데이터 소스 액세스 제어를 적용하고 Gemini Enterprise에서 데이터를 보호하려면 ID 공급업체를 구성해야 합니다. 여기에는 ID 공급업체를 설정하고 데이터 소스의 권한을 관리하는 작업이 포함됩니다. Google은 ID 공급업체를 사용하여 검색을 수행하는 최종 사용자를 식별하고 결과로 반환되는 문서에 액세스할 수 있는지 확인합니다.
ID 공급업체 유형 선택
선택하는 ID 제공업체의 유형은 Gemini Enterprise 앱에 연결된 데이터 소스에 따라 다릅니다. Gemini Enterprise는 다음 옵션을 지원합니다.
| ID 공급업체 유형 | 사용 시기 |
|---|---|
| Google Identity |
Gemini Enterprise를 Google Workspace 데이터 소스에 연결할 때는 Google ID를 사용해야 합니다.
Google ID를 구성하기 전에 조직에서 사용하는 고유 사용자 속성(일반적으로 사용자의 이메일)을 확인해야 합니다. 사용자에게 이메일 주소가 두 개 이상 있는 경우 이메일 별칭을 추가해야 합니다. |
| 타사 ID 공급업체 |
Gemini Enterprise를 서드 파티 데이터 소스에만 연결하고 Microsoft Entra ID, Active Directory Federation Services(AD FS), Okta 등과 같이 OIDC 또는 SAML 2.0을 지원하는 서드 파티 ID 공급업체를 이미 사용하고 있는 경우 직원 ID 제휴를 사용해야 합니다.
자세한 내용은 직원 ID 제휴를 참고하세요.
직원 ID 제휴를 구성하기 전에 조직에서 사용하는 고유한 사용자 속성을 확인해야 하며 이러한 속성은 직원 ID 제휴와 매핑되어야 합니다. |
서드 파티 ID 공급업체의 직원 ID 제휴
이 섹션에서는 서드 파티 ID 공급업체에 직원 ID 제휴를 구성하는 방법을 설명합니다. 필요에 따라 직원 ID 제휴 설정이 예상대로 작동하는지 확인할 수 있습니다.
직원 ID 제휴 구성
서드 파티 ID 커넥터로 직원 ID 제휴를 구성하는 방법에 관한 자세한 내용은 다음 리소스를 참고하세요.
| ID 공급업체 | 리소스 |
|---|---|
| Entra ID | |
| Okta | |
| OIDC 또는 SAML 2.0 |
속성 매핑 구성
속성 매핑을 사용하면 직원 ID 제휴를 통해 서드 파티 ID 정보를 Google에 연결할 수 있습니다.
직원 ID 제휴에서 속성 매핑을 구성할 때는 다음 사항을 고려하세요.
google.subject속성은 속성 매핑, 라이선스 할당, NotebookLM 공유에 사용됩니다. 라이선스 할당은 대소문자를 구분하므로google.subject을 사용자의 이메일 주소에 소문자로 매핑하는 것이 좋습니다.조직에 고유 식별자가 두 개 이상 있는 경우
attribute.as_user_identifier_number between 1 and 50속성을 사용하여 이러한 고유 조직 속성을 매핑합니다.예를 들어 조직에서 여러 애플리케이션에 걸쳐 이메일과 주 구성원 이름을 모두 사용자 식별자로 사용하고 주 구성원 이름이 서드 파티 ID 공급업체에서
preferred_username으로 설정된 경우 직원 ID 제휴 속성 매핑(예:attribute.as_user_identifier_1=assertion.preferred_username)을 사용하여 Gemini Enterprise에 매핑할 수 있습니다.
다음 예에서는 일반적인 ID 공급업체에 필요한 속성 매핑을 보여줍니다. 앞서 설명한 대로 속성 매핑을 더 추가하여 고유 식별자를 추가로 지원할 수 있습니다.
