Personenbezogene Daten aus Google Workspace synchronisieren

Sie können People Search für Ihre Arbeitsteams einrichten, indem Sie personenbezogene Daten aus Google Workspace synchronisieren. Nachdem der Datenspeicher für People Search eingerichtet und die Daten in den Vertex AI Search-Index aufgenommen wurden, stehen Funktionen wie Knowledge Graph und Natural Language Processing zur Verfügung. Diese verbessern die Suchqualität, sodass Sie Personen in Ihrem Google Workspace-Verzeichnis über die Webanwendung finden können.

Informationen zum Google Workspace-Verzeichnis finden Sie in der Google Workspace-Dokumentation:

Vorbereitung

Bevor Sie einen Datenspeicher für People Search einrichten können, müssen folgende Voraussetzungen erfüllt sein:

  • Konfigurieren Sie Ihren Identitätsanbieter. So ist es möglich, die Zugriffssteuerung für Datenquellen zu erzwingen und Daten in Agentspace zu schützen.

  • Ein Google Workspace-Administrator muss People Search für Google Workspace-Daten aktivieren:

    1. Melden Sie sich mit einem Administratorkonto bei der Google Workspace Admin-Konsole an.
    2. Rufen Sie Verzeichnis > Verzeichniseinstellungen auf.
    3. Aktivieren Sie die Kontaktfreigabe.

  • Sie müssen mit demselben Konto in der Google Cloud Console angemeldet sein, das Sie für Google Workspace verwenden.

  • Wenn Sie Sicherheitskontrollen verwenden, beachten Sie die Einschränkungen in Bezug auf Daten in Google Workspace, die in der folgenden Tabelle beschrieben werden:

    Sicherheitskontrollen Wichtige Hinweise
    Datenstandort (DRZ) Gemini Enterprise unterstützt als Datenstandort nur Google Cloud. Informationen zum Datenstandort und zu Google Workspace finden Sie in den Compliance-Leitfäden und der Referenzdokumentation zu Google Workspace, z. B. unter Region für die Datenspeicherung auswählen und Digitale Souveränität.
    Kundenverwaltete Verschlüsselungsschlüssel (CMEK) Ihre Schlüssel verschlüsseln nur Daten in Google Cloud. Die Steuerelemente von Cloud Key Management Service gelten nicht für Daten, die in Google Workspace gespeichert sind.
    Access Transparency In Access Transparency-Logs werden Aktionen aufgezeichnet, die von Google-Mitarbeitern im Projekt von Google Cloud ausgeführt wurden. Sie müssen auch die von Google Workspace erstellten Access Transparency-Logs prüfen. Weitere Informationen finden Sie in der Referenzdokumentation für Google Workspace-Administratoren unter Access Transparency-Logereignisse.

Bevor Sie den Personendatenspeicher erstellen, müssen Sie ein Dienstkonto und eine domainweite Delegation einrichten.

Dienstkonto einrichten

  1. Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Erstellen eines Dienstkontos haben. Weitere Informationen finden Sie unter Erforderliche Rollen.

  2. Erstellen Sie ein Dienstkonto in einem Projekt vonGoogle Cloud innerhalb der Organisation.

  3. Optional: Überspringen Sie den Schritt Diesem Dienstkonto Zugriff auf das Projekt gewähren (optional).

    Hier wird der Abschnitt „Diesem Dienstkonto Zugriff auf das Projekt gewähren (optional)“ angezeigt, der übersprungen werden muss.
    Den Schritt „Diesem Dienstkonto Zugriff auf das Projekt gewähren (optional)“ überspringen.

  4. Gewähren Sie dem Discovery Engine-Dienstkonto (service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.gserviceaccount.com) Zugriff als Ersteller von Dienstkonto-Tokens (roles/iam.serviceAccountTokenCreator) und klicken Sie auf Speichern.

    Hier wird beschrieben, wie Sie den Bereich „Nutzern Zugriff auf dieses Dienstkonto erteilen“ konfigurieren.
    Dem Discovery Engine-Dienstkonto Zugriff gewähren

  5. Klicken Sie nach dem Erstellen des Dienstkontos auf den Tab Details des Dienstkontos und dann auf Erweiterte Einstellungen.

  6. Kopieren Sie die Client-ID für die domainweite Delegation.

    Zeigt die Client-ID im Bereich „Erweiterte Einstellungen“ unter „Domainweite Delegation“ an.
    Client-ID kopieren

Domainweite Delegation einrichten

  1. Melden Sie sich im Google-Arbeitsbereich für Administratoren an.
  2. Rufen Sie Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung auf.

  3. Klicken Sie auf Domainweite Delegation verwalten.

    „Domainweite Delegation verwalten“ wird angezeigt.
    Auf „Domainweite Delegation verwalten“ klicken.

  4. Klicken Sie auf Neu hinzufügen.

    Der Link zum Hinzufügen eines neuen Elements wird hervorgehoben.
    Auf „Neu hinzufügen“ klicken.

