Mengonfigurasi penyedia identitas

Untuk menerapkan kontrol akses sumber data dan mengamankan data di Gemini Enterprise, Anda harus mengonfigurasi penyedia identitas. Hal ini melibatkan penyiapan penyedia identitas dan pengelolaan izin untuk sumber data Anda. Google menggunakan penyedia identitas Anda untuk mengidentifikasi pengguna akhir yang melakukan penelusuran dan menentukan apakah mereka memiliki akses ke dokumen yang ditampilkan sebagai hasil.

Pilih jenis penyedia identitas Anda

Jenis penyedia identitas yang Anda pilih bergantung pada sumber data yang terhubung ke aplikasi Gemini Enterprise Anda. Gemini Enterprise mendukung opsi berikut:

Jenis penyedia identitas	Kapan digunakan
Google Identity	Saat menghubungkan Gemini Enterprise ke sumber data Google Workspace, Anda harus menggunakan Google Identity. Sebelum mengonfigurasi identitas Google, Anda harus menentukan atribut pengguna unik yang digunakan oleh organisasi Anda, biasanya email pengguna. Jika pengguna memiliki lebih dari satu alamat email, Anda harus menambahkan alias email.
Penyedia identitas pihak ketiga	Jika Anda hanya menghubungkan Gemini Enterprise ke sumber data pihak ketiga, dan Anda sudah menggunakan penyedia identitas pihak ketiga yang mendukung OIDC atau SAML 2.0, seperti Microsoft Entra ID, Active Directory Federation Services (AD FS), Okta, dan lainnya, Anda harus menggunakan Workforce Identity Federation. Untuk mengetahui informasi selengkapnya, lihat Workforce Identity Federation. Sebelum mengonfigurasi Workforce Identity Federation, Anda harus menentukan atribut pengguna unik yang digunakan oleh organisasi Anda, dan atribut ini harus dipetakan dengan Workforce Identity Federation.

Workforce Identity Federation untuk penyedia identitas pihak ketiga

Bagian ini menjelaskan cara mengonfigurasi Workforce Identity Federation untuk penyedia identitas pihak ketiga. Secara opsional, Anda dapat memverifikasi apakah penyiapan Workforce Identity Federation berfungsi seperti yang diharapkan.

Mengonfigurasi Workforce Identity Federation

Untuk mengetahui detail tentang cara mengonfigurasi Workforce Identity Federation dengan konektor identitas pihak ketiga, lihat referensi berikut:

Penyedia identitas	Resource
ID Entra	Mengonfigurasi Workforce Identity Federation dengan Microsoft Entra ID dan pengguna yang login Mengonfigurasi Workforce Identity Federation dengan Microsoft Entra ID dan sejumlah besar grup
Okta	Mengonfigurasi Workforce Identity Federation dengan Okta dan pengguna yang login
OIDC atau SAML 2.0	Mengonfigurasi Workforce Identity Federation dengan penyedia identitas (IdP) yang mendukung OIDC atau SAML 2.0

Mengonfigurasi pemetaan atribut

Pemetaan atribut membantu Anda menghubungkan informasi identitas pihak ketiga dengan Google menggunakan Workforce Identity Federation.

Saat mengonfigurasi pemetaan atribut di Workforce Identity Federation, pertimbangkan hal berikut:

• Atribut google.subject digunakan untuk pemetaan atribut, penetapan lisensi, dan berbagi NotebookLM. Sebaiknya petakan google.subject ke alamat email pengguna dalam huruf kecil, karena penetapan lisensi peka huruf besar/kecil.

• Jika organisasi Anda memiliki lebih dari satu ID unik, petakan atribut organisasi unik ini menggunakan atribut attribute.as_user_identifier_number between 1 and 50.

  Misalnya, jika organisasi Anda menggunakan email dan nama utama sebagai ID pengguna di berbagai aplikasi, dan nama utama ditetapkan sebagai preferred_username di penyedia identitas pihak ketiga, Anda dapat memetakannya ke Gemini Enterprise menggunakan pemetaan atribut Workforce Identity Federation (misalnya, attribute.as_user_identifier_1=assertion.preferred_username).

Contoh berikut menunjukkan pemetaan atribut yang diperlukan untuk penyedia identitas umum. Anda dapat menambahkan pemetaan atribut lainnya untuk mendukung ID unik tambahan, seperti yang dijelaskan sebelumnya.