OIDC 프로토콜을 사용하는 Entra ID
이 예에서는 이메일을 사용하여 사용자를 고유하게 식별합니다.google.subject=assertion.email.lowerAscii() google.groups=assertion.groups google.display_name=assertion.given_nameSAML 프로토콜을 사용하는 Entra ID
이 예에서는 SAML 이름 ID를 사용하여 사용자를 고유하게 식별합니다.google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'][0].lowerAscii() google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups'] google.display_name=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname'][0]OIDC 프로토콜을 사용하는 Okta
이 예에서는 이메일을 사용하여 사용자를 고유하게 식별합니다.google.subject=assertion.email.lowerAscii() google.groups=assertion.groupsSAML 프로토콜을 사용하는 Okta
이 예에서는 JWT의 주체 어설션을 사용하여 사용자를 고유하게 식별합니다.google.subject=assertion.subject.lowerAscii() google.groups=assertion.attributes['groups']
선택사항: 직원 ID 제휴 설정 확인
직원 ID 제휴 감사 로깅 기능을 사용하여 로그인 성공 여부와 올바른 속성 매핑을 확인하려면 다음 단계를 따르세요.
데이터 액세스 활동의 Security Token Service API에 대한 감사 로그를 사용 설정합니다.
-
Google Cloud 콘솔에서 감사 로그 페이지로 이동합니다.
검색창을 사용하여 이 페이지를 찾은 경우 부제목이 IAM 및 관리자인 결과를 선택합니다.
- 기존 Google Cloud 프로젝트, 폴더 또는 조직을 선택합니다.
- 데이터 액세스 감사 로그를 사용 설정합니다.
- 감사 로그를 사용 설정하는 방법에 관한 자세한 단계는 Logging 문서를 참고하세요.
- 보안 토큰 서비스 API의 경우 관리자 읽기 감사 로그 유형을 선택합니다. 자세한 내용은 직원 ID 제휴 로그 예시를 참고하세요.
-
직원 풀에서 상세 로깅을 사용 설정합니다. Microsoft Entra ID의 직원 ID 제휴 확장 그룹 기능은 자세한 감사 로깅 정보를 생성하지 않습니다.
직원 ID 풀 페이지로 이동합니다.
테이블에서 풀을 선택합니다.
상세 감사 로깅 사용 설정 전환 버튼을 클릭하여 사용 위치로 전환합니다.
풀 저장을 클릭합니다.
제공업체 섹션에서 제공업체의 로그인 URL을 클릭하고 직원 풀 사용자로 Google Cloud 콘솔에 로그인합니다.
로그인할 때 생성된 감사 로그를 확인합니다.
직원 ID 풀 페이지로 이동합니다.
테이블에서 로그인한 풀을 선택합니다.
로그 옆에 있는 보기를 클릭합니다.
감사 로그 페이지의 쿼리에서
protoPayload.resourceName필터를 지웁니다.쿼리 실행을 클릭합니다.
감사 로그에서 로그인 타임스탬프와 일치하는
google.identity.sts.SecurityTokenService.WebSignIn메서드가 있는 항목을 확인합니다.로그의
metadata.mapped_attributes필드가 서드 파티 ID 공급업체의 직원 ID 제휴를 구성할 때 사용한 속성과 일치하는지 확인합니다.예를 들면 다음과 같습니다.
"metadata": { "mapped_attributes": { "attributes.as_user_identifier_1": "alex@admin.altostrat.com" "google.subject": "alex@altostrat.com" "google.groups": "[123abc-456d, efg-h789-ijk]" } },
제한사항
커넥터를 사용해 데이터 소스를 연결하여 데이터 스토어를 만들 때 다음 제한사항이 적용됩니다.
문서당 3,000명의 독자가 허용됩니다. 각 주 구성원은 그룹 또는 개별 사용자일 수 있으며 독자로 간주됩니다.
Gemini Enterprise에서 지원하는 위치당 하나의 ID 공급업체 유형을 선택할 수 있습니다.
