Configurar o provedor de identidade

Para aplicar o controle de acesso à fonte de dados e proteger os dados no Gemini Enterprise, configure um provedor de identidade. Isso envolve configurar o provedor de identidade e gerenciar as permissões das fontes de dados. O Google usa seu provedor de identidade para identificar o usuário final que está fazendo uma pesquisa e determinar se ele tem acesso aos documentos retornados como resultados.

Escolher o tipo de provedor de identidade

O tipo de provedor de identidade escolhido depende das fontes de dados conectadas ao app Gemini Enterprise. O Gemini Enterprise oferece suporte às seguintes opções:

Tipo de provedor de identidade	Quando usar
Google Identity	Ao conectar o Gemini Enterprise a fontes de dados do Google Workspace, você precisa usar o Google Identity. Antes de configurar a identidade do Google, determine o atributo de usuário exclusivo usado pela sua organização, geralmente o e-mail do usuário. Se os usuários tiverem mais de um endereço de e-mail, adicione um alias de e-mail.
Provedor de identidade terceirizado	Quando você conecta o Gemini Enterprise apenas a fontes de dados de terceiros e já usa um provedor de identidade de terceiros compatível com OIDC ou SAML 2.0, como o ID do Microsoft Entra, os Serviços de Federação do Active Directory (AD FS), o Okta e outros, é necessário usar a federação de identidade de colaboradores. Saiba mais em federação de identidade de colaboradores. Antes de configurar a federação de identidade de colaboradores, determine os atributos de usuário exclusivos usados pela sua organização, e esses atributos precisam ser mapeados com a federação de identidade de colaboradores.

Federação de identidade de colaboradores para provedores de identidade terceirizados

Nesta seção, descrevemos como configurar a federação de identidade de colaboradores para provedores de identidade de terceiros. Se quiser, verifique se a configuração da federação de identidade de colaboradores está funcionando conforme o esperado.

Configurar a federação de identidade de colaboradores

Para detalhes sobre como configurar a federação de identidade de colaboradores com seu conector de identidade de terceiros, consulte os seguintes recursos:

Provedor de identidade	Recursos
Entra ID	Configurar a federação de identidade de colaboradores com o Microsoft Entra ID e fazer login de usuários Configurar a federação de identidade de colaboradores com o Microsoft Entra ID e um grande número de grupos
Okta	Configurar a federação de identidade da força de trabalho com o Okta e fazer login de usuários
OIDC ou SAML 2.0	Configurar a federação de identidade da força de trabalho com um provedor de identidade (IdP) compatível com OIDC ou SAML 2.0

Configurar o mapeamento de atributos

O mapeamento de atributos ajuda a conectar suas informações de identidade de terceiros ao Google usando a federação de identidade da força de trabalho.

Ao configurar o mapeamento de atributos na federação de identidade de colaboradores, considere o seguinte:

• O atributo google.subject precisa ser mapeado para o campo que identifica de forma exclusiva os usuários finais em fontes de dados de terceiros. Por exemplo, e-mail, nome principal, ID do usuário ou ID do funcionário.

• Se a organização tiver mais de um identificador exclusivo, mapeie esses atributos organizacionais exclusivos usando o atributo attribute.as_user_identifier_number between 1 and 50.

  Por exemplo, se a organização usar e-mail e nome principal como identificadores de usuário em diferentes aplicativos, e o nome principal for definido como preferred_username no provedor de identidade de terceiros, você poderá mapeá-lo para o Gemini Enterprise usando o mapeamento de atributos da federação de identidade de colaboradores (por exemplo, attribute.as_user_identifier_1=assertion.preferred_username).

• Use valores em letras minúsculas para atributos anexando lowerAscii() às configurações de mapeamento de atributos. Quando usada com a federação de identidade de colaboradores, a pesquisa do Gemini Enterprise não diferencia maiúsculas de minúsculas. Isso significa que os dados ingeridos e as consultas de pesquisa são normalizados para letras minúsculas. Por exemplo, se o e-mail de mapeamento de atributos de um usuário for CloudySanFrancisco@gmail.com, e o acesso a documentos for baseado no e-mail cloudysanfrancisco@gmail.com, o Gemini Enterprise vai converter CloudySanFrancisco@gmail.com em cloudysanfrancisco@gmail.com.

Confira a seguir exemplos de mapeamentos de atributos google.subject e google.groups para provedores de identidade usados com frequência.

• ID do Entra com protocolo OIDC
  Este exemplo usa o e-mail para identificar usuários de forma exclusiva.

  google.subject=assertion.email.lowerAscii()
  google.groups=assertion.groups
  google.display_name=assertion.given_name
  

• Entra ID com protocolo SAML
  Este exemplo usa o ID de nome SAML para identificar usuários de forma exclusiva.

  google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'][0].lowerAscii()
  google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
  google.display_name=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname'][0]
  

• Okta com protocolo OIDC
  Este exemplo usa o e-mail para identificar usuários de forma exclusiva.

  google.subject=assertion.email.lowerAscii()
  google.groups=assertion.groups
  

• Okta com protocolo SAML
  Este exemplo usa a declaração de assunto do JWT para identificar usuários de forma exclusiva.

  google.subject=assertion.subject.lowerAscii()
  google.groups=assertion.attributes['groups']
  

Opcional: verificar a configuração da federação de identidade de colaboradores

Para verificar se os inícios de sessão foram bem-sucedidos e se o mapeamento de atributos está correto usando o recurso de geração de registros de auditoria da federação de identidade da força de trabalho, faça o seguinte:

1. Ative os registros de auditoria para a API Security Token Service da atividade de acesso a dados.

   1. No console Google Cloud , acesse a página Registros de auditoria:

      Acesse Registros de auditoria

      Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.