• Entra ID dengan protokol OIDC
  Contoh ini menggunakan email untuk mengidentifikasi pengguna secara unik.

  google.subject=assertion.email.lowerAscii()
  google.groups=assertion.groups
  google.display_name=assertion.given_name
  

• Entra ID dengan protokol SAML
  Contoh ini menggunakan ID nama SAML untuk mengidentifikasi pengguna secara unik.

  google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'][0].lowerAscii()
  google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
  google.display_name=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname'][0]
  

• Okta dengan protokol OIDC
  Contoh ini menggunakan email untuk mengidentifikasi pengguna secara unik.

  google.subject=assertion.email.lowerAscii()
  google.groups=assertion.groups
  

• Okta dengan protokol SAML
  Contoh ini menggunakan pernyataan subjek JWT untuk mengidentifikasi pengguna secara unik.

  google.subject=assertion.subject.lowerAscii()
  google.groups=assertion.attributes['groups']
  

Opsional: Verifikasi penyiapan Workforce Identity Federation

Untuk memverifikasi keberhasilan login dan pemetaan atribut yang benar menggunakan fitur logging audit Workforce Identity Federation, lakukan hal berikut:

1. Aktifkan log audit untuk Security Token Service API aktivitas Akses Data.

   1. Di konsol Google Cloud , buka halaman Audit Logs:

      Buka Log Audit

      Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah IAM & Admin.

   2. Pilih project, folder, atau organisasi Google Cloud yang sudah ada.
   3. Aktifkan log audit Akses Data.
      1. Lihat dokumentasi Logging untuk mengetahui langkah-langkah mendetail tentang cara Mengaktifkan log audit.
      2. Untuk Security Token Service API, pilih jenis log audit Admin Read. Untuk mengetahui informasi selengkapnya, lihat Contoh log untuk Workforce Identity Federation.

2. Aktifkan logging mendetail di workforce pool Anda. Fitur grup yang diperluas untuk Workforce Identity Federation untuk Microsoft Entra ID tidak menghasilkan informasi log audit yang mendetail.

   1. Buka halaman Workforce Identity Pool:

      Buka Workforce Identity Pools

   2. Pada tabel, pilih pool.

   3. Klik tombol Aktifkan logging audit mendetail ke posisi aktif.

   4. Klik Simpan Pool.

3. Di bagian Penyedia, klik URL login untuk penyedia Anda, lalu login ke konsol Google Cloud sebagai pengguna kumpulan tenaga kerja.

4. Melihat log audit yang dibuat saat Anda login.

   1. Buka halaman Workforce Identity Pool:

      Buka Workforce Identity Pools

   2. Di tabel, pilih pool yang Anda gunakan untuk login.

   3. Klik Lihat di samping Log.

   4. Di halaman log audit, hapus filter protoPayload.resourceName dari kueri.

   5. Klik Run query.

5. Periksa log audit untuk menemukan entri dengan metode google.identity.sts.SecurityTokenService.WebSignIn yang cocok dengan stempel waktu login.

6. Pastikan kolom metadata.mapped_attributes dalam log cocok dengan atribut yang Anda gunakan saat mengonfigurasi Workforce Identity Federation untuk penyedia identitas pihak ketiga.

   Contoh:

   "metadata": {
     "mapped_attributes": {
       "attributes.as_user_identifier_1": "alex@admin.altostrat.com"
       "google.subject": "alex@altostrat.com"
       "google.groups": "[123abc-456d, efg-h789-ijk]"
     }
   },
   

Batasan

Saat menghubungkan sumber data menggunakan konektor untuk membuat penyimpanan data, batasan berikut berlaku:

• Maksimal 3.000 pembaca per dokumen. Setiap akun utama dihitung sebagai pembaca, dengan akun utama dapat berupa grup atau pengguna perorangan.

• Anda dapat memilih satu jenis penyedia identitas per lokasi yang didukung di Gemini Enterprise.

• Jika setelan penyedia identitas diperbarui dengan mengubah jenis penyedia identitas atau pool tenaga kerja, penyimpanan data yang ada tidak akan otomatis diperbarui ke setelan baru. Anda harus menghapus dan membuat ulang penyimpanan data ini untuk menerapkan setelan identitas baru.

• Untuk menetapkan sumber data sebagai dikontrol akses, Anda harus memilih setelan ini selama pembuatan penyimpanan data. Anda tidak dapat mengaktifkan atau menonaktifkan setelan ini untuk penyimpanan data yang ada.

