Mengonfigurasi penyedia identitas

Untuk menerapkan kontrol akses sumber data dan mengamankan data di Gemini Enterprise, Anda harus mengonfigurasi penyedia identitas. Hal ini mencakup menyiapkan penyedia identitas dan mengelola izin untuk sumber data Anda. Google menggunakan penyedia identitas Anda untuk mengidentifikasi pengguna akhir yang melakukan penelusuran dan menentukan apakah mereka memiliki akses ke dokumen yang ditampilkan sebagai hasil.

Memilih jenis penyedia identitas

Jenis penyedia identitas yang Anda pilih bergantung pada sumber data yang terhubung ke aplikasi Gemini Enterprise Anda. Gemini Enterprise mendukung opsi berikut:

Jenis penyedia identitas	Kapan digunakan
Google Identity	Saat menghubungkan Gemini Enterprise ke Google Workspace sumber data, Anda harus menggunakan Google Identity. Sebelum mengonfigurasi Google Identity, Anda harus menentukan atribut pengguna unik yang digunakan oleh organisasi Anda, biasanya email pengguna. Jika pengguna memiliki lebih dari satu alamat email, Anda harus menambahkan email alias.
Penyedia identitas pihak ketiga	Jika Anda hanya menghubungkan Gemini Enterprise ke sumber data pihak ketiga, dan Anda sudah menggunakan penyedia identitas pihak ketiga yang mendukung OIDC atau SAML 2.0, seperti Microsoft Entra ID, Active Directory Federation Services (AD FS), Okta, dan lainnya, Anda harus menggunakan Workforce Identity Federation. Untuk mengetahui informasi selengkapnya, lihat Workforce Identity Federation. Sebelum mengonfigurasi Workforce Identity Federation, Anda harus menentukan atribut pengguna unik yang digunakan oleh organisasi Anda, dan atribut ini harus dipetakan dengan Workforce Identity Federation.

Workforce Identity Federation untuk penyedia identitas pihak ketiga

Bagian ini menjelaskan cara mengonfigurasi Workforce Identity Federation untuk penyedia identitas pihak ketiga. Secara opsional, Anda dapat memverifikasi apakah penyiapan Workforce Identity Federation berfungsi seperti yang diharapkan.

Mengonfigurasi Workforce Identity Federation

Untuk mengetahui detail tentang cara mengonfigurasi Workforce Identity Federation dengan konektor identitas pihak ketiga, lihat referensi berikut:

Penyedia identitas	Referensi
Entra ID	Mengonfigurasi Workforce Identity Federation dengan Microsoft Entra ID dan pengguna yang login Mengonfigurasi Workforce Identity Federation dengan Microsoft Entra ID dan sejumlah besar grup
Okta	Mengonfigurasi Workforce Identity Federation dengan Okta dan pengguna yang login
OIDC atau SAML 2.0	Mengonfigurasi Workforce Identity Federation dengan penyedia identitas (IdP) yang mendukung OIDC atau SAML 2.0

Mengonfigurasi pemetaan atribut

Pemetaan atribut membantu Anda menghubungkan informasi identitas pihak ketiga dengan Google menggunakan Workforce Identity Federation.

Saat mengonfigurasi pemetaan atribut di Workforce Identity Federation, pertimbangkan hal berikut:

• Atribut google.subject digunakan untuk pemetaan atribut, penetapan lisensi, dan berbagi NotebookLM. Sebaiknya petakan google.subject ke alamat email pengguna dalam huruf kecil, karena penetapan lisensi bersifat peka huruf besar/kecil.

• Jika organisasi Anda memiliki lebih dari satu ID unik, petakan atribut organisasi unik ini menggunakan atribut.attribute.as_user_identifier_number between 1 and 50

  Misalnya, jika organisasi Anda menggunakan email dan nama utama sebagai ID pengguna di berbagai aplikasi, dan nama utama ditetapkan sebagai preferred_username di penyedia identitas pihak ketiga, Anda dapat memetakannya ke Gemini Enterprise menggunakan pemetaan atribut Workforce Identity Federation (misalnya, attribute.as_user_identifier_1=assertion.preferred_username).

Contoh berikut menunjukkan pemetaan atribut yang diperlukan untuk penyedia identitas umum. Anda dapat menambahkan lebih banyak pemetaan atribut untuk mendukung ID unik tambahan, seperti yang dijelaskan sebelumnya.

