בקרת גישה

מקובל שכמה חברי צוות משתפים פעולה בבניית סוכן, וששירותים ניגשים לסוכן. באמצעות תפקידים, אתם יכולים לשלוט בגישה ובהרשאות שניתנות לגורמים ראשיים.

אם אתם משתמשים ב-API, יכול להיות שיש לכם גם אפליקציה אחת או יותר ששולחות בקשות לסוכן. במקרה כזה, אפשר לשלוט בגישה באמצעות חשבונות שירות.

אפשר לשלוט בגישה באמצעות ניהול זהויות והרשאות גישה (IAM) או מסוף Dialogflow.

מסוף Dialogflow מספק את תפקיד האדמין של הסוכן למשתמש שיצר את הסוכן. המשתמש הזה מקבל באופן אוטומטי את התפקיד 'Project Owner' ב-IAM בפרויקט שמשויך לסוכן.

אדמינים של סוכנים יכולים להוסיף מפתחים ובודקים לסוכן ב-Dialogflow Console. כשמעניקים את התפקיד 'מפתח' או 'בודק' במסוף Dialogflow, המשתמש מקבל את התפקיד 'עורך פרויקט' ב-IAM או את התפקיד 'צופה בפרויקט' ב-IAM, בהתאמה. דרך נוספת להוסיף מפתחים ובודקים לסוכן היא להעניק למשתמשים את התפקידים המתאימים ב-IAM: עריכת פרויקט ב-IAM או צפייה בפרויקט ב-IAM ב Google Cloud מסוף.

יש מצבים שבהם צריך להשתמש במסוף Google Cloud :

  • אם רוצים לשנות את האדמין, להוסיף כמה אדמינים לסוכן אחד או להסיר אדמינים מסוכן, צריך להשתמש במסוף Google Cloud .
  • אם יש לכם שילובים עם משאבים אחרים ב- Google Cloud , כמו Cloud Functions, ואתם לא רוצים להעניק לאפליקציה גישה מלאה לפרויקט, אתם צריכים להקצות את התפקידים של Dialogflow API (אדמין, לקוח או קורא) במסוף Google Cloud ל-IAM.
  • לחלק מתפקידי IAM יש תפקידים מקבילים במסוף Dialogflow. אם רוצים להעניק תפקיד שלא קיים ב-Dialogflow Console, צריך להשתמש ב- Google Cloud Console.

תפקידים

בטבלה הבאה מפורטים תפקידים נפוצים שרלוונטיים ל-Dialogflow, הקשר בין התפקידים במסוף Dialogflow לבין התפקידים ב-IAM ופרטים על ההרשאות.

בטבלה, סיכומי ההרשאות כוללים את המונחים הבאים:

