Esta página foi traduzida pela API Cloud Translation.

Configure o Fornecedor de identidade

Para aplicar o controlo de acesso à origem de dados e proteger os dados no Gemini Enterprise, tem de configurar um fornecedor de identidade. Isto envolve a configuração do fornecedor de identidade e a gestão das autorizações para as suas origens de dados. A Google usa o seu fornecedor de identidade para identificar o utilizador final que está a fazer uma pesquisa e determinar se tem acesso aos documentos devolvidos como resultados.

Escolha o tipo de fornecedor de identidade

O tipo de fornecedor de identidade que escolher depende das origens de dados associadas à sua app Gemini Enterprise. O Gemini Enterprise suporta as seguintes opções:

Tipo de fornecedor de identidade	Quando usar
Google Identity	Quando associa o Gemini Enterprise a origens de dados do Google Workspace, tem de usar a Identidade Google. Antes de configurar a identidade Google, tem de determinar o atributo de utilizador exclusivo usado pela sua organização, normalmente o email do utilizador. Se os utilizadores tiverem mais do que um endereço de email, tem de adicionar um alias do email.
Fornecedor de identidade de terceiros	Quando associa o Gemini Enterprise apenas a origens de dados de terceiros, e já está a usar um fornecedor de identidade de terceiros que suporta OIDC ou SAML 2.0, como o Microsoft Entra ID, os Active Directory Federation Services (AD FS), o Okta e outros, tem de usar a Workforce Identity Federation. Para mais informações, consulte o artigo Federação de identidades da força de trabalho. Antes de configurar a federação de identidades da força de trabalho, tem de determinar os atributos de utilizador exclusivos usados pela sua organização, e estes atributos têm de ser mapeados com a federação de identidades da força de trabalho.

Tipo de fornecedor de identidade

Quando usar

Google Identity

Quando associa o Gemini Enterprise a origens de dados do Google Workspace, tem de usar a Identidade Google.

Antes de configurar a identidade Google, tem de determinar o atributo de utilizador exclusivo usado pela sua organização, normalmente o email do utilizador. Se os utilizadores tiverem mais do que um endereço de email, tem de adicionar um alias do email.

Fornecedor de identidade de terceiros

Quando associa o Gemini Enterprise apenas a origens de dados de terceiros, e já está a usar um fornecedor de identidade de terceiros que suporta OIDC ou SAML 2.0, como o Microsoft Entra ID, os Active Directory Federation Services (AD FS), o Okta e outros, tem de usar a Workforce Identity Federation. Para mais informações, consulte o artigo Federação de identidades da força de trabalho.

Antes de configurar a federação de identidades da força de trabalho, tem de determinar os atributos de utilizador exclusivos usados pela sua organização, e estes atributos têm de ser mapeados com a federação de identidades da força de trabalho.

Federação de identidade da força de trabalho para fornecedores de identidade de terceiros

Esta secção descreve como configurar a federação de identidade da força de trabalho para fornecedores de identidade de terceiros. Opcionalmente, pode verificar se a configuração da federação de identidade da força de trabalho funciona como esperado.

Configure a federação de identidade da força de trabalho

Para ver detalhes sobre a configuração da Workforce Identity Federation com o seu conector de identidade de terceiros, consulte os seguintes recursos:

Fornecedor de identidade	Recursos
Entra ID	Nota: se estiver a estabelecer ligação a uma origem de dados da Microsoft, como o SharePoint, o OneDrive e o Outlook, e a usar grupos do Microsoft Entra para controlar o acesso a documentos, tem de configurar a federação de identidades da força de trabalho com o Entra ID. Isto é necessário mesmo que use um fornecedor de identidade diferente para o início de sessão único (SSO) com o Entra ID. Configure a federação de identidades da força de trabalho com o Microsoft Entra ID e inicie sessão nos utilizadores Configure a federação de identidade da força de trabalho com o Microsoft Entra ID e um grande número de grupos
Okta	Configure a federação de identidades da força de trabalho com o Okta e inicie sessão nos utilizadores
OIDC ou SAML 2.0	Configure a federação de identidades da força de trabalho com um fornecedor de identidade (IdP) que suporte OIDC ou SAML 2.0

Configure o mapeamento de atributos

O mapeamento de atributos ajuda a associar as suas informações de identidade de terceiros à Google através da federação de identidades da força de trabalho.

Ao configurar o mapeamento de atributos na federação de identidade da força de trabalho, tenha em atenção o seguinte:

O atributo google.subject tem de ser mapeado para o campo que identifica de forma exclusiva os utilizadores finais em origens de dados de terceiros. Por exemplo, email, nome principal, ID do utilizador ou ID do funcionário.
Se a sua organização tiver mais do que um identificador único, mapeie estes atributos organizacionais únicos através do atributo attribute.as_user_identifier_number between 1 and 50.