  5. Führen Sie im Dialogfeld Neue Client-ID hinzufügen die folgenden Schritte aus:

    1. Client-ID: Geben Sie die Client-ID ein.
    2. OAuth-Bereiche: Geben Sie https://www.googleapis.com/auth/directory.readonly ein.
    3. Klicken Sie auf Autorisieren.

    Hier werden die Einstellungen für die domainweite Delegation konfiguriert.
    Einstellungen für die domainweite Delegation konfigurieren

Benutzerdefinierte Attribute konfigurieren

Sie können benutzerdefinierte Personendaten (auch als benutzerdefinierte Attribute bezeichnet) in Suchergebnissen anzeigen. Führen Sie dazu die folgenden Schritte aus:

  1. Melden Sie sich im Google-Arbeitsbereich für Administratoren an.

  2. Klicken Sie auf Verzeichnis > Nutzer > Weitere Optionen > Benutzerdefinierte Attribute verwalten.

    Benutzerdefinierte Attribute für personenbezogene Daten verwalten
    Auf „Benutzerdefinierte Attribute verwalten“ klicken.

  3. Damit das benutzerdefinierte Attribut suchbar ist, legen Sie die Sichtbarkeit des Attributs auf Für Organisation sichtbar fest.

    Sichtbarkeit des benutzerdefinierten Attributs wird auf „Für Organisation sichtbar“ festgelegt.
    Sichtbarkeit des benutzerdefinierten Attributsauf „Für Organisation sichtbar“ festlegen

Über OAuth verbinden

Die Verbindung über OAuth ist eine Alternative zur domainweiten Delegation für die Authentifizierung Ihres People Search-Connectors. Bei dieser Methode erstellen Sie einen OAuth-Client, um den Connector für den Zugriff auf die Verzeichnisdaten Ihrer Organisation zu autorisieren. In den folgenden Schritten wird beschrieben, wie Sie den Client erstellen, den Connector einrichten und die Anmeldedaten aktualisieren.

  1. OAuth2-Client erstellen

    1. Rufen Sie die Google Cloud Console auf und suchen Sie nach Credentials.

    2. Klicken Sie auf Anmeldedaten erstellen.

      Klicken auf den Button „Anmeldedaten erstellen“.
      Anmeldedaten erstellen

    3. Wählen Sie die Option OAuth-Client-ID aus dem Drop-down-Menü aus.

      Auswählen der OAuth-Client-ID.
      OAuth-Client-ID. auswählen.

    4. Wählen Sie im Drop-down-Menü Anwendungstyp die Option Webanwendung aus.

      Die Option für Webanwendungen wird ausgewählt.
      Option „Webanwendungen“ auswählen

    5. Geben Sie einen Namen für die OAuth-Client-ID ein und geben Sie den autorisierten Weiterleitungs-URI als https://vertexaisearch.cloud.google.com/oauth-redirect ein.

    6. Klicken Sie auf Erstellen, um die Anmeldedaten zu speichern.

Datenspeicher für People Search erstellen

So verbinden Sie Ihre personenbezogenen Daten mit Gemini Enterprise:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Gemini Enterprise auf.

    Gemini Enterprise

  2. Rufen Sie die Seite Datenspeicher auf.

  3. Klicken Sie auf  Datenspeicher erstellen.

  4. Klicken Sie auf der Seite Datenquelle auswählen auf Personensuche.

    Hier wird der Datenspeicher für People Search ausgewählt.
    Datenspeicher für die Personensuche auswählen

  5. Konfigurieren Sie die Authentifizierungsdetails:

    Sie können sich entweder mit einem OAuth 2.0-Aktualisierungstoken oder mit der domainweiten Delegation authentifizieren.

    • Verwendung eines OAuth 2.0-Aktualisierungstoken:

      1. Wählen Sie OAuth 2.0-Aktualisierungstoken aus und fügen Sie die Client-ID und den Clientschlüssel hinzu, die Sie in den vorherigen Schritten erstellt haben.

      2. Klicken Sie auf den Button Authentifizieren, um die Einwilligung für den Bereich https://www.googleapis.com/auth/directory.readonly zu erteilen.

      3. Geben Sie einen Namen für den Connector ein und klicken Sie auf Erstellen.

    • Verwendung einer domainweiten Delegation:

      1. Wählen Sie Domainweite Delegation aus.

      2. Geben Sie die E-Mail-Adresse des Dienstkontos und den von Ihnen generierten privaten Schlüssel ein.

      3. Klicken Sie auf Weiter.

  6. Aktualisieren Sie die Connector-Anmeldedaten:

    Sie müssen Ihre Clientanmeldedaten aktualisieren, wenn Ihr OAuth-Aktualisierungstoken abgelaufen ist oder wenn Sie den Anmeldedatenfluss für die Aufnahme von Dokumenten ändern möchten. Dieser Vorgang ist erforderlich, wenn Sie von der domainweiten Delegation zu OAuth oder von OAuth zurück zur domainweiten Delegation wechseln.

