本頁面說明設定 NotebookLM Enterprise 時,必須完成的啟動工作。
完成這個頁面的工作後,使用者就能在 NotebookLM Enterprise 中建立及使用筆記本。
關於身分設定
如要完成設定,您必須在 Google Cloud中設定機構的識別資訊提供者 (IdP)。正確設定身分識別非常重要,原因有二:
使用者可透過現有的公司憑證存取 NotebookLM Enterprise 使用者介面。
確保使用者只會看到自己擁有的筆記本,或是與自己共用的筆記本。
支援的架構
系統支援下列驗證架構:
Cloud Identity:
案例 1:如果您使用 Cloud Identity 或 Google Workspace,所有使用者身分和使用者群組都會顯示在Google Cloud中,並透過該服務管理。如要進一步瞭解 Cloud Identity,請參閱 Cloud Identity 說明文件。
情況 2:您使用第三方 IdP,且已將身分與 Cloud Identity 同步。使用者必須先透過 Cloud Identity 驗證身分,才能存取 Google 資源或 Google Workspace。
案例 3:您使用第三方 IdP,且已將身分與 Cloud Identity 同步。不過,您仍使用現有的第三方 IdP 進行驗證。您已透過 Cloud Identity 設定單一登入,使用者會先透過 Cloud Identity 登入,然後系統會將他們導向第三方 IdP。(設定其他 Google Cloud 資源或 Google Workspace 時,您可能已完成這項同步作業)。
員工身分聯盟:如果您使用外部識別資訊提供者 (Microsoft Entra ID、Okta、Ping、PingFederate 或其他 OIDC 或 SAML 2.0 IdP),但不想將身分同步到 Cloud Identity,則必須先在 Google Cloud中設定員工身分聯盟,才能為 Gemini Enterprise 啟用資料來源存取控管。
google.subject屬性必須對應至外部 IdP 中的電子郵件地址欄位。以下是常用 IdP 的google.subject和google.groups屬性對應範例:Microsoft Entra ID
Microsoft Entra ID (使用 OIDC 通訊協定)
google.subject=assertion.email google.groups=assertion.groupsMicrosoft Entra ID (使用 SAML 協定)
google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name'][0] google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
如果您使用 Microsoft Entra ID,且有超過 150 個群組,則應設定跨網域身分識別管理系統 (SCIM),透過 Google Cloud 或具有擴充屬性的 Microsoft Entra ID 管理身分,這會使用 Microsoft Graph 擷取群組名稱。設定 SCIM 後,您 (和使用者) 在共用筆記本時,可以輸入群組名稱,不必輸入群組 ID。請參閱「與群組共用筆記本的程序」一文的步驟 2。如果使用 SCIM 或擴充屬性,系統會忽略
google.groups屬性對應。Okta
google.subject=assertion.email google.groups=assertion.groupsgoogle.subject=assertion.subject google.groups=assertion.attributes['groups']
每個 Google Cloud 專案只能選取一個 IdP。
事前準備
開始執行本頁的程序前,請確認下列其中一項為真:
您使用 Cloud Identity 做為 IdP,或
您使用第三方 IdP,並已透過 Cloud Identity 設定 SSO,或
您使用第三方 IdP、已設定員工身分聯盟,且知道工作團隊集區的名稱。
建立專案並啟用 API
如果您已有要使用的 Google Cloud 專案,請從步驟 2 開始。
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Discovery Engine API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。
前往「IAM」頁面 - 選取專案。
- 按一下「授予存取權」。
-
在「New principals」(新增主體) 欄位中輸入使用者 ID。 這通常是 Google 帳戶或使用者群組的電子郵件地址。
- 在「Select a role」(選取角色) 清單中,選取「Cloud NotebookLM Admin」(Cloud NotebookLM 管理員)。 詳情請參閱「使用者角色」。
- 按一下「Save」(儲存)。
前往 Google Cloud 控制台的「Gemini Enterprise」頁面。
在「NotebookLM Enterprise」下方,按一下「管理」。
將「身分設定」設為「Google 識別資訊提供者」或「第三方身分」。
詳情請參閱上方的「關於身分設定」。
如果您使用第三方 IdP,並決定設定員工身分聯盟,請指定工作團隊集區和工作團隊集區供應商的名稱。
複製「連結」。
請將這個連結傳送給 NotebookLM Enterprise 的所有使用者。這是使用者介面的連結,使用者可透過這個介面建立、編輯及共用筆記本。
-
前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。
前往「IAM」頁面 - 選取專案。
- 按一下「授予存取權」。
-
在「New principals」(新增主體) 欄位中輸入使用者 ID。這通常是 Google 帳戶、使用者群組的電子郵件地址,或是員工身分集區中某位使用者的 ID。詳情請參閱「 在 IAM 政策中代表工作人員集區使用者」,或與管理員聯絡。
-
在「Select a role」(選擇角色) 清單中,選取
Cloud NotebookLM User角色。 - 按一下「Save」(儲存)。
授予 Cloud NotebookLM 管理員角色
專案擁有者必須將 Cloud NotebookLM 管理員角色指派給使用者,才能讓他們在這個專案中管理 NotebookLM Enterprise:
設定 NotebookLM Enterprise 的 IdP
專案擁有者或具備 Cloud NotebookLM 管理員角色的使用者可以設定 IdP。
選用:註冊客戶自行管理的加密金鑰
如要使用客戶自行管理的加密金鑰 (CMEK) 而非 Google 預設加密,請按照客戶自行管理的加密金鑰中的操作說明,為 NotebookLM Enterprise 註冊金鑰。
通常只有在貴機構有嚴格的法規要求或內部政策,規定必須控管加密金鑰時,才需要使用 CMEK。在大多數情況下,Google 預設加密就已足夠。如需 CMEK 的一般資訊,請參閱 Cloud Key Management Service 說明文件。
將 NotebookLM Enterprise 角色授予使用者
本節說明如何授予使用者 IAM 角色,讓他們存取、管理及共用筆記本。
除了 Cloud NotebookLM User 角色,使用者還需要 NotebookLM Enterprise 授權。請參閱「取得 NotebookLM Enterprise 授權」。