직에서 사용하는 고유 사용자 속성(일반적으로 사용자의 이메일)을 확인해야 합니다. 사용자에게 이메일 주소가 두 개 이상 있는 경우 이메일 별칭을 추가해야 합니다.
타사 ID 공급업체	Gemini Enterprise를 서드 파티 데이터 소스에만 연결하고 Microsoft Entra ID, Active Directory Federation Services(AD FS), Okta 등과 같이 OIDC 또는 SAML 2.0을 지원하는 서드 파티 ID 공급업체를 이미 사용하고 있는 경우 직원 ID 제휴를 사용해야 합니다. 자세한 내용은 직원 ID 제휴를 참고하세요. 직원 ID 제휴를 구성하기 전에 조직에서 사용하는 고유한 사용자 속성을 확인해야 하며 이러한 속성은 직원 ID 제휴와 매핑되어야 합니다.

ID 공급업체 유형

사용 시기

Google Identity

Gemini Enterprise를 Google Workspace 데이터 소스에 연결할 때는 Google ID를 사용해야 합니다.

Google ID를 구성하기 전에 조직에서 사용하는 고유 사용자 속성(일반적으로 사용자의 이메일)을 확인해야 합니다. 사용자에게 이메일 주소가 두 개 이상 있는 경우 이메일 별칭을 추가해야 합니다.

타사 ID 공급업체

Gemini Enterprise를 서드 파티 데이터 소스에만 연결하고 Microsoft Entra ID, Active Directory Federation Services(AD FS), Okta 등과 같이 OIDC 또는 SAML 2.0을 지원하는 서드 파티 ID 공급업체를 이미 사용하고 있는 경우 직원 ID 제휴를 사용해야 합니다. 자세한 내용은 직원 ID 제휴를 참고하세요.

직원 ID 제휴를 구성하기 전에 조직에서 사용하는 고유한 사용자 속성을 확인해야 하며 이러한 속성은 직원 ID 제휴와 매핑되어야 합니다.

서드 파티 ID 공급업체의 직원 ID 제휴

이 섹션에서는 서드 파티 ID 공급업체에 직원 ID 제휴를 구성하는 방법을 설명합니다. 필요에 따라 직원 ID 제휴 설정이 예상대로 작동하는지 확인할 수 있습니다.

직원 ID 제휴 구성

서드 파티 ID 커넥터로 직원 ID 제휴를 구성하는 방법에 관한 자세한 내용은 다음 리소스를 참고하세요.

ID 공급업체	리소스
Entra ID	참고: SharePoint, OneDrive, Outlook과 같은 Microsoft 데이터 소스에 연결하고 Microsoft Entra 그룹을 사용하여 문서 액세스를 제어하는 경우 Entra ID로 직원 ID 제휴를 설정해야 합니다. Entra ID와 함께 싱글 사인온(SSO)에 다른 ID 공급업체를 사용하는 경우에도 필요합니다. Microsoft Entra ID로 직원 ID 제휴 구성 및 사용자 로그인 Microsoft Entra ID 및 많은 수의 그룹으로 직원 ID 제휴 구성
Okta	Okta로 직원 ID 제휴 구성 및 사용자 로그인
OIDC 또는 SAML 2.0	OIDC 또는 SAML 2.0을 지원하는 ID 공급업체(IdP)를 통해 직원 ID 제휴 구성

속성 매핑 구성

속성 매핑을 사용하면 직원 ID 제휴를 통해 서드 파티 ID 정보를 Google에 연결할 수 있습니다.

직원 ID 제휴에서 속성 매핑을 구성할 때는 다음 사항을 고려하세요.

google.subject 속성은 서드 파티 데이터 소스에서 최종 사용자를 고유하게 식별하는 필드에 매핑되어야 합니다. 예를 들어 이메일, 주 구성원 이름, 사용자 ID 또는 직원 ID가 있습니다.
조직에 고유 식별자가 두 개 이상 있는 경우 attribute.as_user_identifier_number between 1 and 50 속성을 사용하여 이러한 고유 조직 속성을 매핑합니다.

예를 들어 조직에서 여러 애플리케이션에 걸쳐 이메일과 주 구성원 이름을 모두 사용자 식별자로 사용하고 주 구성원 이름이 서드 파티 ID 공급업체에서 preferred_username으로 설정된 경우 직원 ID 제휴 속성 매핑(예: attribute.as_user_identifier_1=assertion.preferred_username)을 사용하여 Gemini Enterprise에 매핑할 수 있습니다.
속성 매핑 구성에 lowerAscii()를 추가하여 속성에 소문자 값을 사용합니다. 직원 ID 제휴와 함께 사용하면 Gemini Enterprise 검색은 대소문자를 구분하지 않습니다. 즉, 수집된 데이터와 검색어가 모두 소문자로 정규화됩니다. 예를 들어 사용자의 속성 매핑 이메일이 CloudySanFrancisco@gmail.com이고 문서 액세스가 이메일 cloudysanfrancisco@gmail.com을 기반으로 하는 경우 Gemini Enterprise는 CloudySanFrancisco@gmail.com을 cloudysanfrancisco@gmail.com으로 변환합니다.

