Cette page a été traduite par l'API Cloud Translation.

Configurer NotebookLM Enterprise

Cette page décrit les tâches de démarrage que vous devez effectuer pour configurer NotebookLM Enterprise.

Une fois les tâches de cette page effectuées, vos utilisateurs pourront commencer à créer et à utiliser des notebooks dans NotebookLM Enterprise.

À propos de la configuration de l'identité

Pour terminer la configuration, vous devez avoir configuré le fournisseur d'identité (IdP) de votre organisation dans Google Cloud. Il est important de configurer correctement l'identité pour deux raisons :

Il permet à vos utilisateurs d'utiliser leurs identifiants professionnels actuels pour accéder à l'interface utilisateur NotebookLM Enterprise.
Cela garantit que les utilisateurs ne voient que les notebooks qui leur appartiennent ou qui ont été partagés avec eux.

Frameworks compatibles

Les frameworks d'authentification suivants sont compatibles :

Cloud Identity :
- Cas 1 : Si vous utilisez Cloud Identity ou Google Workspace, toutes les identités utilisateur et tous les groupes d'utilisateurs sont présents et gérés viaGoogle Cloud. Pour en savoir plus sur Cloud Identity, consultez la documentation Cloud Identity.
- Cas de figure 2 : Vous utilisez un IdP tiers et vous avez synchronisé les identités avec Cloud Identity. Vos utilisateurs finaux utilisent Cloud Identity pour s'authentifier avant d'accéder aux ressources Google ou à Google Workspace.
- Cas 3 : Vous utilisez un IdP tiers et vous avez synchronisé les identités avec Cloud Identity. Toutefois, vous utilisez toujours votre fournisseur d'identité tiers existant pour effectuer l'authentification. Vous avez configuré la SSO avec Cloud Identity de sorte que vos utilisateurs commencent leur connexion avec Cloud Identity, puis sont redirigés vers votre IdP tiers. (Vous avez peut-être déjà effectué cette synchronisation lors de la configuration d'autres ressources Google Cloud ou de Google Workspace.)
Fédération d'identité de personnel : si vous utilisez un fournisseur d'identité externe (Microsoft Entra ID, Okta, Ping, PingFederate ou un autre fournisseur d'identité OIDC ou SAML 2.0), mais que vous ne souhaitez pas synchroniser vos identités dans Cloud Identity, vous devez configurer la fédération d'identité de personnel dans Google Cloudavant de pouvoir activer le contrôle des accès aux sources de données pour Gemini Enterprise.

L'attribut google.subject doit être mappé sur le champ d'adresse e-mail dans l'IdP externe. Vous trouverez ci-dessous des exemples de mappages d'attributs google.subject et google.groups pour les FId couramment utilisés :
- Microsoft Entra ID
  - Microsoft Entra ID avec le protocole OIDC
```
google.subject=assertion.email
google.groups=assertion.groups
```
  - Microsoft Entra ID avec le protocole SAML
```
google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name'][0]
google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
```
  - Microsoft Entra ID avec des groupes volumineux
  Si vous utilisez Microsoft Entra ID et que vous avez plus de 150 groupes, vous devez configurer un System for Cross-domain Identity Management (SCIM) pour gérer les identités avec Google Cloud ou Microsoft Entra ID avec des attributs étendus, qui utilise Microsoft Graph pour récupérer les noms de groupes. La configuration de SCIM vous permet (ainsi qu'à vos utilisateurs finaux) de saisir des noms de groupes au lieu d'ID de groupes lorsque vous partagez des notebooks. Consultez l'étape 2 de la procédure de partage d'un notebook avec un groupe. Si vous utilisez SCIM ou des attributs étendus, le mappage de l'attribut google.groups est ignoré.
- Okta
  - Okta avec le protocole OIDC
```
google.subject=assertion.email
google.groups=assertion.groups
```
  - Okta avec le protocole SAML
```
google.subject=assertion.subject
google.groups=assertion.attributes['groups']
```

Vous ne pouvez sélectionner qu'un seul IdP par projet Google Cloud .

