Zugriffssteuerung

Häufig müssen mehrere Teammitglieder zusammenarbeiten, um einen Agent zu erstellen, und Dienste müssen auf den Agent zugreifen können. Mithilfe von Rollen können Sie den Zugriff und die Berechtigungen steuern, die Hauptkonten gewährt werden.

Sie können den Zugriff über die Conversational Agents Console oder über die Google Cloud Console (Informationen in der Dokumentation, Konsole öffnen) mit Identity and Access Management (IAM) konfigurieren. Mit der Google Cloud Console werden Hauptkonten IAM-Rollen zugewiesen, mit der Conversational Agents Console Dialogflow CX-Agent-Rollen. Dialogflow CX-Agent-Rollen sind praktische vordefinierte Rollen , die von Dialogflow CX definiert werden und den Zugriff auf einen Agent oder die untergeordneten Ressourcen eines bestimmten Agents einschränken.

In bestimmten Situationen müssen Sie jedoch die Google Cloud Console verwenden:

  • Die IAM-Projektinhaberrolle wird standardmäßig dem Nutzer zugewiesen , der das Projekt erstellt hat, dem der Agent gehört. Dieser Inhaber hat uneingeschränkten Zugriff auf alle Agents im Projekt. Wenn Sie den Projektinhaber ändern möchten, müssen Sie die Google Cloud Console verwenden.
  • Der Zugriff auf Agent-Ebene kann nur über die Dialogflow CX-Konsole konfiguriert werden. Wenn Sie den Zugriff auf Projektebene konfigurieren möchten, müssen Sie die Google Cloud Console verwenden.
  • Eine Teilmenge von IAM-Rollen verfügt über entsprechende Dialogflow CX-Agent-Rollen. Wenn Sie eine Rolle auf Projekt- oder Agent-Ebene zuweisen möchten, die in der Dialogflow CX-Konsole nicht vorhanden ist, müssen Sie die Google Cloud Console verwenden.
  • Wenn Sie mit der Vertex AI Conversation-Benutzeroberfläche einen Datenspeicher-Agent erstellen, müssen Sie die Google Cloud Console verwenden.

Wenn Sie die API verwenden, werden an einen Agent möglicherweise auch Anfragen von einer oder mehreren Anwendungen gesendet. In diesem Fall können Sie den Zugriff mithilfe von Dienstkonten steuern.

Zugriff mit der Conversational Agents Console steuern

Mit der Conversational Agents Console können Sie einfache Agent-Rollen anwenden, die für die Freigabe auf Agent-Ebene konfiguriert sind. Diese Rollen beziehen sich auf IAM-Rollen mit IAM-Bedingungen , die den Zugriff auf den jeweiligen Agent oder eine Teilmenge von untergeordneten Ressourcen des Agents einschränken.

Für den Zugriff auf die Konfiguration von Agent-Rollen über die Conversational Agents Console benötigen Sie die Rolle „Projekt-IAM-Administrator“ für das zugehörige Projekt. Diese Rolle wird über die Google Cloud Console gewährt.

Dialogflow CX-Agent-Rolle Zusammenfassung IAM-Rolle
Conversational Reader Lesezugriff auf die Abfrage (Intent nicht erkennen) über die Console oder die API Dialogflow > Dialogflow API Reader
Conversational Admin Ermöglicht vollständigen Zugriff zum Erstellen, Aktualisieren, Abfragen, Erkennen von Intents und Löschen des Agents über die Console oder die API Dialogflow > Dialogflow API Admin
Conversational Client Zugriff zur Intent-Erkennung über die Console oder die API. Dialogflow > Dialogflow API Client
Dienst-Agent Siehe Dienst-Agents Siehe Dienst-Agents
Ablaufeditor Ermöglicht Zugriff auf das Aktualisieren, Abfragen eines bestimmten Ablaufs und Erstellen, Aktualisieren, Löschen oder Abfragen der Ablaufressourcen (Seiten, Routengruppen und -versionen) über die Konsole oder die API. Dialogflow > Dialogflow-Ablaufeditor
Umgebungseditor Berechtigung zum Aktualisieren, Abfragen einer bestimmten Umgebung und zum Erstellen, Aktualisieren, Löschen oder Abfragen der Umgebungsressourcen (Tests) über die Konsole oder die API. Dialogflow > Bearbeiter der Dialogflow-Umgebung
Administrator für Entitätstypen Bietet Zugriff zum Erstellen, Aktualisieren, Löschen oder Abfragen der Entitätstypen eines Agents über die Konsole oder die API. Dialogflow > Administrator von Dialogflow-Entitätstypen
Intent-Administrator Bietet Zugriff zum Erstellen, Aktualisieren, Löschen oder Abfragen der Intents eines Agents über die Konsole oder die API. Dialogflow > Dialogflow Intent-Administrator
Testfalladministrator Berechtigung zum Erstellen, Aktualisieren, Löschen oder Abfragen der Testfälle eines Agents über die Konsole oder die API. Dialogflow > Dialogflow-Testfalladministrator
Webhook-Administrator Bietet Zugriff zum Erstellen, Aktualisieren, Löschen oder Abfragen der Webhooks eines Agents über die Konsole oder die API. Dialogflow > Dialogflow-Webhook-Administrator