일반적으로 사용되는 ID 공급업체의 google.subject 및 google.groups 속성 매핑의 예는 다음과 같습니다.

OIDC 프로토콜을 사용하는 Entra ID
이 예에서는 이메일을 사용하여 사용자를 고유하게 식별합니다.
```
google.subject=assertion.email.lowerAscii()
google.groups=assertion.groups
google.display_name=assertion.given_name
```

SAML 프로토콜을 사용하는 Entra ID
이 예에서는 SAML 이름 ID를 사용하여 사용자를 고유하게 식별합니다.

google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'][0].lowerAscii()
google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
google.display_name=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname'][0]

OIDC 프로토콜을 사용하는 Okta
이 예에서는 이메일을 사용하여 사용자를 고유하게 식별합니다.
```
google.subject=assertion.email.lowerAscii()
google.groups=assertion.groups
```
SAML 프로토콜을 사용하는 Okta
이 예에서는 JWT의 주체 어설션을 사용하여 사용자를 고유하게 식별합니다.
```
google.subject=assertion.subject.lowerAscii()
google.groups=assertion.attributes['groups']
```

선택사항: 직원 ID 제휴 설정 확인

직원 ID 제휴 감사 로깅 기능을 사용하여 로그인 성공 여부와 올바른 속성 매핑을 확인하려면 다음 단계를 따르세요.

데이터 액세스 활동의 Security Token Service API에 대한 감사 로그를 사용 설정합니다.
1. Google Cloud 콘솔에서 감사 로그 페이지로 이동합니다.
  감사 로그로 이동
  
  검색창을 사용하여 이 페이지를 찾은 경우 부제목이 IAM 및 관리자인 결과를 선택합니다.
2. 기존 Google Cloud 프로젝트, 폴더 또는 조직을 선택합니다.
3. 데이터 액세스 감사 로그를 사용 설정합니다.
  1. 감사 로그를 사용 설정하는 방법에 관한 자세한 단계는 Logging 문서를 참고하세요.
  2. 보안 토큰 서비스 API의 경우 관리자 읽기 감사 로그 유형을 선택합니다. 자세한 내용은 직원 ID 제휴 로그 예시를 참고하세요.
직원 풀에서 상세 로깅을 사용 설정합니다. Microsoft Entra ID의 직원 ID 제휴 확장 그룹 기능은 자세한 감사 로깅 정보를 생성하지 않습니다.
1. 직원 ID 풀 페이지로 이동합니다.
  
  직원 ID 풀로 이동
2. 테이블에서 풀을 선택합니다.
3. 상세 감사 로깅 사용 설정 전환 버튼을 클릭하여 사용 위치로 전환합니다.
4. 풀 저장을 클릭합니다.
제공업체 섹션에서 제공업체의 로그인 URL을 클릭하고 직원 풀 사용자로 Google Cloud 콘솔에 로그인합니다.
로그인할 때 생성된 감사 로그를 확인합니다.
1. 직원 ID 풀 페이지로 이동합니다.
  
  직원 ID 풀로 이동
2. 테이블에서 로그인한 풀을 선택합니다.
3. 로그 옆에 있는 보기를 클릭합니다.
4. 감사 로그 페이지의 쿼리에서 protoPayload.resourceName 필터를 지웁니다.
5. 쿼리 실행을 클릭합니다.
감사 로그에서 로그인 타임스탬프와 일치하는 google.identity.sts.SecurityTokenService.WebSignIn 메서드가 있는 항목을 확인합니다.

로그의 metadata.mapped_attributes 필드가 서드 파티 ID 공급업체의 직원 ID 제휴를 구성할 때 사용한 속성과 일치하는지 확인합니다.

예를 들면 다음과 같습니다.

"metadata": {
  "mapped_attributes": {
    "attributes.as_user_identifier_1": "alex@admin.altostrat.com"
    "google.subject": "alex@altostrat.com"
    "google.groups": "[123abc-456d, efg-h789-ijk]"
  }
},

제한사항

커넥터를 사용해 데이터 소스를 연결하여 데이터 스토어를 만들 때 다음 제한사항이 적용됩니다.

