Conectar Microsoft Entra ID

En esta página se describe cómo conectar Microsoft Entra ID a Gemini Enterprise.

Después de configurar la fuente de datos e importar datos por primera vez, el almacén de datos sincroniza los datos de esa fuente con la frecuencia que elijas durante la configuración.

Versiones compatibles

El conector de Entra ID es compatible con todas las versiones alojadas de Entra ID a través de la API Microsoft Graph v1.0.

Antes de empezar

Antes de configurar tu almacén de datos e importar datos, debes obtener un ID de cliente y un secreto para la autenticación, así como configurar los permisos mínimos necesarios para la aplicación. En esta sección se explica cómo completar estas tareas.

Configurar el control de acceso para Entra ID

Para aplicar el control de acceso a las fuentes de datos y proteger los datos en Gemini Enterprise, asegúrate de haber configurado tu proveedor de identidades.

Obtener un ID de cliente y un secreto de cliente

  1. Crea una aplicación de ID de Entra:

    1. Inicia sesión en el centro de administración de Microsoft Entra como administrador y haz clic en Aplicación.
    2. En la lista desplegable Aplicación, haz clic en Registros de aplicaciones.
    3. En la página Registros de aplicaciones, haz clic en Nuevo registro.
    4. Haz clic en Añadir nuevo registro y haz lo siguiente:
      • Introduce un nombre para la aplicación.
      • En Tipos de cuenta admitidos, selecciona Solo cuentas del directorio de la empresa.
      • En Redirect URI (URI de redirección), añade un URI de redirección web que apunte a https://login.microsoftonline.com/common/oauth2/nativeclient.
    5. Haz clic en Registrarse.

  2. Guardar credenciales:

    En la ventana de la aplicación registrada, guarda los siguientes valores para usarlos más adelante:

    1. Usa el ID de aplicación (cliente) para definir el parámetro ID de cliente.
    2. Use el ID de directorio (cliente) para definir el parámetro Cliente de Azure.

  3. Crea un secreto de cliente:

    1. Ve a Certificados y secretos.
    2. Haz clic en Nuevo secreto de cliente y especifica una duración.
    3. Guarda el secreto de cliente y copia su valor para usarlo más adelante.
save-client-secret-value
Guarda el valor del secreto de cliente.

Configurar los permisos mínimos necesarios para la aplicación

  1. En la ventana de la aplicación registrada, haz clic en Permisos de API.

  2. En Permisos configurados, selecciona Microsoft Graph y configura los siguientes permisos:

    • User.Read
    • User.Read.All (Application)

    Si quieres ingerir profileCardAttributes, configura los siguientes permisos:

    • People.Read.All (Application)
    • PeopleSettings.Read.All (Application)
    • PeopleSettings.Read.All (Delegated)

  3. Concede el consentimiento del administrador para todos los permisos añadidos. Se requiere el consentimiento de un administrador para usar las credenciales de cliente en el flujo de autenticación.

Permisos mínimos

En la siguiente tabla se indican los permisos mínimos que necesitas para crear un conector de Entra ID:

Permiso Motivo de uso Descripción
User.Read Ingestión de datos Leer los detalles de la organización durante el establecimiento de la conexión.
User.Read.All (Application) Ingestión de datos Leer todos los usuarios de la organización.
People.Read.All (Application) Ingestión de datos Leer toda la información pertinente de las personas, como los contactos, de todos los usuarios de una organización.
PeopleSettings.Read.All (Application) Ingestión de datos Leer las configuraciones de usuario de todos los usuarios de la organización, como profileCardSettings.
PeopleSettings.Read.All (Delegated) Ingestión de datos Leer las configuraciones de usuario de todos los usuarios de la organización, como profileCardSettings.

Crear un almacén de datos de Entra ID

Para usar la consola y sincronizar datos de Entra ID con Gemini Enterprise, sigue estos pasos: Google Cloud

  1. En la Google Cloud consola, ve a la página Gemini Enterprise.

    Gemini Enterprise

  2. En el menú de navegación, haga clic en Almacenes de datos.

  3. Haz clic en Crear almacén de datos.

  4. En la página Seleccionar una fuente de datos, desplázate o busca Entra ID para conectar tu fuente de terceros.

  5. En Configuración de autenticación, introduce el ID de cliente y el secreto de cliente.

  6. En Opciones avanzadas:

    • Si es necesario, haz clic en Habilitar direcciones IP estáticas. Después de crear el conector, debes incluir en la lista de permitidos las IPs estáticas registradas para que las sincronizaciones se realicen correctamente.
    • Para permitir que el conector obtenga las propiedades de extensión, que se usan para añadir una propiedad personalizada a un objeto de directorio, marque la casilla Habilitar propiedades de extensión.

    • Si quiere filtrar la información de usuario insertada, proporcione un filtro SQL personalizado. El filtro debe ser una cadena SQL válida.