  • גישה מלאה: הרשאה לשנות את הגישה, ליצור, למחוק, לערוך ולקרוא כל משאב.
  • גישת עריכה: הרשאה ליצור, למחוק, לערוך ולקרוא כל משאב.
  • גישה לסשן: הרשאה להפעלת שיטות עבור משאבים שזמינים רק בזמן ריצה במהלך שיחה, כמו זיהוי כוונות, עדכון ההקשר, עדכון ישויות של הסשן או אינטראקציות בשיחה של Agent Assist. הגישה הזו מספקת קבוצת משנה של ההרשאות שמוקצות בגישה מלאה ובגישת עריכה.
  • גישת קריאה: הרשאה לקרוא כל משאב.
תפקיד ב-Dialogflow Console תפקיד IAM סיכום הרשאות פרטי הרשאה
אדמין פרויקט >
בעלים		 הענקת הרשאה לבעלי הפרויקט שזקוקים לגישה מלאה לכל המשאבים של Google Cloud ו-Dialogflow:
  • גישה מלאה לכל Google Cloud משאבי הפרויקט באמצעות Google Cloud המסוף או ממשקי API.
  • גישה מלאה לסוכנים באמצעות Dialogflow Console.
  • אפשר לזהות כוונות באמצעות API.
  • אפשר לשנות את מהדורת הסוכן ב-Dialogflow Console או באמצעות API.
 מידע נוסף זמין במאמר הגדרות של תפקידים בסיסיים ב-IAM.
מפתח פרויקט >
עורך		 נותנים לאנשים עם הרשאת עריכה בפרויקט Google Cloud גישת עריכה לכל המשאבים של Dialogflow:
  • עריכת הגישה לכל המשאבים בפרויקט באמצעות מסוף Google Cloud או ממשקי API. Google Cloud
  • עריכת הגישה לסוכנים באמצעות מסוף Dialogflow.
  • אפשר לזהות כוונות באמצעות API.
 מידע נוסף זמין במאמר הגדרות של תפקידים בסיסיים ב-IAM.
משתמש בעל הרשאת בדיקה פרויקט >
בעל הרשאת צפייה		 נותנים לצופים בפרויקט שזקוקים לגישת קריאה לכל המשאבים של Google Cloud ו-Dialogflow:
  • הרשאת קריאה לכל Google Cloud משאבי הפרויקט באמצעות Google Cloud המסוף או ממשקי API.
  • סוכנים עם גישת קריאה באמצעות Dialogflow Console או API לא יכולים להשתמש בסימולטור.
  • אי אפשר לזהות כוונה באמצעות API.
 מידע נוסף זמין במאמר הגדרות של תפקידים בסיסיים ב-IAM.
לא רלוונטי פרויקט >
דפדפן		 הקצאת הרשאות לדפדפני פרויקטים שזקוקים לגישת קריאה כדי לעיין בהיררכיה של פרויקט, כולל התיקייה, הארגון ומדיניות IAM:
  • הרשאת קריאה ל Google Cloud היררכיית הפרויקט.
  • אין גישה לסוכנים באמצעות מסוף Dialogflow.
  • אי אפשר לזהות כוונה באמצעות API.
 מידע נוסף זמין במאמר הגדרות של תפקידים ב-IAM ברמת הפרויקט.
לא רלוונטי Dialogflow >
Dialogflow API Admin		 הקצאת הרשאות לאדמינים של Dialogflow API שזקוקים לגישה מלאה למשאבים ספציפיים ל-Dialogflow:
  • גישה מלאה לכל המשאבים של Dialogflow באמצעות Google Cloud המסוף או ממשקי ה-API.
  • הרשאת קריאה לסוכנים באמצעות מסוף Dialogflow.
  • אפשר לזהות כוונות באמצעות API.
 הגדרות של תפקידי IAM ב-Dialogflow
לא רלוונטי ‫Dialogflow >
Dialogflow API Client		 נותנים ללקוחות Dialogflow API שמבצעים קריאות לזיהוי כוונות באמצעות ה-API את ההרשאות הבאות:
  • גישה להפעלת משאבי Dialogflow בזמן ריצה באמצעות סימולטור Dialogflow או API.
  • גישה מוגבלת לסוכנים באמצעות מסוף Dialogflow.
  • אפשר לזהות כוונות באמצעות API.
 הגדרות של תפקידי IAM ב-Dialogflow
לא רלוונטי ‫Dialogflow >
הכלי לעריכת סוכנים ב-Dialogflow Console		 נותנים לעורכים ב-Dialogflow Console שעורכים סוכנים קיימים:
  • גישה מלאה לכל המשאבים של Dialogflow באמצעות Google Cloud המסוף.
  • אפשר לערוך את הגישה לרוב נתוני הסוכנים באמצעות Dialogflow Console. אין גישה לעורך המוטמע של Cloud Functions או לשילוב של Google Assistant.
  • אפשר לזהות כוונות באמצעות API.
 הגדרות של תפקידי IAM ב-Dialogflow
לא רלוונטי ‫Dialogflow >
Dialogflow API Reader		 הענקת הרשאות ללקוחות Dialogflow API שמבצעים קריאות לקריאה בלבד שספציפיות ל-Dialogflow באמצעות ה-API:
  • הרשאת קריאה לכל משאבי Dialogflow באמצעות Google Cloud המסוף או ממשקי ה-API.
  • משתמשים עם גישת קריאה לסוכנים באמצעות Dialogflow Console לא יכולים להשתמש בסימולטור.
  • אי אפשר לזהות כוונה באמצעות API.
 הגדרות של תפקידי IAM ב-Dialogflow

שליטה בגישה באמצעות Google Cloud המסוף

אפשר לשלוט בגישה באמצעות הגדרות IAM. במדריך לתחילת העבודה עם IAM מוסבר איך מוסיפים, עורכים ומסירים הרשאות.

כדי לגשת להגדרות שבהמשך, פותחים את הדף IAM במסוף Google Cloud .

הוספת משתמש או חשבון שירות לפרויקט

כדי לתת הרשאות למשתמשים או לחשבונות שירות, צריך להקצות להם תפקידים בפרויקט Google Cloud . כדי להוסיף משתמשים, צריך לציין את כתובות האימייל שלהם. אפשר גם להוסיף חשבונות שירות באמצעות כתובת האימייל המשויכת שלהם. צריך להוסיף חברים לחשבון שירות כשרוצים להשתמש בחשבון שירות אחד לכמה פרויקטים וסוכנים. כדי למצוא את כתובת האימייל שמשויכת לחשבון השירות, אפשר לעיין בדף Service Accounts ב-IAM במסוף Google Cloud .

כדי להוסיף חברים:

  1. לוחצים על לחצן ההוספה בחלק העליון של הדף.
  2. מזינים את כתובת האימייל של חבר הקבוצה.
  3. בוחרים תפקיד.
  4. לוחצים על Save.

שינוי הרשאות

  1. לוחצים על לחצן העריכה לצד שם המשתמש.
  2. בוחרים תפקיד אחר.
  3. לוחצים על Save.

הסרת חברים

  1. לוחצים על לחצן המחיקה לצד שם החבר.

שליטה בגישה באמצעות Dialogflow Console

אפשרויות השיתוף נמצאות בהגדרות של הסוכן. כדי לפתוח את הגדרות השיתוף של הסוכן:

  1. עוברים אל מסוף Dialogflow ES.
  2. בוחרים את הסוכן בחלק העליון של תפריט הסרגל הצדדי הימני.
  3. לוחצים על לחצן ההגדרות לצד שם הסוכן.
  4. לוחצים על הכרטיסייה שיתוף. אם הכרטיסייה שיתוף לא מופיעה, סימן שאין לכם את תפקיד האדמין של הסוכן שנדרש.

