Personendaten aus Google Workspace synchronisieren

Sie können die Personensuche für Ihre Arbeitsteams einrichten, indem Sie Personendaten aus Google Workspace synchronisieren. Nachdem der Datenspeicher für die Personensuche eingerichtet und die Daten in den Vertex AI Search-Index aufgenommen wurden, werden Funktionen wie Knowledge Graph und Verarbeitung natürlicher Sprache aktiviert. Dadurch wird die Suchqualität verbessert und Sie können über die Web-App Personen in Ihrem Google Workspace-Verzeichnis finden.

Informationen zum Google Workspace-Verzeichnis finden Sie in der Google Workspace-Dokumentation:

Hinweise

Bevor Sie einen Datenspeicher für die Personensuche einrichten können, müssen Sie Folgendes tun:

  • Damit die Zugriffssteuerung für Datenquellen erzwungen und Daten in Agentspace geschützt werden, müssen Sie Ihren Identitätsanbieter konfigurieren.

  • Ein Google Workspace-Administrator muss die Personensuche für Google Workspace-Daten aktivieren:

    1. Melden Sie sich mit einem Administratorkonto bei der Admin-Konsole an.
    2. Rufen Sie Verzeichnis > Verzeichniseinstellungen auf.
    3. Aktivieren Sie die Kontaktfreigabe.

  • Melden Sie sich in der Google Cloud -Konsole mit demselben Konto an, das Sie für Google Workspace verwenden.

  • Wenn Sie Sicherheitskontrollen verwenden, beachten Sie die Einschränkungen in Bezug auf Daten in Google Workspace, die in der folgenden Tabelle beschrieben werden:

    Sicherheitskontrollen Wichtige Hinweise:
    Datenstandort (DRZ) Gemini Enterprise gewährleistet die Datenspeicherung nur in Google Cloud. Informationen zum Datenstandort und zu Google Workspace finden Sie in den Google Workspace-Compliance-Leitfäden und der zugehörigen Dokumentation, z. B. unter Region für die Datenspeicherung auswählen und Digitale Souveränität.
    Von Kunden verwaltete Verschlüsselungsschlüssel (CMEK) Ihre Schlüssel verschlüsseln nur Daten in Google Cloud. Die Steuerelemente von Cloud Key Management Service gelten nicht für Daten, die in Google Workspace gespeichert sind.
    Access Transparency In Access Transparency-Logs werden Aktionen aufgezeichnet, die von Google-Mitarbeitern im Google Cloud Projekt ausgeführt wurden. Sie müssen auch die von Google Workspace erstellten Access Transparency-Logs prüfen. Weitere Informationen finden Sie in der Google Workspace-Admin-Hilfe unter Access Transparency-Logereignisse.

Bevor Sie den Personendatenspeicher erstellen, müssen Sie ein Dienstkonto und eine domainweite Delegierung einrichten.

Dienstkonto einrichten

  1. Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Erstellen eines Dienstkontos haben. Weitere Informationen finden Sie unter Erforderliche Rollen.

  2. Erstellen Sie ein Dienstkonto in einemGoogle Cloud -Projekt innerhalb der Organisation.

  3. Optional: Überspringen Sie den Schritt Diesem Dienstkonto Zugriff auf das Projekt gewähren (optional).

    Zeigt den Abschnitt „Diesem Dienstkonto Zugriff auf das Projekt gewähren (optional)“, der übersprungen werden muss.
    Überspringen Sie den Schritt „Diesem Dienstkonto Zugriff auf das Projekt gewähren (optional)“.

  4. Gewähren Sie dem Discovery Engine-Dienstkonto (service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.gserviceaccount.com) Zugriff als Ersteller von Dienstkonto-Tokens (roles/iam.serviceAccountTokenCreator) und klicken Sie auf Speichern.

    Hier wird beschrieben, wie Sie den Bereich „Nutzern Zugriff auf dieses Dienstkonto erteilen“ konfigurieren.
    Gewähren Sie dem Discovery Engine-Dienstkonto Zugriff.

  5. Klicken Sie nach dem Erstellen des Dienstkontos auf den Tab Details des Dienstkontos und dann auf Erweiterte Einstellungen.

  6. Kopieren Sie die Client-ID für die domainweite Delegierung.

    Zeigt die Client-ID im Bereich „Erweiterte Einstellungen“ unter „Domainweite Delegierung“ an.
    Kopieren Sie die Client-ID.

Domainweite Delegierung einrichten

  1. Melden Sie sich im Google-Arbeitsbereich für Administratoren an.
  2. Rufen Sie Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung auf.

  3. Klicken Sie auf Domainweite Delegierung verwalten.

    „Domainweite Delegierung verwalten“ wird angezeigt.
    Klicken Sie auf „Domainweite Delegierung verwalten“.

  4. Klicken Sie auf Neu hinzufügen.

    Der Link „Neu hinzufügen“ wird hervorgehoben.
    Klicken Sie auf „Neu hinzufügen“.