      Las claves de la cadena de filtro deben corresponder a los siguientes campos:

      • Id
      • employeeType
      • onPremisesSyncEnabled
      • accountEnabled

      A continuación, se muestran ejemplos de filtros SQL válidos:

      id = 'abc' AND accountEnabled = true

employeeType='E' AND onPremisesSyncEnabled= true

    • En el campo Azure Tenant (Cliente de Azure), introduce el ID de cliente de Azure que has obtenido al crear una aplicación de Entra ID.

    • Para aplicar un límite de frecuencia a las consultas que el conector envía a la instancia de Entra ID, en el campo Máximo de consultas por segundo, especifica el número máximo de consultas por segundo. El valor predeterminado es 80 CPS.

    • Haz clic en Continuar.

  7. En Elige las entidades que quieras sincronizar:

    • Haga clic en Perfiles de usuario. Para filtrar los datos en función de Id para la ingesta de datos, haga clic en Filtrar y, a continuación, haga lo siguiente:
      • Para especificar los datos que se incluirán en el índice de búsqueda, seleccione Incluir en el índice y, a continuación, especifique la cadena de filtro en el campo Id.
      • Para especificar los datos que se deben excluir del índice de búsqueda, seleccione Excluir del índice y, a continuación, especifique la cadena de filtro en el campo Id.
    • Selecciona la frecuencia de Sincronización completa.

  8. Haz clic en Continuar.

  9. En Configurar el conector de datos, selecciona una región para tu almacén de datos.

  10. Escriba el nombre del conector de datos.

  11. Haz clic en Crear. Gemini Enterprise crea tu almacén de datos y lo muestra en la página Almacenes de datos.

  12. Si has seleccionado Habilitar direcciones IP estáticas en Opciones avanzadas, consulta las direcciones IP estáticas registradas del conector y añádelas a tu lista de permitidos de Entra ID.

    1. Vaya a la página Almacenes de datos y haga clic en el nombre del conector para ver los detalles en su página Datos.
    2. En el campo IPs estáticas, haz clic en Ver y confirmar IPs.
    3. Copia las direcciones IP estáticas del conector.
    4. En el centro de administración de Microsoft Entra, añade las direcciones IP estáticas a una ubicación con nombre o de confianza en una política de acceso condicional. Para obtener más información, consulta Acceso condicional: asignación de red.

Comprobar el estado del conector

  1. Para comprobar el estado de la ingesta, vaya a la página Almacenes de datos y haga clic en el nombre del conector para ver los detalles en su página Datos. El estado del conector cambia de Creando a En ejecución cuando empieza a sincronizar datos. Cuando se completa la ingestión, el estado cambia a Activo para indicar que la conexión a la fuente de datos se ha configurado y está esperando la siguiente sincronización programada.

    En función del tamaño de los datos, la ingestión puede tardar varios minutos o varias horas.

  2. Cuando el estado del conector cambie a Activo, vaya a la pestaña Entidad.

  3. Haga clic en la entidad userprofiles.

  4. Comprueba el número de documentos insertados y verifica que coincide con el número de usuarios de Entra ID.

Los siguientes atributos de usuario estándar se ingieren como parte de cada registro de usuario:

Nombre del campo de esquema de Vertex AI Nombre del atributo de Entra ID
name.displayName Nombre visible
name.familyName Apellidos
name.givenName Nombre
name.username Nombre principal del usuario
email.value Correo electrónico
employeeId ID de empleado
personId
employeeType Tipo de empleado
hireDate Fecha de contratación del empleado
department Departamento
organizations.jobTitle Cargo
organizations.location ubicación de la oficina,
Phone Teléfono de empresa
managers.email, managers.personId No es un atributo directo (cadena de gestión desde el administrador inmediato hasta el administrador de nivel superior).
directManager.personId No es un atributo directo (personId del gestor)
displayphoto.imagebinary.data Imagen de perfil codificada en Base64

Si la aplicación Entra ID tiene los permisos necesarios para ingerir atributos personalizados, ingiere hasta 15 atributos de tarjeta de perfil por registro. De forma predeterminada, los atributos personalizados no se pueden buscar.

Configurar atributos por los que se puede buscar

Para que los atributos personalizados se puedan buscar, siga estos pasos:

  1. En la página userprofiles, ve a la pestaña Schema (Esquema).
  2. Haz clic en Editar.

  3. Desmarque los atributos, como dirección, para que no se puedan recuperar, buscar ni indexar y, a continuación, haga clic en Guardar.

    El botón Editar permanece inactivo durante unos minutos antes de volver a activarse.

  4. Cuando el botón Editar esté en estado Activo, haz clic en Editar.

  5. Selecciona las casillas Recuperable, se puede buscar e indexable de los atributos personalizados obligatorios.

  6. Habilita la búsqueda.

  7. Haz clic en Guardar.

Probar el buscador

Después de configurar el buscador, prueba sus funciones para comprobar si devuelve resultados precisos en función del acceso de los usuarios.