문서당 3,000명의 독자가 허용됩니다. 각 주 구성원은 그룹 또는 개별 사용자일 수 있으며 독자로 간주됩니다.
Gemini Enterprise에서 지원하는 위치당 하나의 ID 공급업체 유형을 선택할 수 있습니다.
ID 공급업체 유형 또는 직원 풀을 변경하여 ID 공급업체 설정을 업데이트하면 기존 데이터 스토어가 새 설정으로 자동 업데이트되지 않습니다. 새 ID 설정을 적용하려면 이러한 데이터 스토어를 삭제하고 다시 만들어야 합니다.
데이터 소스를 액세스 제어됨 상태로 설정하려면 데이터 스토어를 만들 때 이 설정을 선택해야 합니다. 기존 데이터 스토어의 경우 이 설정을 사용 또는 사용 중지할 수 없습니다.
서드 파티 액세스 제어를 사용하는 검색 앱의 UI 결과를 미리보려면 제휴 콘솔에 로그인하거나 웹 앱을 사용해야 합니다. 앱 미리보기를 참고하세요.

ID 공급업체에 연결

다음 섹션에서는Google Cloud 콘솔을 사용하여 ID 공급업체에 연결하는 방법을 설명합니다.

시작하기 전에

ID 공급업체를 연결하기 전에 다음을 수행합니다.

관리자에게 권한을 부여합니다.
서드 파티 ID 공급업체를 연결하는 경우 직원 ID 제휴를 구성합니다.

ID 공급업체 연결

Gemini Enterprise의 ID 공급업체를 지정하고 데이터 소스 액세스 제어를 사용 설정하려면 다음 단계를 따르세요.

Google Cloud 콘솔에서 Gemini Enterprise 페이지로 이동합니다.

Gemini Enterprise
설정 > 인증을 클릭합니다.
업데이트할 위치에 대해 ID 공급업체 추가를 클릭합니다.
ID 공급업체 추가를 클릭하고 ID 공급업체 유형을 선택합니다.
서드 파티 ID를 선택하는 경우 데이터 소스에 적용되는 직원 풀도 선택해야 합니다.
변경사항 저장을 클릭합니다.

사용자에게 권한 부여

앱에 액세스하고, 앱을 관리하고, 앱을 공유하려면 검색 엔진 사용자(roles/discoveryengine.user) 역할이 필요합니다.

ID 공급업체 유형 설명

ID 공급업체 유형	설명
Google Identity	Google ID를 사용하는 경우 앱을 사용하는 모든 직원을 포함하는 Google 그룹을 만드는 것이 좋습니다. Google Workspace 관리자는 조직의 모든 사용자를 하나의 그룹에 추가하기의 단계에 따라 조직의 모든 사용자를 Google 그룹에 포함할 수 있습니다. 사용자에게 검색 엔진 사용자(`roles/discoveryengine.user`) 역할을 부여합니다. 역할 추가에 대한 자세한 내용은 사용자에게 권한 부여를 참고하세요.
타사 ID 공급업체	사용자 및 IAM 정책의 직원 풀 사용자에게 검색 엔진 사용자(`roles/discoveryengine.user`) 역할을 부여합니다. 역할 추가에 대한 자세한 내용은 사용자에게 권한 부여를 참고하세요. Google에서는 서드 파티 ID에 대해 그룹 클레임을 구성할 것을 권장합니다.

Google Identity

Google ID를 사용하는 경우 앱을 사용하는 모든 직원을 포함하는 Google 그룹을 만드는 것이 좋습니다.
Google Workspace 관리자는 조직의 모든 사용자를 하나의 그룹에 추가하기의 단계에 따라 조직의 모든 사용자를 Google 그룹에 포함할 수 있습니다.
사용자에게 검색 엔진 사용자(roles/discoveryengine.user) 역할을 부여합니다. 역할 추가에 대한 자세한 내용은 사용자에게 권한 부여를 참고하세요.

타사 ID 공급업체

사용자 및 IAM 정책의 직원 풀 사용자에게 검색 엔진 사용자(roles/discoveryengine.user) 역할을 부여합니다. 역할 추가에 대한 자세한 내용은 사용자에게 권한 부여를 참고하세요.
Google에서는 서드 파티 ID에 대해 그룹 클레임을 구성할 것을 권장합니다.

다음 단계

Cloud Storage 또는 BigQuery 데이터 스토어가 있고 데이터에 대한 액세스 제어를 적용하려면 맞춤 데이터 소스에 대해 액세스 제어를 구성해야 합니다.
자체 커스텀 데이터 소스에 연결하는 경우 외부 ID를 설정하는 방법을 알아보세요.
앱을 미리봅니다.
사용자와 앱을 공유할 준비가 되면 앱을 사용 설정하고 사용자에게 URL을 공유합니다. 사용자가 앱에 액세스하려면 먼저 로그인해야 합니다. 자세한 내용은 검색 웹 앱 보기를 참고하세요.