• Entra ID dengan protokol OIDC
  Contoh ini menggunakan email untuk mengidentifikasi pengguna secara unik.

  google.subject=assertion.email.lowerAscii()
  google.groups=assertion.groups
  google.display_name=assertion.given_name
  

• Entra ID dengan protokol SAML
  Contoh ini menggunakan email untuk mengidentifikasi pengguna secara unik.

  google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'][0].lowerAscii()
  google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
  google.display_name=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname'][0]
  

• Okta dengan protokol OIDC
  Contoh ini menggunakan email untuk mengidentifikasi pengguna secara unik.

  google.subject=assertion.email.lowerAscii()
  google.groups=assertion.groups
  

• Okta dengan protokol SAML
  Contoh ini menggunakan pernyataan subjek JWT untuk mengidentifikasi pengguna secara unik.

  google.subject=assertion.subject.lowerAscii()
  google.groups=assertion.attributes['groups']
  

Opsional: Memverifikasi penyiapan Workforce Identity Federation

Untuk memverifikasi login yang berhasil dan pemetaan atribut yang benar menggunakan fitur logging audit Workforce Identity Federation, lakukan hal berikut:

1. Aktifkan log audit untuk Security Token Service API aktivitas Akses Data.

   1. Di Google Cloud konsol, buka halaman Log Audit:

      Buka Log Audit

      Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah IAM &Admin.

   2. Pilih organisasi, folder, atau project Google Cloud yang sudah ada.
   3. Aktifkan log audit Akses Data.
      1. Lihat dokumentasi Logging untuk mengetahui langkah-langkah mendetail tentang cara Mengaktifkan log audit.
      2. Untuk Security Token Service API, pilih jenis log audit Pembacaan Admin. Untuk mengetahui informasi selengkapnya, lihat Contoh log untuk Workforce Identity Federation.

2. Aktifkan logging mendetail di workforce pool Anda. Fitur grup yang diperluas Workforce Identity Federation untuk Microsoft Entra ID tidak menghasilkan informasi logging audit mendetail.

   1. Buka halaman Workforce Identity Pools:

      Buka Workforce Identity Pools

   2. Pada tabel, pilih pool.

   3. Klik tombol Enable detailed audit logging ke posisi aktif.

   4. Klik Save Pool.

3. Di bagian Providers, klik Sign in URL untuk penyedia Anda, lalu login ke Google Cloud konsol sebagai pengguna workforce pool.

4. Lihat log audit yang dihasilkan saat Anda login.

   1. Buka halaman Workforce Identity Pools:

      Buka Workforce Identity Pools

   2. Pada tabel, pilih pool yang Anda gunakan untuk login.

   3. Klik View di samping Logs.

   4. Di halaman log audit, hapus filter protoPayload.resourceName dari kueri.

   5. Klik Run query.

5. Periksa log audit untuk entri dengan metode google.identity.sts.SecurityTokenService.WebSignIn yang cocok dengan stempel waktu login.

6. Pastikan kolom metadata.mapped_attributes dalam log cocok dengan atribut yang Anda gunakan saat mengonfigurasi Workforce Identity Federation untuk penyedia identitas pihak ketiga.

   Contoh:

   "metadata": {
     "mapped_attributes": {
       "attributes.as_user_identifier_1": "alex@admin.altostrat.com"
       "google.subject": "alex@altostrat.com"
       "google.groups": "[123abc-456d, efg-h789-ijk]"
     }
   },
   

Batasan

Saat menghubungkan sumber data menggunakan konektor untuk membuat penyimpanan data, batasan berikut berlaku:

• Maksimal 3.000 pembaca yang diizinkan per dokumen. Setiap akun utama dihitung sebagai pembaca, dan akun utama dapat berupa grup atau pengguna perorangan.

• Anda dapat memilih satu jenis penyedia identitas per lokasi yang didukung di Gemini Enterprise.

• Jika setelan penyedia identitas diupdate dengan mengubah jenis penyedia identitas atau workforce pool, penyimpanan data yang ada tidak akan otomatis diupdate ke setelan baru. Anda harus menghapus dan membuat ulang penyimpanan data ini untuk menerapkan setelan identitas baru.

• Untuk menetapkan sumber data sebagai sumber data yang dikontrol aksesnya, Anda harus memilih setelan ini selama pembuatan penyimpanan data. Anda tidak dapat mengaktifkan atau menonaktifkan setelan ini untuk penyimpanan data yang ada.