  1. Habilita la aplicación web:

    1. Ve a las configuraciones de integración de aplicaciones y activa Habilitar la aplicación web.

  2. Probar aplicación web:

    1. Haz clic en Abrir junto al enlace de la aplicación web e inicia sesión como usuario.

    2. Verifica que los resultados de búsqueda se limiten a los elementos a los que puede acceder el usuario.

Previsualizar los resultados de búsqueda de personas

  1. En la aplicación de búsqueda, ve a Vista previa y empieza a buscar en la consola cuando uses el proveedor de identidades de Google.

    • También puede ir al enlace proporcionado e iniciar sesión con su IdP para empezar a buscar.
    • Los resultados de búsqueda se muestran como tarjetas de personas, en las que se incluyen detalles del usuario, como nombre, cargo, correo electrónico e imagen de perfil.

  2. Haz clic en una tarjeta de persona para ver una página de perfil detallada, que incluye lo siguiente:

    • Nombre
    • Imagen de perfil
    • Cargo
    • Departamento
    • Cadena de gestión
    • Subordinados directos

  3. Si se ingieren atributos personalizados (propiedades de la tarjeta de perfil) y se hacen indexables, se pueden buscar y recuperar:

    • Si buscas por el valor de un atributo personalizado, solo se devolverán los perfiles de personas que contengan esos atributos.
    • Los atributos personalizados aparecen en los resultados de búsqueda, pero solo se puede acceder a ellos a través de la API, no de la interfaz de usuario de Vertex Search.

Configurar el grupo de trabajadores para un proveedor de identidades que no sea de Google sin SSO

  1. Si tus empleados usan un proveedor de identidades que no es de Google, no tienen habilitado el SSO con Google o no son clientes de Google Workspace, configura un grupo de trabajadores como se describe en [Configurar controles de acceso para fuentes de datos personalizadas][data-source-access-control] para habilitar la búsqueda de empleados.

    El grupo de usuarios permite gestionar y autenticar a los usuarios de proveedores de identidades externos, como Azure u Okta, en la consola de Google Cloud .

  2. Para configurar tu grupo de trabajadores y habilitar la aplicación web para que los usuarios puedan acceder sin problemas, sigue estos pasos:

    1. Crea un grupo de trabajadores a nivel de organización en Google Cloud siguiendo el manual de configuración correspondiente:

      1. Configuración de OIDC de Azure
      2. Configuración de SAML en Azure
      3. Configuración de Okta y OIDC
      4. Configuración de Okta y SAML

    2. Configura el grupo de trabajadores en Gemini Enterprise > Configuración de la región en la que crees tu aplicación.

Límites de frecuencia recomendados

En la siguiente tabla se indican los límites de frecuencia recomendados en función del número de usuarios. Las solicitudes que superen los límites se limitarán.

Grupo de cuotas Solicitudes por segundo
S (menos de 50 usuarios) 105
M (de 50 a 500 usuarios) 150
L (más de 500 usuarios) 240

Limitaciones conocidas

Estas son las limitaciones conocidas del conector de Entra ID:

  • No se admite la sincronización incremental.
  • No se admiten listas de control de acceso (LCA). Todos los usuarios pueden acceder a la organización.
  • Si añades un proyecto a un perímetro de Controles de Servicio de VPC después de crear una conexión, la sincronización del conector fallará y se mostrará el siguiente error: Connector is blocked due to the project being added to the VPC-SC perimeter. Please re-create the data store. Vuelve a crear el almacén de datos para que funcione dentro del perímetro de Controles de Servicio de VPC.

Mensajes de error

En la siguiente tabla se indican los mensajes de error que pueden aparecer al usar el conector de Entra ID:

Mensaje de error Descripción Solución de problemas
Authorization_RequestDenied Privilegios insuficientes para completar la operación. La cuenta de usuario no contiene los ámbitos necesarios para leer datos. Proporciona los scopes necesarios a la cuenta de usuario que se utiliza para crear la conexión.
No se ha podido obtener la información del token de OAuth La credencial de cliente proporcionada al configurar el conector no es válida. Comprueba lo siguiente:
  • Se proporciona el secreto de cliente correspondiente al ID de cliente. Cuando configures la conexión, especifica el valor del secreto de cliente y no su ID secreto.
  • El ID de cliente es válido.
  • El secreto de cliente no ha caducado. Si el secreto de cliente ha caducado, edita la conexión y especifica el nuevo secreto de cliente.
El conector está bloqueado porque el proyecto se ha añadido al perímetro de VPC-SC. Vuelve a crear el almacén de datos. El conector se creó antes de que se añadiera el proyecto a un perímetro de Controles de Servicio de VPC. Vuelve a crear el almacén de datos para que funcione dentro del perímetro de Controles de Servicio de VPC.

Pasos siguientes

  • Para adjuntar tu almacén de datos a una aplicación, crea una aplicación y selecciona tu almacén de datos siguiendo los pasos que se indican en Crear una aplicación.

  • Para ver una vista previa de cómo aparecerán los resultados de búsqueda después de configurar tu aplicación y tu almacén de datos, consulta Obtener resultados de búsqueda.