Die Freigabeoptionen finden Sie in den Einstellungen des Agents. So öffnen Sie die Freigabeeinstellungen des Agents:

  1. Öffnen Sie die Dialogflow CX-Konsole.
  2. Wählen Sie Ihr Google Cloud-Projekt aus.
  3. Wählen Sie den Agent aus.
  4. Klicken Sie auf Agent-Einstellungen.
  5. Klicken Sie auf den Tab Share (Freigeben).

Hauptkonto hinzufügen

  1. Klicken Sie auf Add.
  2. Geben Sie die E-Mail-Adresse des Nutzers, der Gruppe oder des Dienstkontos ein.
  3. Wählen Sie als E-Mail-Typ User (Nutzer), Group (Gruppe) oder Service Account (Dienstkonto) aus.
  4. Die Rolle Dialogflow Reader (Dialogflow-Leser) wird standardmäßig hinzugefügt. Diese ist erforderlich, damit die Nutzer auf die Conversational Agents Console zugreifen können.
  5. Klicken Sie unter Assign roles (Rollen zuweisen) auf Add role (Rolle hinzufügen).
  6. Wählen Sie unter Typ einen Rollentyp aus.
  7. Wählen Sie für die Rollen Ablaufeditor und Umgebungseditor bestimmte Abläufe oder Umgebungen aus oder behalten Sie die Standardoption Alle bei.
  8. Legen Sie optional das Ablaufdatum für die Rolle fest.
  9. Klicken Sie auf Speichern.

Hauptkontorollen ändern

  1. Klicken Sie in der Liste auf das Hauptkonto.
  2. Aktualisieren Sie die Rollen für dieses Hauptkonto im Pop-up-Fenster.
  3. Klicken Sie auf Speichern.

Hauptkonto entfernen

  1. Suchen Sie in der Liste nach dem Hauptkonto.
  2. Klicken Sie auf die Schaltfläche zum Löschen des jeweiligen Hauptkontos.
  3. Klicken Sie auf OK.

Zugriff mit der Google Cloud Console steuern

Sie können den Zugriff über die IAM-Einstellungen steuern. Ausführliche Informationen zum Hinzufügen, Bearbeiten und Entfernen von Berechtigungen finden Sie in der Kurzanleitung für IAM.

Öffnen Sie in der Google Cloud Console die IAM Seite, um auf die Einstellungen zuzugreifen.

Nutzer oder Dienstkonto zum Projekt hinzufügen

Wenn Sie Nutzern oder Dienstkonten Berechtigungen zuweisen möchten können Sie ihnen Rollen für Ihr Google Cloud Projekt zuweisen. Nutzer werden durch Angabe ihrer E-Mail-Adresse hinzugefügt. Auch Dienstkonten können durch die Angabe der zugehörigen E-Mail-Adresse hinzugefügt werden. Das Hinzufügen von Dienstkonten ist erforderlich, wenn Sie ein Dienstkonto für mehrere Projekte verwenden möchten. Die E-Mail-Adresse Ihres Dienstkontos finden Sie auf der IAM Dienstkonten Seite in der Google Cloud Console.

So fügen Sie ein Hauptkonto hinzu:

  1. Klicken Sie oben auf der Seite auf die Schaltfläche zum Hinzufügen eines Mitglieds.
  2. Geben Sie die E-Mail-Adresse Ihres Hauptkontos ein.
  3. Wählen Sie eine Rolle aus.
  4. Klicken Sie auf Speichern.

Berechtigungen ändern

  1. Klicken Sie auf die Schaltfläche zum Bearbeiten des jeweiligen Hauptkontos.
  2. Wählen Sie eine andere Rolle aus.
  3. Klicken Sie auf Speichern.

Hauptkonto entfernen

  1. Klicken Sie auf die Schaltfläche zum Löschen des jeweiligen Hauptkontos.

Bedingung hinzufügen, um den Zugriff auf einen Agent einzuschränken

Wenn Sie ein Hauptkonto hinzufügen oder bearbeiten, können Sie eine IAM-Bedingung erstellen, die den Zugriff auf einen Agent einschränkt.