Por exemplo, se a sua organização usar o email e o nome principal como identificadores de utilizadores em diferentes aplicações, e o nome principal estiver definido como o preferred_username no seu fornecedor de identidade de terceiros, pode mapeá-lo para o Gemini Enterprise através do mapeamento de atributos da Workforce Identity Federation (por exemplo, attribute.as_user_identifier_1=assertion.preferred_username).
Use valores em minúsculas para atributos anexando lowerAscii() às configurações de mapeamento de atributos. Quando usado com a federação de identidades da força de trabalho, a Pesquisa Gemini Enterprise não é sensível a maiúsculas e minúsculas. Isto significa que os dados carregados e as consultas de pesquisa são normalizados para letras minúsculas. Por exemplo, se o email de mapeamento de atributos de um utilizador for CloudySanFrancisco@gmail.com e o acesso a documentos se basear no email cloudysanfrancisco@gmail.com, o Gemini Enterprise converte CloudySanFrancisco@gmail.com em cloudysanfrancisco@gmail.com.

Seguem-se exemplos de mapeamentos de atributos google.subject e google.groups para fornecedores de identidade usados frequentemente.

ID do Entra com protocolo OIDC
Este exemplo usa o email para identificar os utilizadores de forma exclusiva.

google.subject=assertion.email.lowerAscii()
google.groups=assertion.groups
google.display_name=assertion.given_name

Entra ID com protocolo SAML
Este exemplo usa o ID do nome SAML para identificar os utilizadores de forma exclusiva.

google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'][0].lowerAscii()
google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
google.display_name=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname'][0]

Okta com protocolo OIDC
Este exemplo usa o email para identificar os utilizadores de forma exclusiva.
```
google.subject=assertion.email.lowerAscii()
google.groups=assertion.groups
```
Okta com protocolo SAML
Este exemplo usa a declaração de assunto do JWT para identificar os utilizadores de forma exclusiva.
```
google.subject=assertion.subject.lowerAscii()
google.groups=assertion.attributes['groups']
```

Opcional: valide a configuração da federação de identidade da força de trabalho

Para validar inícios de sessão bem-sucedidos e o mapeamento de atributos correto através da funcionalidade de registo de auditoria da federação de identidades da força de trabalho, faça o seguinte:

Ative os registos de auditoria para a API Security Token Service da atividade de acesso a dados.
1. Na Google Cloud consola, aceda à página Registos de auditoria:
  Aceda a Registos de auditoria
  
  Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é IAM e administração.
2. Selecione um Google Cloud projeto, uma pasta ou uma organização existente.
3. Ative os registos de auditoria de acesso a dados.
  1. Consulte a documentação de registo para ver os passos detalhados sobre como ativar os registos de auditoria.
  2. Para a API Security Token Service, selecione o tipo de registo de auditoria Admin Read. Para mais informações, consulte os registos de exemplo para a federação de identidades da força de trabalho.
Ative o registo detalhado no seu grupo de trabalhadores. A funcionalidade de grupos alargados da federação de identidades da força de trabalho para o Microsoft Entra ID não produz informações detalhadas de registo de auditoria.
1. Aceda à página Workforce Identity Pools:
  
  Aceda aos Workforce Identity Pools
2. Na tabela, selecione o conjunto.
3. Clique no botão Ativar registo de auditoria detalhado para o ativar.
4. Clique em Guardar conjunto.
Na secção Fornecedores, clique no URL de início de sessão do seu fornecedor e inicie sessão na Google Cloud consola como utilizador do conjunto de trabalhadores.
Ver os registos de auditoria gerados quando iniciou sessão.
1. Aceda à página Workforce Identity Pools:
  
  Aceda aos Workforce Identity Pools
2. Na tabela, selecione o conjunto no qual iniciou sessão.
3. Clique em Ver junto a Registos.
4. Na página do registo de auditoria, limpe o filtro protoPayload.resourceName da consulta.
5. Clique em Executar consulta.
Verifique os registos de auditoria para encontrar uma entrada com o google.identity.sts.SecurityTokenService.WebSignInmétodo que corresponde à data/hora de início de sessão.

Confirme se o campo metadata.mapped_attributes no registo corresponde ao atributo que usou quando configurou a Workforce Identity Federation para fornecedores de identidade de terceiros.