    1. Rufen Sie den Connector für die Personensuche auf.

    2. Klicken Sie auf Noch einmal authentifizieren.

      Klicken auf den Button „Noch einmal authentifizieren“.
      Auf den Button „Noch einmal authentifizieren“ klicken

    3. Wählen Sie den Anmeldedatenfluss aus, den Sie verwenden möchten.

      Klicken auf den Anmeldedatenfluss.
      Auf den Anmeldedatenfluss klicken.

    4. Fügen Sie die neuen Anmeldedaten hinzu und klicken Sie auf Authentifizieren.

    5. Geben Sie die E-Mail-Adresse des Kontos ein, aus dem die Personendaten abgerufen werden. Wenn Sie kein Administratorkonto verwenden möchten, nutzen Sie ein alternatives Konto mit Zugriff auf die Verzeichnisdaten der Organisation.

    6. Geben Sie die E-Mail-Adresse des Dienstkontos ein, das Sie zuvor erstellt haben.

    7. Klicken Sie auf Weiter.

    Konfigurieren der Authentifizierungsdetails
    Authentifizierungsdetails konfigurieren

  7. Wählen Sie eine Region für Ihren Datenspeicher aus.

  8. Geben Sie im Feld Name des Datenspeichers einen Namen für den Datenspeicher ein.

  9. Klicken Sie auf Erstellen.

    Die Synchronisierung kann je nach Datengröße einige Minuten bis Stunden dauern.

Fehlermeldungen

In der folgenden Tabelle werden die Fehlermeldungen beschrieben, die beim Synchronisieren von Personendaten mithilfe der Datenindexierung auftreten können. Diese Tabelle enthält gRPC-Fehlercodes und Vorschläge zur Fehlerbehebung.

Fehlercode (gRPC) Fehlermeldung Beschreibung Problembehebung
9 (Voraussetzung nicht erfüllt) Authentifizierung fehlgeschlagen: Dienstkonto falsch konfiguriert. Prüfen Sie, ob das Discovery Engine-Dienstkonto die Rolle „Dienstkonto-Tokenersteller“ hat und ob der Autorisierungsbereich des Dienstkontos für die domainweite Delegation (DWD) in Google Cloud Admin richtig eingerichtet ist. Weitere Informationen finden Sie unter https://cloud.google.com/gemini/enterprise/docs/ connect-people#failed-precondition-1. Alle Dokumente wurden aus Gemini Enterprise gelöscht. Dieser Fehler tritt auf, wenn dem Discovery Engine-Dienstkonto die Rolle „Ersteller von Dienstkonto-Tokens“ fehlt oder dem Dienstkonto für die domainweite Delegation (DWD) der richtige Autorisierungsbereich fehlt. Prüfen Sie, ob das Discovery Engine-Dienstkonto die Rolle „Ersteller von Dienstkonto-Tokens“ hat, wie im Abschnitt Dienstkonto einrichten beschrieben. Prüfen Sie außerdem, ob der Autorisierungsbereich des DWD-Dienstkontos in Google Cloud Admin richtig eingerichtet ist, wie im Abschnitt Domainweite Delegation einrichten beschrieben. Gewähren Sie die fehlenden Dienstkontoberechtigungen noch einmal.
9 (Voraussetzung nicht erfüllt) Nach vollständiger Synchronisierung wurden keine Ergebnisse abgerufen. Alle Dokumente wurden aus Gemini Enterprise gelöscht. Dieser Fehler tritt auf, wenn die Kontaktfreigabe in den Verzeichniseinstellungen der Admin-Konsole deaktiviert ist. Aktivieren Sie die Kontaktfreigabe, um die Personensuche in Google Workspace-Daten zu ermöglichen, wie im Abschnitt Vorbereitung beschrieben.
3 (Ungültiges Argument) Das signierte JWT konnte nicht gegen ein Zugriffstoken eingetauscht werden. Das Google Workspace-Konto wurde gelöscht. Alle Dokumente wurden aus Gemini Enterprise gelöscht. Dieser Fehler tritt auf, wenn das Google Workspace-Konto gelöscht wird. Erstellen Sie einen neuen Connector mit einem aktiven Google Workspace-Konto.
3 (Ungültiges Argument) GAIA-ID nicht gefunden. Fehler bei der Authentifizierung. Dieser Fehler tritt auf, wenn das Nutzerkonto falsch ist. Prüfen Sie, ob das Nutzerkonto vorhanden ist, und geben Sie die richtigen Anmeldedaten ein.
8 (Ressource erschöpft) Das Kontingent für das Projekt wurde überschritten. Erhöhen Sie das Dokumentkontingent für das Projekt. Dieser Fehler tritt auf, wenn das Projektkontingent überschritten wird. Erhöhen Sie das Dokumentkontingent für das Projekt. Weitere Informationen finden Sie unter Kontingente.
13 (Interner Fehler) Ein interner Fehler ist aufgetreten. Dieser Fehler tritt auf, wenn ein interner Fehler vorliegt. Nehmen Sie Kontakt mit dem Supportteam auf.