Beispiel:

{
    "expression": "resource.name.startsWith(\"projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID\")",
    "title": "For Dialogflow CX Agent AGENT_ID"
}

Mit dieser Bedingung erhalten Sie grundlegenden Zugriff auf einen bestimmten Agent. Zum Beispiel kann ein Dienstkonto mit dieser Bedingung nur die Dialogflow CX API aufrufen, um auf den Agent zuzugreifen, der in der Bedingung für das Projekt angegeben ist, jedoch nicht für andere Agents im Projekt.

So fügen Sie diese Bedingung einer Rolle hinzu, die einem Hauptkonto zugewiesen ist:

  1. Wählen Sie ein Hauptkonto aus.
  2. Klicken Sie auf die Schaltfläche zum Bearbeiten des jeweiligen Hauptkontos.
  3. Klicken Sie auf Bedingung hinzufügen.
  4. Geben Sie im Feld Titel For Dialogflow CX Agent AGENT_ID ein und ersetzen Sie "AGENT_ID" durch Ihre Agent-ID.
  5. Sie können auch eine beliebige Beschreibung hinzufügen.
  6. Wählen Sie den Bedingungseditor aus, um die Bedingung zu erstellen.
  7. Fügen Sie den Ausdruck resource.name.startsWith("projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID") hinzu und ersetzen Sie AGENT_ID durch Ihre Agent-ID und PROJECT_ID durch Ihre Projekt-ID.
  8. Klicken Sie auf Speichern.

IAM-Rollen

In der folgenden Tabelle sind häufig verwendete IAM-Rollen aufgeführt, die für Dialogflow CX relevant sind. In der Zusammenfassung der Berechtigungen in der Tabelle werden die folgenden Begriffe verwendet:

  • Vollständiger Zugriff: Berechtigung zum Ändern des Zugriffs, zum Erstellen, Löschen, Bearbeiten und Lesen einer beliebigen Ressource.
  • Bearbeitungszugriff: Berechtigung zum Erstellen, Löschen, Bearbeiten und Lesen einer beliebigen Ressource.
  • Sitzungszugriff: Berechtigung zum Aufrufen von Methoden für Ressourcen, die nur zur Laufzeit während einer Unterhaltung verwendet werden, z. B. zum Erkennen von Intents, Aktualisieren des Kontexts, Aktualisieren von Sitzungsentitäten oder für Agent Assist-Unterhaltungsinteraktionen.
  • Lesezugriff: Berechtigung zum Lesen einer beliebigen Ressource.
IAM-Rolle Zusammenfassung der Berechtigungen Berechtigungsdetails
Projekt >
Inhaber		 Für Projektinhaber die vollständigen Zugriff auf alle Google Cloud und Dialogflow CX-Ressourcen benötigen:
  • Vollständiger Zugriff auf alle Google Cloud Projektressourcen über die Google Cloud Console oder APIs.
  • Vollständiger Zugriff auf Agents über die Conversational Agents Console.
  • Intent-Erkennung mithilfe der API
 Siehe Definitionen von einfachen IAM-Rollen.
Projekt >
Editor		 Für Projektbearbeiter , die Bearbeitungszugriff auf alle Google Cloud und Dialogflow CX-Ressourcen benötigen:
  • Bearbeitungszugriff auf alle Google Cloud Projektressourcen über die Google Cloud Console oder APIs.
  • Bearbeitungszugriff auf Agents über die Conversational Agents Console.
  • Intent-Erkennung mithilfe der API
 Siehe Definitionen von einfachen IAM-Rollen.
Projekt >
Betrachter		 Für Projektbetrachter die Lesezugriff auf alle Google Cloud und Dialogflow CX-Ressourcen benötigen:
  • Lesezugriff auf alle Google Cloud Projektressourcen über die Google Cloud Console oder APIs.
  • Lesezugriff auf Agents über die Conversational Agents Console oder die API, kann den Simulator nicht verwenden.
  • Keine Intent-Erkennung mithilfe der API
 Siehe Definitionen von einfachen IAM-Rollen.
Projekt >
IAM-Administrator		 Für Projekt-IAM-Administratoren die Bearbeitungszugriff auf die Konfiguration von Dialogflow CX-Agent-Rollen benötigen. Siehe Definitionen von IAM-Ressourcenmanager-Rollen.
Projekt >
Browser		 Für Projektbrowser die Lesezugriff zum Einsehen der Hierarchie eines Projekts benötigen, einschließlich Ordner, Organisation und IAM-Richtlinie:
  • Lesezugriff auf die Google Cloud Projekthierarchie.
  • Kein Zugriff auf Agents über die Conversational Agents Console.
  • Keine Intent-Erkennung mithilfe der API
 Siehe Definitionen von IAM-Projektrollen.
Dialogflow >
Dialogflow API-Administrator		 Für Dialogflow CX API-Administratoren die vollständigen Zugriff auf Dialogflow CX-spezifische Ressourcen benötigen:
  • Vollständiger Zugriff auf alle Dialogflow CX-Ressourcen über die Google Cloud Console oder APIs.
  • Vollständiger Zugriff auf Agents über die Conversational Agents Console.
  • Intent-Erkennung mithilfe der API
 Siehe IAM-Rollendefinitionen für Dialogflow
Dialogflow >
Dialogflow API-Client		 Für Dialogflow CX API-Clients die Intent-Aufrufe mit der API erkennen:
  • Sitzungszugriff auf Dialogflow CX-Ressourcen zur Laufzeit über den Dialogflow CX-Simulator oder die API.
  • Beschränkter Zugriff auf Agents über die Conversational Agents Console.
  • Intent-Erkennung mithilfe der API
 Siehe IAM-Rollendefinitionen für Dialogflow
Dialogflow >
Agent-Bearbeiter in der Conversational Agents Console		 Für Bearbeiter der Conversational Agents Console, die vorhandene Agents bearbeiten:
  • Vollständiger Zugriff auf alle Dialogflow CX-Ressourcen über die Google Cloud Console.
  • Bearbeitungszugriff auf die meisten Agent-Daten über die Conversational Agents Console.
  • Intent-Erkennung mithilfe der API
 Siehe IAM-Rollendefinitionen für Dialogflow
Dialogflow >
Dialogflow API Reader		 Für Dialogflow API-Clients die Dialogflow CX-spezifische schreibgeschützte Aufrufe über die API ausführen:
  • Lesezugriff auf alle Dialogflow CX-Ressourcen über die Google Cloud Console oder APIs.
  • Lesezugriff auf Agents über die Conversational Agents Console, kann den Simulator nicht verwenden.
  • Keine Intent-Erkennung mithilfe der API
 Siehe IAM-Rollendefinitionen für Dialogflow
Discovery Engine-Administrator Für Nutzer, die Datenspeicher-Agents mit der Vertex AI Agents-Benutzeroberfläche erstellen. Siehe Definitionen von IAM-Rollen für die Discovery Engine.