Por exemplo:

"metadata": {
  "mapped_attributes": {
    "attributes.as_user_identifier_1": "alex@admin.altostrat.com"
    "google.subject": "alex@altostrat.com"
    "google.groups": "[123abc-456d, efg-h789-ijk]"
  }
},

Limitações

Quando associa as suas origens de dados através de um conetor para criar armazenamentos de dados, aplicam-se as seguintes limitações:

São permitidos 3000 leitores por documento. Cada principal é contabilizado como um leitor, em que um principal pode ser um grupo ou um utilizador individual.
Pode selecionar um tipo de fornecedor de identidade por localização suportada no Gemini Enterprise.
Se as definições do fornecedor de identidade forem atualizadas alterando o tipo de fornecedor de identidade ou o grupo de trabalhadores, os arquivos de dados existentes não são atualizados automaticamente para as novas definições. Tem de eliminar e recriar estes armazenamentos de dados para aplicar as novas definições de identidade.
Para definir uma origem de dados como controlada por acesso, tem de selecionar esta definição durante a criação do armazenamento de dados. Não pode ativar nem desativar esta definição para um arquivo de dados existente.
Para pré-visualizar os resultados da IU para apps de pesquisa que usam o controlo de acesso de terceiros, tem de iniciar sessão na consola federada ou usar a app Web. Consulte Pré-visualize a sua app.

Estabeleça ligação com o seu Fornecedor de identidade

A secção seguinte descreve como estabelecer ligação ao seu fornecedor de identidade através da consola Google Cloud .

Antes de começar

Antes de associar o fornecedor de identidade, faça o seguinte:

Conceda autorizações aos administradores.
Se estiver a associar um Fornecedor de identidade de terceiros, configure a federação de identidade da força de trabalho.

Associe um Fornecedor de identidade

Para especificar um fornecedor de identidade para o Gemini Enterprise e ativar o controlo de acesso à origem de dados, siga estes passos:

Na Google Cloud consola, aceda à página Gemini Enterprise.

Gemini Enterprise
Clique em Definições > Autenticação.
Clique em Adicionar fornecedor de identidade para a localização que quer atualizar.
Clique em Adicionar fornecedor de identidade e selecione o tipo de fornecedor de identidade.
Se selecionar Identidade de terceiros, também tem de selecionar o conjunto de trabalhadores que se aplica às suas origens de dados.
Clique em Guardar alterações.

Conceda autorizações aos utilizadores

Os utilizadores precisam da função Utilizador do motor de descoberta (roles/discoveryengine.user) para aceder, gerir e partilhar apps.

Tipo de fornecedor de identidade Descrição

Tipo de fornecedor de identidade	Descrição
Google Identity	Se usar a identidade Google, a Google recomenda que crie um grupo Google que inclua todos os funcionários que usam a app. Se for administrador do Google Workspace, pode incluir todos os utilizadores de uma organização num grupo Google seguindo os passos descritos no artigo Adicione todos os utilizadores da sua organização a um grupo. Conceda a função Discovery Engine User (`roles/discoveryengine.user`) aos utilizadores. Para mais informações sobre como adicionar a função, consulte o artigo Conceda autorizações aos seus utilizadores.
Fornecedor de identidade de terceiros	Conceda a função de utilizador do motor de descoberta (`roles/discoveryengine.user`) aos seus utilizadores e utilizadores do conjunto de trabalhadores nas políticas de IAM. Para mais informações sobre como adicionar a função, consulte o artigo Conceda autorizações aos seus utilizadores. A Google recomenda que configure reivindicações de grupos para as suas identidades de terceiros.

Google Identity

Se usar a identidade Google, a Google recomenda que crie um grupo Google que inclua todos os funcionários que usam a app.
Se for administrador do Google Workspace, pode incluir todos os utilizadores de uma organização num grupo Google seguindo os passos descritos no artigo Adicione todos os utilizadores da sua organização a um grupo.
Conceda a função Discovery Engine User (roles/discoveryengine.user) aos utilizadores. Para mais informações sobre como adicionar a função, consulte o artigo Conceda autorizações aos seus utilizadores.

Fornecedor de identidade de terceiros

Conceda a função de utilizador do motor de descoberta (roles/discoveryengine.user) aos seus utilizadores e utilizadores do conjunto de trabalhadores nas políticas de IAM. Para mais informações sobre como adicionar a função, consulte o artigo Conceda autorizações aos seus utilizadores.
A Google recomenda que configure reivindicações de grupos para as suas identidades de terceiros.

O que se segue?

Se tiver arquivos de dados do Cloud Storage ou do BigQuery e quiser aplicar o controlo de acesso aos dados, tem de configurar controlos de acesso para origens de dados personalizadas.
Se fizer a associação à sua própria origem de dados personalizada, saiba como pode configurar identidades externas.
Pré-visualize a sua app.
Quando estiver tudo pronto para partilhar a app com os seus utilizadores, pode ativá-la e partilhar o URL com eles. Os utilizadores têm de iniciar sessão antes de poderem aceder à app. Para mais informações, consulte o artigo Veja a app Web de pesquisa.