   2. Selecione um projeto, uma pasta ou uma organização Google Cloud .
   3. Ative os registros de auditoria de acesso a dados.
      1. Consulte a documentação do Logging para ver as etapas detalhadas sobre como ativar os registros de auditoria.
      2. Para a API Security Token Service, selecione o tipo de registro de auditoria Leitura de administrador. Para mais informações, consulte Registros de exemplo para a federação de identidade de colaboradores.

2. Ative o registro detalhado no pool de funcionários. O recurso de grupos estendidos da federação de identidade de colaboradores para o Microsoft Entra ID não gera informações detalhadas de registro de auditoria.

   1. Acesse a página Pools de identidade da força de trabalho:

      Acessar pools de identidade de colaboradores

   2. Na tabela, selecione o pool.

   3. Clique no botão Ativar registro de auditoria detalhado para a posição ativada.

   4. Clique em Salvar pool.

3. Na seção Provedores, clique no URL de login do seu provedor e faça login no console do Google Cloud como usuário de um pool de colaboradores.

4. Consulte os registros de auditoria gerados quando você fez login.

   1. Acesse a página Pools de identidade da força de trabalho:

      Acessar pools de identidade de colaboradores

   2. Na tabela, selecione o pool em que você fez login.

   3. Clique em Ver ao lado de Registros.

   4. Na página do registro de auditoria, limpe o filtro protoPayload.resourceName da consulta.

   5. Clique em Executar consulta.

5. Verifique os registros de auditoria para encontrar uma entrada com o método google.identity.sts.SecurityTokenService.WebSignIn que corresponda ao carimbo de data/hora do login.

6. Confirme se o campo metadata.mapped_attributes no registro corresponde ao atributo usado ao configurar a federação de identidade de colaboradores para provedores de identidade de terceiros.

   Exemplo:

   "metadata": {
     "mapped_attributes": {
       "attributes.as_user_identifier_1": "alex@admin.altostrat.com"
       "google.subject": "alex@altostrat.com"
       "google.groups": "[123abc-456d, efg-h789-ijk]"
     }
   },
   

Limitações

Ao conectar suas fontes de dados usando um conector para criar repositórios de dados, as seguintes limitações se aplicam:

• São permitidos 3.000 leitores por documento. Cada principal conta como um leitor, e um principal pode ser um grupo ou um usuário individual.

• É possível selecionar um tipo de provedor de identidade por local compatível no Gemini Enterprise.

• Se as configurações do provedor de identidade forem atualizadas mudando o tipo de provedor ou o pool de força de trabalho, os repositórios de dados atuais não serão atualizados automaticamente para as novas configurações. É necessário excluir e recriar esses repositórios de dados para aplicar as novas configurações de identidade.

• Para definir uma fonte de dados como controlada por acesso, selecione essa configuração durante a criação do repositório de dados. Não é possível ativar ou desativar essa configuração para um repositório de dados existente.

• Para conferir os resultados da interface em apps de pesquisa que usam controle de acesso de terceiros, faça login no console federado ou use o app da Web. Consulte Visualizar seu app.

Conectar ao seu provedor de identidade

A seção a seguir descreve como se conectar ao provedor de identidade usando o console doGoogle Cloud .

Antes de começar

Antes de conectar o provedor de identidade, faça o seguinte:

• Conceder permissões aos administradores.

• Se você estiver conectando um provedor de identidade de terceiros, configure a federação de identidade de colaboradores.

Conectar provedor de identidade

Para especificar um provedor de identidade para o Gemini Enterprise e ativar o controle de acesso à fonte de dados, siga estas etapas:

1. No console Google Cloud , acesse a página Gemini Enterprise.

   Gemini Enterprise

2. Clique em Configurações > Autenticação.

3. Clique em Adicionar provedor de identidade no local que você quer atualizar.

4. Clique em Adicionar provedor de identidade e selecione o tipo de provedor.
   Se você selecionar Identidade de terceiros, também será necessário escolher o pool de colaboradores que se aplica às suas fontes de dados.

5. Clique em Salvar alterações.

Conceder permissões aos usuários

Os usuários precisam da função de usuário do Discovery Engine (roles/discoveryengine.user) para acessar, gerenciar e compartilhar apps.

Tipo de provedor de identidade	Descrição
Google Identity	Se você usa o Google Identity, recomendamos criar um grupo do Google que inclua todos os funcionários que usam o app. Se você for administrador do Google Workspace, poderá incluir todos os usuários de uma organização em um grupo do Google seguindo as etapas em Adicionar todos os usuários da sua organização a um grupo. Conceda a função de usuário do Discovery Engine (roles/discoveryengine.user) aos usuários. Para mais informações sobre como adicionar a função, consulte Conceder permissões aos usuários.
Provedor de identidade terceirizado	Conceda o papel de usuário do Discovery Engine (roles/discoveryengine.user) aos seus usuários e usuários do pool de força de trabalho em políticas do IAM. Para mais informações sobre como adicionar a função, consulte Conceder permissões aos usuários. O Google recomenda configurar declarações de grupo para suas identidades de terceiros.

A seguir

• Se você tiver repositórios de dados do Cloud Storage ou do BigQuery e quiser aplicar o controle de acesso aos dados, configure os controles de acesso para fontes de dados personalizadas.

• Se você se conectar à sua própria fonte de dados personalizada, saiba como configurar identidades externas.

• Visualize o app.

• Quando quiser compartilhar o app com os usuários, ative-o e compartilhe o URL com eles. Os usuários precisam fazer login para acessar o app. Para mais informações, consulte Ver o web app de pesquisa.