  5. Führen Sie im Dialogfeld Neue Client-ID hinzufügen die folgenden Schritte aus:

    1. Client-ID: Geben Sie die Client-ID ein.
    2. OAuth-Bereiche: Geben Sie https://www.googleapis.com/auth/directory.readonly ein.
    3. Klicken Sie auf Autorisieren.

    Konfigurieren Sie die Einstellungen für die domainweite Delegierung.
    Konfigurieren Sie die Einstellungen für die domainweite Delegierung.

Benutzerdefinierte Attribute konfigurieren

Wenn Sie benutzerdefinierte Personendaten (auch als benutzerdefinierte Attribute bezeichnet) haben und die Daten zum benutzerdefinierten Attribut in den Suchergebnissen angezeigt werden sollen, gehen Sie so vor:

  1. Melden Sie sich im Google-Arbeitsbereich für Administratoren an.

  2. Klicken Sie auf Verzeichnis > Nutzer > Weitere Optionen > Benutzerdefinierte Attribute verwalten.

    Benutzerdefinierte Attribute für Personen verwalten
    Klicken Sie auf „Benutzerdefinierte Attribute verwalten“.

  3. Damit das benutzerdefinierte Attribut durchsuchbar ist, legen Sie die Sichtbarkeit des Attributs auf Für Organisation sichtbar fest.

    Legen Sie die Sichtbarkeit des benutzerdefinierten Attributs auf „Für Organisation sichtbar“ fest.
    Legen Sie die Sichtbarkeit des benutzerdefinierten Attributs auf „Für Organisation sichtbar“ fest, damit es durchsuchbar ist.

Über OAuth verbinden

Die Verbindung mit OAuth ist eine Alternative zur domainweiten Delegierung für die Authentifizierung Ihres Connectors für die Personensuche. Für diese Methode müssen Sie einen OAuth-Client erstellen, um den Connector für den Zugriff auf die Verzeichnisdaten Ihrer Organisation zu autorisieren. In den folgenden Schritten wird beschrieben, wie Sie den Client erstellen, den Connector einrichten und die Anmeldedaten aktualisieren.

  1. OAuth-Client erstellen

    1. Rufen Sie die Google Cloud -Console auf und suchen Sie nach Credentials.

    2. Klicken Sie auf Anmeldedaten erstellen.

      Klicken Sie auf die Schaltfläche „Anmeldedaten erstellen“.
      Anmeldedaten erstellen
      :

    3. Wählen Sie im Drop-down-Menü die Option OAuth-Client-ID aus.

      Wählen Sie die OAuth-Client-ID aus.
      OAuth-Client-ID auswählen

    4. Wählen Sie im Drop-down-Menü Anwendungstyp die Option Webanwendung aus.

      Wählen Sie die Option für Webanwendungen aus.
      Wählen Sie die Option „Webanwendung“ aus.

    5. Geben Sie einen Namen für die OAuth-Client-ID ein und geben Sie den autorisierten Weiterleitungs-URI als https://vertexaisearch.cloud.google.com/oauth-redirect ein.

    6. Klicken Sie auf Erstellen, um die Anmeldedaten zu speichern.

Datenspeicher für die Personensuche erstellen

So verbinden Sie Ihre Personendaten mit Gemini Enterprise:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Gemini Enterprise auf.

    Gemini Enterprise

  2. Rufen Sie die Seite Datenspeicher auf.

  3. Klicken Sie auf Datenspeicher erstellen.

  4. Klicken Sie auf der Seite Datenquelle auswählen auf Personensuche.

    Wählen Sie den Datenspeicher für die Personensuche aus.
    Datenspeicher für die Personensuche auswählen

  5. Konfigurieren Sie die Authentifizierungsdetails:

    Sie können sich entweder mit einem OAuth 2.0-Aktualisierungstoken oder mit der domainweiten Delegierung authentifizieren.

    • So verwenden Sie ein OAuth 2.0-Aktualisierungstoken:

      1. Wählen Sie OAuth 2.0-Aktualisierungstoken aus und fügen Sie die Client-ID und den Clientschlüssel hinzu, die Sie in den vorherigen Schritten erstellt haben.

      2. Klicken Sie auf die Schaltfläche Authentifizieren, um die Einwilligung für den Bereich https://www.googleapis.com/auth/directory.readonly zu erteilen.

      3. Geben Sie einen Namen für den Connector ein und klicken Sie auf Erstellen.

    • Bei Verwendung der domainweiten Delegierung:

      1. Wählen Sie Domainweite Delegierung aus.

      2. Geben Sie die E-Mail-Adresse des Dienstkontos und den von Ihnen generierten privaten Schlüssel ein.

      3. Klicken Sie auf Weiter.

  6. Aktualisieren Sie die Connector-Anmeldedaten:

    Sie müssen Ihre Clientanmeldedaten aktualisieren, wenn Ihr OAuth-Aktualisierungstoken abgelaufen ist oder wenn Sie den Anmeldedatenfluss für die Aufnahme von Dokumenten ändern möchten. Dieser Vorgang ist erforderlich, wenn Sie von der domainweiten Delegierung zu OAuth oder von OAuth zurück zur domainweiten Delegierung wechseln.