• Untuk melihat pratinjau hasil UI untuk aplikasi penelusuran yang menggunakan kontrol akses pihak ketiga, Anda harus login ke konsol gabungan atau menggunakan aplikasi web. Lihat Melihat pratinjau aplikasi.

Menghubungkan ke penyedia identitas

Bagian berikut menjelaskan cara menghubungkan ke penyedia identitas menggunakan Google Cloud konsol.

Sebelum memulai

Sebelum menghubungkan penyedia identitas, lakukan hal berikut:

• Berikan izin kepada admin.

• Jika Anda menghubungkan penyedia identitas pihak ketiga, konfigurasi Workforce Identity Federation.

Menghubungkan penyedia identitas

Untuk menentukan penyedia identitas untuk Gemini Enterprise dan mengaktifkan kontrol akses sumber data, ikuti langkah-langkah berikut:

1. Di Google Cloud konsol, buka halaman Gemini Enterprise.

   Gemini Enterprise

2. Klik Settings > Authentication.

3. Klik Add identity provider untuk lokasi yang ingin Anda update.

4. Klik Add identity provider , lalu pilih jenis penyedia identitas Anda.
   Jika Anda memilih 3rd party identity, Anda juga perlu memilih workforce pool yang berlaku untuk sumber data Anda.

5. Klik Save changes.

Memberikan izin kepada pengguna

Pengguna memerlukan peran Pengguna Gemini Enterprise (roles/discoveryengine.agentspaceUser) untuk mengakses, mengelola, dan berbagi aplikasi.

Jenis penyedia identitas	Deskripsi
Google Identity	Jika Anda menggunakan Google Identity, Google merekomendasikan untuk membuat grup Google yang menyertakan semua karyawan yang menggunakan aplikasi. Jika Anda adalah administrator Google Workspace Anda dapat menyertakan semua pengguna dalam organisasi ke grup Google dengan mengikuti langkah-langkah di Menambahkan semua pengguna organisasi Anda ke grup. Berikan peran Pengguna Gemini Enterprise (roles/discoveryengine.agentspaceUser) kepada pengguna. Untuk mengetahui informasi selengkapnya tentang cara menambahkan peran, lihat Memberikan izin kepada pengguna.
Penyedia identitas pihak ketiga	Berikan peran Pengguna Gemini Enterprise (roles/discoveryengine.agentspaceUser) kepada pengguna dan pengguna workforce pool Anda dalam kebijakan IAM. Untuk mengetahui informasi selengkapnya tentang cara menambahkan peran, lihat Memberikan izin kepada pengguna. Google merekomendasikan untuk mengonfigurasi klaim grup untuk identitas pihak ketiga Anda.

Dampak perubahan setelan penyedia identitas pada konektor penyerapan

Saat Anda mengubah setelan identitas, seperti penyedia identitas atau workforce identity federation pool, penyimpanan data yang ada yang menggunakan penyerapan data tidak akan otomatis diupdate. Untuk menerapkan setelan identitas baru, Anda harus menghapus dan membuat ulang penyimpanan data yang terpengaruh.

Tabel berikut merangkum perubahan setelan identitas yang memerlukan pembuatan ulang penyimpanan data:

Jenis perubahan	Memerlukan pembuatan ulang penyimpanan data
Beralih antara Google Identity dan penyedia identitas pihak ketiga	Ya
Mengubah sepenuhnya ke workforce identity federation pool baru	Ya
Mengedit pemetaan atribut dalam penyedia identitas saat ini	Tidak
Beralih ke penyedia baru dalam workforce identity federation pool yang sama. Misalnya, menggunakan Entra, bukan Okta.	Tidak

Apa langkah selanjutnya?

• Jika Anda memiliki penyimpanan data Cloud Storage atau BigQuery dan ingin menerapkan kontrol akses pada data, Anda harus mengonfigurasi kontrol akses untuk sumber data kustom.

• Jika Anda terhubung ke sumber data kustom Anda sendiri, pelajari cara Anda dapat menyiapkan identitas eksternal.

• Melihat pratinjau aplikasi.

• Saat Anda siap membagikan aplikasi kepada pengguna, Anda dapat mengaktifkan aplikasi dan membagikan URL kepada pengguna. Pengguna harus login sebelum dapat mengakses aplikasi. Untuk mengetahui informasi selengkapnya, lihat Melihat aplikasi web penelusuran.