• Untuk melihat pratinjau hasil UI untuk aplikasi penelusuran yang menggunakan kontrol akses pihak ketiga, Anda harus login ke konsol federasi atau menggunakan aplikasi web. Lihat Melihat pratinjau aplikasi Anda.

Menghubungkan ke penyedia identitas Anda

Bagian berikut menjelaskan cara terhubung ke penyedia identitas Anda menggunakan konsolGoogle Cloud .

Sebelum memulai

Sebelum menghubungkan penyedia identitas, lakukan hal berikut:

• Memberikan izin kepada admin.

• Jika Anda menghubungkan penyedia identitas pihak ketiga, konfigurasikan Workforce Identity Federation.

Menghubungkan penyedia identitas

Untuk menentukan penyedia identitas bagi Gemini Enterprise dan mengaktifkan kontrol akses sumber data, ikuti langkah-langkah berikut:

1. Di konsol Google Cloud , buka halaman Gemini Enterprise.

   Gemini Enterprise

2. Klik Settings > Authentication.

3. Klik Tambahkan penyedia identitas untuk lokasi yang ingin Anda perbarui.

4. Klik Tambahkan penyedia identitas, lalu pilih jenis penyedia identitas Anda.
   Jika Anda memilih Identitas pihak ketiga, Anda juga perlu memilih kumpulan tenaga kerja yang berlaku untuk sumber data Anda.

5. Klik Simpan perubahan.

Memberikan izin kepada pengguna

Pengguna memerlukan peran Pengguna Discovery Engine (roles/discoveryengine.user) untuk mengakses, mengelola, dan membagikan aplikasi.

Jenis penyedia identitas	Deskripsi
Google Identity	Jika Anda menggunakan Identitas Google, Google merekomendasikan pembuatan grup Google yang mencakup semua karyawan yang menggunakan aplikasi. Jika Anda adalah administrator Google Workspace, Anda dapat menyertakan semua pengguna di organisasi ke grup Google dengan mengikuti langkah-langkah di Menambahkan semua pengguna organisasi Anda ke grup. Berikan peran Pengguna Discovery Engine (roles/discoveryengine.user) kepada pengguna. Untuk mengetahui informasi selengkapnya tentang cara menambahkan peran, lihat Memberi izin kepada pengguna Anda.
Penyedia identitas pihak ketiga	Berikan peran Pengguna Discovery Engine (roles/discoveryengine.user) kepada pengguna dan pengguna kumpulan tenaga kerja dalam kebijakan IAM. Untuk mengetahui informasi selengkapnya tentang cara menambahkan peran, lihat Memberi izin kepada pengguna Anda. Google merekomendasikan konfigurasi klaim grup untuk identitas pihak ketiga Anda.

Dampak perubahan setelan penyedia identitas pada konektor penyerapan

Saat Anda mengubah setelan identitas, seperti penyedia identitas atau kumpulan Workforce Identity Federation, penyimpanan data yang ada yang menggunakan penyerapan data tidak akan otomatis diperbarui. Untuk menerapkan setelan identitas baru, Anda harus menghapus dan membuat ulang penyimpanan data yang terpengaruh.

Tabel berikut merangkum perubahan setelan identitas yang memerlukan pembuatan ulang penyimpanan data:

Ubah jenis	Memerlukan pembuatan ulang penyimpanan data
Beralih antara Google Identity dan penyedia identitas pihak ketiga	Ya
Berubah sepenuhnya ke kumpulan Workforce Identity Federation baru	Ya
Mengedit pemetaan atribut dalam penyedia identitas saat ini	Tidak
Beralih ke penyedia baru dalam pool Workforce Identity Federation yang sama. Misalnya, menggunakan Entra, bukan Okta.	Tidak

Apa langkah selanjutnya?

• Jika Anda memiliki penyimpanan data Cloud Storage atau BigQuery dan ingin menerapkan kontrol akses pada data, Anda harus mengonfigurasi kontrol akses untuk sumber data kustom.

• Jika Anda terhubung ke sumber data kustom Anda sendiri, pelajari cara menyiapkan identitas eksternal.

• Melihat pratinjau aplikasi Anda.

• Saat siap membagikan aplikasi kepada pengguna, Anda dapat mengaktifkan aplikasi dan membagikan URL kepada pengguna. Pengguna harus login sebelum dapat mengakses aplikasi. Untuk mengetahui informasi selengkapnya, lihat Melihat aplikasi web penelusuran.