בכרטיסייה 'שיתוף' מוצגים משתמשים עם רמת הגישה שלהם.

הוספת משתמש

  1. מזינים את כתובת האימייל של המשתמש בקטע הזמנת אנשים חדשים.
  2. בוחרים תפקיד.
  3. לוחצים על הוספה.
  4. לוחצים על Save.

שינוי הרשאות

  1. מאתרים את המשתמש ברשימה.
  2. בוחרים תפקיד אחר.
  3. לוחצים על Save.

הסרת משתמש

  1. מאתרים את המשתמש ברשימה.

  2. לוחצים על לחצן המחיקה של המשתמש.

  3. לוחצים על Save.

חשבונות שירות שנוצרו באופן אוטומטי

כשיוצרים סוכן ועובדים איתו, מערכת Dialogflow יוצרת באופן אוטומטי כמה סוכני שירות.

כדי לראות את התפקידים שניתנו לסוכני השירות האלה, צריך להפעיל את האפשרות Include Google-provided role grants בדף IAM.

אסור למחוק, לערוך או להוריד מפתחות של סוכני השירות האלה, וגם אסור להשתמש בסוכני השירות האלה כדי לבצע קריאות ישירות ל-API. הם משמשים רק את שירות Dialogflow כדי להתחבר למגוון שירותים שבהם משתמש הנציג שלכם. Google Cloud יכול להיות שתצטרכו לפנות לסוכני השירות האלה באימייל כשאתם מגדירים תכונות מסוימות של Dialogflow.

בטבלה הבאה מתוארים חלק מסוכני השירות האלה:

טופס אימייל של IAM מטרה
service-project-number
@gcp-sa-dialogflow.iam.gserviceaccount.com		 הוא משמש לחיבור הנציג לשירותים שמטפלים בתנועה של שילובים.
firebase-adminsdk-alphanum
@project-id.iam.gserviceaccount.com		 הוא משמש לחיבור הסוכן לשירותים שמטפלים בתנועה של שילוב עם Google Assistant.
project-id
@appspot.gserviceaccount.com		 הוא משמש לחיבור הסוכן לשירותים שמטפלים בתנועה של שילוב עם Google Assistant.

העברת תפקיד אדמין

כדי להעביר את תפקיד האדמין של סוכן, האדמין הקיים צריך לפעול לפי השלבים שלמעלה כדי להוסיף אדמין חדש. אחרי שהאדמין החדש יאשר את התפקיד שהוקצה לו, אפשר יהיה להסיר את האדמין הקודם.

אם האדמין הקיים כבר לא עובד בארגון, ואתם רוצים להעביר את תפקיד האדמין לעובד אחר, יש לכם שתי אפשרויות:

  • לאדמין של הארגון שמשויך לפרויקט של הסוכן יש הרשאות לשנות את האדמין של הסוכן.
  • אם יש לכם הרשאות קריאה לסוכן, אתם יכולים לייצא את הסוכן ולייבא אותו לסוכן שבו העובד הרצוי הוא אדמין. יכול להיות שיהיה זמן השבתה לסוכן ייצור פעיל בזמן שהסוכן מועבר וכל השילובים מתעדכנים.

OAuth

אם אתם משתמשים בספריות לקוח של Google כדי לגשת ל-Dialogflow, אתם לא צריכים להשתמש ב-OAuth באופן ישיר, כי הספריות האלה מטפלות בהטמעה בשבילכם. עם זאת, אם אתם מטמיעים לקוח משלכם, יכול להיות שתצטרכו להטמיע תהליך OAuth משלכם. כדי לגשת ל-Dialogflow API, צריך אחד מהיקפי ההרשאות הבאים של OAuth:

  • https://www.googleapis.com/auth/cloud-platform (גישה לכל משאבי הפרויקט)
  • https://www.googleapis.com/auth/dialogflow (גישה למשאבי Dialogflow)

בקשות שכוללות גישה ל-Cloud Storage

חלק מהבקשות של Dialogflow ניגשות לאובייקטים ב-Cloud Storage כדי לקרוא או לכתוב נתונים. כשמתקשרים לאחת מהבקשות האלה, Dialogflow ניגש לנתונים ב-Cloud Storage בשם המתקשר. כלומר, לאימות הבקשה שלכם צריכות להיות הרשאות גישה ל-Dialogflow ולאובייקטים ב-Cloud Storage.

אם אתם משתמשים בספריית לקוחות של Google ובתפקידי IAM, תוכלו לקרוא מידע על תפקידים ב-Cloud Storage במדריך לבקרת גישה ב-Cloud Storage.

כשמטמיעים לקוח משלכם ומשתמשים ב-OAuth, צריך להשתמש בהיקף ההרשאות הבא של OAuth:

  • https://www.googleapis.com/auth/cloud-platform (גישה לכל משאבי הפרויקט)
הקודם
Training
הבא
Using multiple projects