Configurar NotebookLM Enterprise

En esta página se describen las tareas de inicio que debe completar para configurar NotebookLM Enterprise.

Una vez que hayas completado las tareas de esta página, tus usuarios podrán empezar a crear y usar cuadernos en NotebookLM Enterprise.

Acerca de la configuración de la identidad

Para completar la configuración, debes tener configurado el proveedor de identidades (IdP) de tu organización en Google Cloud. Configurar correctamente la identidad es importante por dos motivos:

• Permite que tus usuarios utilicen sus credenciales de empresa actuales para acceder a la interfaz de usuario de NotebookLM Enterprise.

• De esta forma, los usuarios solo verán los cuadernos de los que sean propietarios o que se hayan compartido con ellos.

Frameworks admitidos

Se admiten los siguientes frameworks de autenticación:

• Cloud Identity:

  • Caso 1: Si usas Cloud Identity o Google Workspace, todas las identidades de usuario y los grupos de usuarios están presentes y se gestionan a través deGoogle Cloud. Para obtener más información sobre Cloud Identity, consulta la documentación de Cloud Identity.

  • Caso 2: Utilizas un IdP de terceros y has sincronizado identidades con Cloud Identity. Tus usuarios finales usan Cloud Identity para autenticarse antes de acceder a los recursos de Google o a Google Workspace.

  • Caso 3: Utilizas un IdP de terceros y has sincronizado identidades con Cloud Identity. Sin embargo, sigues usando tu proveedor de identidades externo para realizar la autenticación. Has configurado el SSO con Cloud Identity de forma que tus usuarios inician sesión con Cloud Identity y, a continuación, se les dirige a tu IdP externo. Puede que ya hayas realizado esta sincronización al configurar otros recursos de Google Cloud o Google Workspace.

• Federación de identidades de empleados: si usas un proveedor de identidades externo (Microsoft Entra ID, Okta, Ping, PingFederate u otro proveedor de identidades de OIDC o SAML 2.0), pero no quieres sincronizar tus identidades con Cloud Identity, debes configurar la federación de identidades de empleados en Google Cloudantes de poder activar el control de acceso a las fuentes de datos de Gemini Enterprise.

  El atributo google.subject debe asignarse al campo de dirección de correo del proveedor de identidades externo. A continuación, se muestran ejemplos de asignaciones de atributos google.subject y google.groups para proveedores de identidades de uso habitual:

  • ID de Microsoft Entra

    • Microsoft Entra ID con el protocolo OIDC

      google.subject=assertion.email
      google.groups=assertion.groups
      

    • Microsoft Entra ID con el protocolo SAML

      google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name'][0]
      google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
      

    • Microsoft Entra ID con grupos grandes

    Si usas Microsoft Entra ID y tienes más de 150 grupos, debes configurar un sistema de gestión de identidades entre dominios (SCIM) para gestionar identidades con Google Cloud o Microsoft Entra ID con atributos ampliados, que usa Microsoft Graph para obtener los nombres de los grupos. Configurar SCIM te permite (y a tus usuarios finales) escribir nombres de grupos en lugar de IDs de grupos al compartir cuadernos. Consulta el paso 2 del procedimiento para compartir un cuaderno con un grupo. Si usa SCIM o atributos ampliados, se ignora la asignación del atributo google.groups.

  • Okta

    • Okta con protocolo OIDC

      google.subject=assertion.email
      google.groups=assertion.groups
      

    • Okta con protocolo SAML

      google.subject=assertion.subject
      google.groups=assertion.attributes['groups']
      

Solo puedes seleccionar un IdP por proyecto Google Cloud .

Antes de empezar

Antes de empezar los procedimientos de esta página, asegúrate de que se cumple una de las siguientes condiciones:

• Usas Cloud Identity como IdP.

• Utilizas un IdP de terceros y has configurado el SSO con Cloud Identity.

• Utilizas un IdP de terceros, has configurado la federación de identidades de Workforce y conoces el nombre de tu grupo de trabajo.

Crear un proyecto y habilitar la API

Si ya tienes un Google Cloud proyecto que quieres usar, empieza por el paso 2.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Asignar el rol de administrador de Cloud NotebookLM

Como propietario del proyecto, debes asignar el rol de administrador de Cloud NotebookLM a los usuarios que quieras que puedan administrar NotebookLM Enterprise en este proyecto:

1. En la consola de Google Cloud , ve a la página Gestión de identidades y accesos.

   Ir a IAM
2. Selecciona el proyecto.
3. Haz clic en person_add Conceder acceso.

4. En el campo Nuevos principales, introduce el identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google o de un grupo de usuarios.

5. En la lista Selecciona un rol, elige Administrador de Cloud NotebookLM. Para obtener más información, consulta Roles de usuario.
6. Haz clic en Guardar.

Definir el IdP de NotebookLM Enterprise

El propietario del proyecto o un usuario que tenga el rol de administrador de Cloud NotebookLM puede configurar el proveedor de identidades.

1. En la Google Cloud consola, ve a la página Gemini Enterprise.

   Gemini Enterprise

2. En NotebookLM Enterprise, haz clic en Gestionar.

3. En Configuración de identidad, selecciona Proveedor de identidades de Google o Identidad de terceros.

   Para obtener más información, consulta la sección Acerca de la configuración de la identidad de arriba.

4. Si utilizas un IdP de terceros y has decidido configurar la federación de identidades de Workforce, especifica el nombre de tu grupo de trabajo y tu proveedor del grupo de trabajo.

5. Copia el enlace.

   Debes enviar este enlace a todos los usuarios finales de NotebookLM Enterprise. Este es el enlace a la interfaz de usuario que utilizarán para crear, editar y compartir cuadernos.

Opcional: Registrar claves de cifrado gestionadas por el cliente

Si quieres usar claves de cifrado gestionadas por el cliente (CMEK) en lugar del cifrado predeterminado de Google, sigue las instrucciones para registrar una clave para NotebookLM Enterprise en Claves de cifrado gestionadas por el cliente.

Por lo general, solo tienes que usar CMEK si tu organización tiene requisitos normativos estrictos o políticas internas que estipulen el control de las claves de cifrado. En la mayoría de los casos, el cifrado predeterminado de Google es suficiente. Para obtener información general sobre las CMEK, consulta la documentación de Cloud Key Management Service.

Asignar roles de NotebookLM Enterprise a usuarios

En esta sección se describe cómo asignar a los usuarios los roles de gestión de identidades y accesos que necesitan para acceder a los cuadernos, gestionarlos y compartirlos.

1. En la consola de Google Cloud , ve a la página Gestión de identidades y accesos.

   Ir a IAM
2. Selecciona el proyecto.
3. Haz clic en person_add Conceder acceso.

4. En el campo Nuevos principales, introduce el identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google, un grupo de usuarios o el identificador de un usuario en un grupo de identidades de la plantilla. Para obtener más información, consulta el artículo Representar a los usuarios del grupo de trabajadores en las políticas de gestión de identidades y accesos o ponte en contacto con tu administrador.

5. En la lista Selecciona un rol, elige el rol Cloud NotebookLM User.
6. Haz clic en Guardar.

Además del rol Cloud NotebookLM User, los usuarios necesitan una licencia de NotebookLM Enterprise. Consulta Obtener licencias de NotebookLM Enterprise.

Siguientes pasos

• Obtener licencias de NotebookLM Enterprise