OAuth

Wenn Sie Google-Clientbibliotheken für den Zugriff auf Dialogflow CX verwenden, müssen Sie OAuth nicht direkt verwenden, da diese Bibliotheken die Implementierung für Sie übernehmen. Wenn Sie jedoch einen eigenen Client implementieren, müssen Sie möglicherweise einen eigenen OAuth-Ablauf implementieren. Für den Zugriff auf die Dialogflow CX API ist einer der folgenden OAuth-Bereiche erforderlich:

  • https://www.googleapis.com/auth/cloud-platform (Zugriff auf alle Projektressourcen)
  • https://www.googleapis.com/auth/dialogflow (Zugriff auf Dialogflow CX-Ressourcen)

Anfragen, die den Zugriff auf Cloud Storage umfassen

Bei einigen Dialogflow CX-Anfragen wird auf Objekte in Cloud Storage zugegriffen, um Daten zu lesen oder zu schreiben. Wenn Sie eine dieser Anfragen aufrufen, greift Dialogflow CX im Namen des Aufrufers auf die Cloud Storage-Daten zu. Das bedeutet, dass Ihre Anfrageauthentifizierung Berechtigungen für den Zugriff auf Dialogflow CX sowie auf die Cloud Storage-Objekte haben muss.

Wenn Sie eine Google-Clientbibliothek und IAM-Rollen verwenden, finden Sie Informationen zu Cloud Storage-Rollen in der Anleitung zur Zugriffssteuerung für Cloud Storage.

Wenn Sie einen eigenen Client implementieren und OAuth, müssen Sie den folgenden OAuth-Bereich verwenden:

  • https://www.googleapis.com/auth/cloud-platform (Zugriff auf alle Projektressourcen)

Benutzerdefinierte Rollen für den Zugriff auf Playbook-Tools

Mit Berechtigungen und benutzerdefinierten Rollen können Sie eine detaillierte Zugriffssteuerung für Playbook-Tools einrichten.

Sie können die verfügbaren Berechtigungen auflisten, indem Sie das Tool zur Berechtigungssuche aufrufen und nach dialogflow.toolssuchen.

Mit diesen Berechtigungen, können Sie benutzerdefinierte Rollen erstellen.

Zurück
Legacy Analytics
Weiter
Agentenzusammenarbeit