设置 NotebookLM Enterprise

本页面介绍了在设置 NotebookLM Enterprise 之前必须完成的启动任务。

在您完成本页面上的任务后，您的用户即可开始在 NotebookLM Enterprise 中创建和使用笔记本。

身份设置简介

如要完成设置，您必须在 Google Cloud中配置您组织的身份提供方 (IdP)。正确的身份设置非常重要，原因有以下两点：

• 它让您的用户能够使用其当前的公司凭证来访问 NotebookLM Enterprise 界面。

• 它确保用户只能看到自己拥有的或已与他们共享的笔记本。

支持的框架

支持以下身份验证框架：

• Cloud Identity：

  • 场景 1：如果您使用 Cloud Identity 或 Google Workspace，则所有用户身份和用户群组都存在并会通过Google Cloud进行管理。如需详细了解 Cloud Identity，请参阅 Cloud Identity 文档。

  • 场景 2：您使用第三方 IdP，并已将身份同步到 Cloud Identity。您的最终用户在访问 Google 资源或 Google Workspace 之前，使用 Cloud Identity 进行身份验证。

  • 场景 3：您使用第三方 IdP，并已将身份同步到 Cloud Identity。不过，您仍在使用现有的第三方 IdP 执行身份验证。您已使用 Cloud Identity 配置了单点登录，以便您的用户开始使用 Cloud Identity 登录，然后被定向到您的第三方 IdP。（您可能在设置其他 Google Cloud 资源或 Google Workspace 时已完成此同步。）

• 员工身份联合：如果您使用外部身份提供方（Microsoft Entra ID、Okta、Ping、PingFederate，或者其他 OIDC 或 SAML 2.0 IdP），但不想将身份信息同步到 Cloud Identity，则必须先在 Google Cloud中设置员工身份联合，然后才能为 Gemini Enterprise 启用数据源访问权限控制。

  google.subject 属性必须映射到外部 IdP 中的邮箱字段。以下是常用 IdP 的 google.subject 和 google.groups 属性映射示例：

  • Microsoft Entra ID

    • 使用 OIDC 协议的 Microsoft Entra ID

      google.subject=assertion.email
      google.groups=assertion.groups
      

    • 使用 SAML 协议的 Microsoft Entra ID

      google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name'][0]
      google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
      

    • 具有大型群组的 Microsoft Entra ID

    如果您使用 Microsoft Entra ID 且拥有超过 150 个群组，则应设置跨域身份管理系统 (SCIM) 来通过 Google Cloud 或具有扩展属性的 Microsoft Entra ID（它使用 Microsoft Graph 检索群组名称）来管理身份。设置 SCIM 后，您（和您的最终用户）在共享笔记本时可以输入群组名称，而非群组 ID。请参阅与群组共享笔记本的流程中的第 2 步。 如果您使用 SCIM 或扩展属性，系统会忽略 google.groups 属性映射。

  • Okta

    • 使用 OIDC 协议的 Okta

      google.subject=assertion.email
      google.groups=assertion.groups
      

    • 使用 SAML 协议的 Okta

      google.subject=assertion.subject
      google.groups=assertion.attributes['groups']
      

每个 Google Cloud 项目只能选择一个 IdP。

准备工作

在开始执行本页面上的步骤之前，请确保满足以下条件之一：

• 您使用 Cloud Identity 作为您的 IdP，或者

• 您使用第三方 IdP，并且已通过 Cloud Identity 配置单点登录，或者

• 您使用第三方 IdP，已设置员工身份联合，并且知道您的员工池名称。

创建项目并启用 API

如果您已有要使用的 Google Cloud 项目，请从第 2 步开始。

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

授予 Cloud NotebookLM Admin 角色

作为项目所有者，您需要将 Cloud NotebookLM Admin 角色分配给任何您希望能够在本项目中管理 NotebookLM Enterprise 的用户：

1. 在 Google Cloud 控制台中，前往 IAM 页面。

   转到 IAM
2. 选择相应项目。
3. 点击 person_add 授予访问权限。

4. 在新的主账号字段中，输入用户标识符。 这通常是 Google 账号或用户群组的邮箱。

5. 在选择角色列表中，选择 Cloud NotebookLM Admin。 如需了解详情，请参阅用户角色。
6. 点击 Save（保存）。

为 NotebookLM Enterprise 设置 IdP

项目所有者或拥有 Cloud NotebookLM Admin 角色的用户可以设置 IdP。

1. 在 Google Cloud 控制台中，前往 Gemini Enterprise 页面。

   Gemini Enterprise

2. 在“NotebookLM Enterprise”下，点击管理。

3. 将身份设置设置为 Google 身份提供方或第三方身份。

   如需了解详情，请参阅上文中的身份设置简介部分。

4. 如果您使用的是第三方 IdP，并打算设置员工身份联合，请指定您的员工池名称和员工池提供方。

5. 复制该链接。

   您需要将此链接发送给 NotebookLM Enterprise 的所有最终用户。这是用户用来创建、修改和共享笔记本的界面链接。

可选：注册客户管理的加密密钥

如果您想使用客户管理的加密密钥 (CMEK)，而不是 Google 默认加密，请按照客户管理的加密密钥中的说明为 NotebookLM Enterprise 注册密钥。

通常，只有在您的组织有严格的监管要求或内部政策规定必须对加密密钥加以控制时，您才需要使用 CMEK。在大多数情况下，Google 默认加密就已足够。如需大致了解 CMEK，请参阅 Cloud Key Management Service 文档。

向用户授予 NotebookLM Enterprise 角色

本部分介绍了如何向用户授予访问、管理和共享笔记本所需的 IAM 角色。

1. 在 Google Cloud 控制台中，前往 IAM 页面。

   转到 IAM
2. 选择相应项目。
3. 点击 person_add 授予访问权限。

4. 在新的主账号字段中，输入用户标识符。这通常是 Google 账号或用户群组的邮箱，或者是员工身份池中用户的标识符。如需了解详情，请参阅在 IAM 政策中表示员工池用户，或与您的管理员联系。

5. 在选择角色列表中，选择 Cloud NotebookLM User 角色。
6. 点击 Save（保存）。

除了 Cloud NotebookLM User 角色之外，用户还需要拥有 NotebookLM Enterprise 许可。请参阅获取 NotebookLM Enterprise 许可。

后续步骤

• 获取 NotebookLM Enterprise 许可。