Avant de commencer

Avant de commencer les procédures décrites sur cette page, assurez-vous que l'une des conditions suivantes est remplie :

Vous utilisez Cloud Identity comme IdP.
Vous utilisez un IdP tiers et avez configuré la SSO avec Cloud Identity.
Vous utilisez un IdP tiers, vous avez configuré la fédération d'identité de personnel et vous connaissez le nom de votre pool de personnel.

Créer un projet et activer l'API

Si vous disposez déjà d'un projet Google Cloud que vous souhaitez utiliser, commencez à l'étape 2.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Attribuer le rôle Administrateur Cloud NotebookLM

En tant que propriétaire du projet, vous devez attribuer le rôle "Administrateur Cloud NotebookLM" à tous les utilisateurs que vous souhaitez autoriser à administrer NotebookLM Enterprise dans ce projet :

Dans la console Google Cloud , accédez à la page IAM.
Accéder à IAM
Sélectionnez le projet.
Cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux, saisissez l'identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google ou d'un groupe d'utilisateurs.
Dans la liste Sélectionner un rôle, sélectionnez Administrateur Cloud NotebookLM. Pour en savoir plus, consultez Rôles utilisateur.
Cliquez sur Enregistrer.

Définir l'IdP pour NotebookLM Enterprise

Le propriétaire du projet ou un utilisateur disposant du rôle Administrateur Cloud NotebookLM peut configurer le fournisseur d'identité.

Dans la console Google Cloud , accédez à la page Gemini Enterprise.

Gemini Enterprise
Sous NotebookLM Enterprise, cliquez sur Gérer.
Définissez le paramètre d'identité sur Fournisseur d'identité Google ou Identité tierce.

Pour en savoir plus, consultez À propos de la configuration de l'identité ci-dessus.
Si vous utilisez un fournisseur d'identité tiers et que vous avez décidé de configurer la fédération des identités des employés, spécifiez le nom de votre pool d'employés et de votre fournisseur de pool d'employés.
Copiez le lien.

Vous enverrez ce lien à tous les utilisateurs finaux de NotebookLM Enterprise. Il s'agit du lien vers l'interface utilisateur qu'ils utiliseront pour créer, modifier et partager des notebooks.

Facultatif : Enregistrer les clés de chiffrement gérées par le client

Si vous souhaitez utiliser des clés de chiffrement gérées par le client (CMEK) au lieu du chiffrement par défaut de Google, suivez les instructions pour enregistrer une clé pour NotebookLM Enterprise dans Clés de chiffrement gérées par le client.

En règle générale, vous n'avez besoin d'utiliser CMEK que si votre organisation est soumise à des exigences réglementaires strictes ou à des règles internes qui stipulent le contrôle des clés de chiffrement. Dans la plupart des cas, le chiffrement par défaut de Google est suffisant. Pour obtenir des informations générales sur CMEK, consultez la documentation de Cloud Key Management Service.

Attribuer des rôles NotebookLM Enterprise aux utilisateurs

Cette section explique comment attribuer à vos utilisateurs les rôles IAM dont ils ont besoin pour accéder aux notebooks, les gérer et les partager.

Dans la console Google Cloud , accédez à la page IAM.
Accéder à IAM
Sélectionnez le projet.
Cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux, saisissez l'identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google, d'un groupe d'utilisateurs ou de l'identifiant d'un utilisateur dans un pool d'identités de personnel. Pour en savoir plus, consultez Représenter les utilisateurs de pools de personnel dans les stratégies IAM ou contactez votre administrateur.
Dans la liste Sélectionner un rôle, sélectionnez le rôle Cloud NotebookLM User.
Cliquez sur Enregistrer.

En plus du rôle Cloud NotebookLM User, les utilisateurs ont besoin d'une licence NotebookLM Enterprise. Consultez Obtenir des licences pour NotebookLM Enterprise.

Étapes suivantes

Obtenez des licences pour NotebookLM Enterprise.