    1. Rufen Sie den People Search-Connector auf.

    2. Klicken Sie auf Noch einmal authentifizieren.

      Klicken Sie auf die Schaltfläche „Noch einmal authentifizieren“.
      Klicken Sie auf die Schaltfläche „Noch einmal authentifizieren“.

    3. Wählen Sie den Anmeldedatenfluss aus, den Sie verwenden möchten.

      Klicken Sie auf den Anmeldedatenfluss.
      Klicken Sie auf den Anmeldedatenfluss.

    4. Fügen Sie die neuen Anmeldedaten hinzu und klicken Sie auf Authentifizieren.

    5. Geben Sie die E-Mail-Adresse des Kontos ein, aus dem die Personendaten abgerufen werden. Wenn Sie kein Administratorkonto verwenden möchten, können Sie ein alternatives Konto mit Zugriff auf die Verzeichnisdaten der Organisation verwenden.

    6. Geben Sie die E-Mail-Adresse des Dienstkontos ein, das Sie zuvor erstellt haben.

    7. Klicken Sie auf Weiter.

    Konfigurieren Sie die Authentifizierungsdetails.
    Authentifizierungsdetails konfigurieren

  7. Wählen Sie eine Region für Ihren Datenspeicher aus.

  8. Geben Sie im Feld Name des Datenspeichers einen Namen für den Datenspeicher ein.

  9. Klicken Sie auf Erstellen.

    Die Synchronisierung kann je nach Datengröße einige Minuten bis Stunden dauern.

Fehlermeldungen

In der folgenden Tabelle werden Fehlermeldungen beschrieben, die beim Synchronisieren von Personendaten mithilfe der Datenindexierung auftreten können. Diese Tabelle enthält gRPC-Fehlercodes und Vorschläge zur Fehlerbehebung.

Fehlercode (gRPC) Fehlermeldung Beschreibung Fehlerbehebung
(Fehlgeschlagene Voraussetzung) Authentifizierung fehlgeschlagen: Dienstkonto falsch konfiguriert. Prüfen Sie, ob das Discovery Engine-Dienstkonto die Rolle „Dienstkonto-Tokenersteller“ hat und ob der Autorisierungsbereich des Dienstkontos für die domainweite Delegierung (DWD) in Google Cloud Admin richtig eingerichtet ist. Weitere Informationen finden Sie unter https://cloud.google.com/gemini/enterprise/docs/ connect-people#failed-precondition-1. Alle Dokumente wurden aus Gemini Enterprise gelöscht. Dieser Fehler tritt auf, wenn dem Discovery Engine-Dienstkonto die Rolle „Ersteller von Dienstkonto-Tokens“ fehlt oder dem Dienstkonto für die domainweite Delegation (DWD) der richtige Autorisierungsbereich fehlt. Prüfen Sie, ob das Discovery Engine-Dienstkonto die Rolle „Dienstkonto-Tokenersteller“ hat, wie im Abschnitt Dienstkonto einrichten beschrieben. Prüfen Sie außerdem, ob der Autorisierungsbereich des DWD-Dienstkontos in Google Cloud Admin richtig eingerichtet ist, wie im Abschnitt Domainweite Delegierung einrichten beschrieben. Gewähren Sie die fehlenden Dienstkontoberechtigungen noch einmal.
(Fehlgeschlagene Voraussetzung) Nach der vollständigen Synchronisierung wurden keine Ergebnisse abgerufen. Alle Dokumente wurden aus Gemini Enterprise gelöscht. Dieser Fehler tritt auf, wenn die Kontaktfreigabe in den Verzeichniseinstellungen der Admin-Konsole deaktiviert ist. Prüfen Sie, ob Sie die Kontaktfreigabe aktiviert haben, um die Personensuche in Google Workspace-Daten zu ermöglichen, wie im Abschnitt Vorbereitung beschrieben.
3 (Ungültiges Argument.) Das signierte JWT konnte nicht gegen ein Zugriffstoken eingetauscht werden. Das Google Workspace-Konto wurde gelöscht. Alle Dokumente wurden aus Gemini Enterprise gelöscht. Dieser Fehler tritt auf, wenn das Google Workspace-Konto gelöscht wird. Erstellen Sie einen neuen Connector mit einem aktiven Google Workspace-Konto.
3 (Ungültiges Argument.) GAIA-ID nicht gefunden. Fehler bei der Authentifizierung. Dieser Fehler tritt auf, wenn das Nutzerkonto falsch ist. Prüfen Sie, ob das Nutzerkonto vorhanden ist, und geben Sie die richtigen Anmeldedaten ein.
8 (Ressource erschöpft) Das Kontingent für das Projekt wurde überschritten. Erhöhen Sie das Dokumentkontingent für das Projekt. Dieser Fehler tritt auf, wenn das Projektkontingent überschritten wird. Erhöhen Sie das Dokumentkontingent für das Projekt. Weitere Informationen finden Sie unter Kontingente.
13 (Interner Fehler) Ein interner Fehler ist aufgetreten. Dieser Fehler tritt auf, wenn ein interner Fehler vorliegt. Nehmen Sie Kontakt mit dem Supportteam auf.