ID 공급업체 유형 또는 직원 풀을 변경하여 ID 공급업체 설정을 업데이트하면 기존 데이터 스토어가 새 설정으로 자동 업데이트되지 않습니다. 새 ID 설정을 적용하려면 이러한 데이터 스토어를 삭제하고 다시 만들어야 합니다.
데이터 소스를 액세스 제어됨 상태로 설정하려면 데이터 스토어를 만들 때 이 설정을 선택해야 합니다. 기존 데이터 스토어의 경우 이 설정을 사용 또는 사용 중지할 수 없습니다.
서드 파티 액세스 제어를 사용하는 검색 앱의 UI 결과를 미리보려면 제휴 콘솔에 로그인하거나 웹 앱을 사용해야 합니다. 앱 미리보기를 참고하세요.
ID 공급업체에 연결
다음 섹션에서는Google Cloud 콘솔을 사용하여 ID 공급업체에 연결하는 방법을 설명합니다.
시작하기 전에
ID 공급업체를 연결하기 전에 다음을 수행합니다.
관리자에게 권한을 부여합니다.
서드 파티 ID 공급업체를 연결하는 경우 직원 ID 제휴를 구성합니다.
ID 공급업체 연결
Gemini Enterprise의 ID 공급업체를 지정하고 데이터 소스 액세스 제어를 사용 설정하려면 다음 단계를 따르세요.
Google Cloud 콘솔에서 Gemini Enterprise 페이지로 이동합니다.
설정 > 인증을 클릭합니다.
업데이트할 위치에 대해 ID 공급업체 추가를 클릭합니다.
ID 공급업체 추가를 클릭하고 ID 공급업체 유형을 선택합니다.
서드 파티 ID를 선택하는 경우 데이터 소스에 적용되는 직원 풀도 선택해야 합니다.변경사항 저장을 클릭합니다.
사용자에게 권한 부여
앱에 액세스하고, 앱을 관리하고, 앱을 공유하려면 검색 엔진 사용자(roles/discoveryengine.user) 역할이 필요합니다.
| ID 공급업체 유형 | 설명 |
|---|---|
| Google Identity |
|
| 타사 ID 공급업체 |
|
ID 공급업체 설정 변경이 인그레스 커넥터에 미치는 영향
ID 공급업체 또는 직원 ID 제휴 풀과 같은 ID 설정을 변경하면 데이터 수집을 사용하는 기존 데이터 스토어가 자동으로 업데이트되지 않습니다. 새 ID 설정을 적용하려면 영향을 받는 데이터 스토어를 삭제하고 다시 만들어야 합니다.
다음 표에는 데이터 스토어를 다시 만들어야 하는 ID 설정 변경사항이 요약되어 있습니다.
| 유형 변경 | 데이터 스토어 재생성이 필요함 |
|---|---|
| Google ID와 서드 파티 ID 공급업체 간 전환 | 예 |
| 새 직원 ID 제휴 풀로 완전히 변경 | 예 |
| 현재 ID 공급업체 내에서 속성 매핑 수정 | 아니요 |
| 동일한 직원 ID 제휴 풀 내에서 새 제공업체로 전환 예를 들어 Okta 대신 Entra를 사용합니다. | 아니요 |
다음 단계
Cloud Storage 또는 BigQuery 데이터 스토어가 있고 데이터에 대한 액세스 제어를 적용하려면 맞춤 데이터 소스에 대해 액세스 제어를 구성해야 합니다.
자체 커스텀 데이터 소스에 연결하는 경우 외부 ID를 설정하는 방법을 알아보세요.
사용자와 앱을 공유할 준비가 되면 앱을 사용 설정하고 사용자에게 URL을 공유합니다. 사용자가 앱에 액세스하려면 먼저 로그인해야 합니다. 자세한 내용은 검색 웹 앱 보기를 참고하세요.