Synchroniser les données sur les personnes depuis Google Workspace

Vous pouvez configurer la recherche de contacts pour vos équipes de travail en synchronisant les données sur les personnes depuis Google Workspace. Une fois le datastore de recherche de contacts configuré et les données ingérées dans l'index Vertex AI Search, des fonctionnalités telles que le Knowledge Graph et le traitement du langage naturel sont activées. Cela améliore la qualité de la recherche, vous permettant ainsi de trouver des personnes dans l'annuaire Google Workspace via l'application Web.

Pour en savoir plus sur l'annuaire Google Workspace, consultez la documentation Google Workspace :

Avant de commencer

Pour pouvoir configurer un datastore de recherche de contacts, vous devez effectuer les opérations suivantes :

  • Pour appliquer le contrôle des accès aux sources de données et sécuriser les données dans Gemini Enterprise, assurez-vous d'avoir configuré votre fournisseur d'identité.

  • Un administrateur Google Workspace doit activer la recherche de contacts dans les données Google Workspace :

    1. Connectez-vous à la console d'administration Google avec un compte administrateur.
    2. Accédez à Annuaire > Paramètres de l'annuaire.
    3. Activez le partage de contacts.

  • Connectez-vous à la console Google Cloud avec le compte que vous utilisez pour Google Workspace.

  • Si vous utilisez des contrôles de sécurité, tenez compte de leurs limites concernant les données dans Google Workspace, comme indiqué dans le tableau suivant :

    Contrôle de sécurité Points à noter
    Résidence des données (DRZ) Gemini Enterprise ne garantit la résidence des données que dans Google Cloud. Pour en savoir plus sur la résidence des données et Google Workspace, consultez les conseils et la documentation sur la conformité de Google Workspace, par exemple Choisir l'emplacement de stockage des données et Souveraineté numérique.
    Clés de chiffrement gérées par le client (CMEK) Vos clés ne chiffrent que les données dans Google Cloud. Les contrôles Cloud Key Management Service ne s'appliquent pas aux données stockées dans Google Workspace.
    Access Transparency Access Transparency enregistre les actions effectuées par le personnel Google sur le projet Google Cloud . Vous devrez également consulter les journaux Access Transparency créés par Google Workspace. Pour en savoir plus, consultez Événements de journaux Access Transparency dans la documentation d'aide pour les administrateurs Google Workspace.

Avant de créer le datastore sur les personnes, vous devez configurer un compte de service et la délégation au niveau du domaine.

Configurer le compte de service

  1. Vérifiez que vous disposez des autorisations nécessaires pour créer un compte de service. Consultez Rôles requis.

  2. Créez un compte de service dans un projetGoogle Cloud de l'organisation.

  3. Facultatif : Ignorez l'étape Autoriser ce compte de service à accéder au projet (facultatif).

    Affiche la section "Autoriser ce compte de service à accéder au projet (facultatif)" qui doit être ignorée.
    Ignorez l'étape "Autoriser ce compte de service à accéder au projet (facultatif)".

  4. Accordez au compte de service Discovery Engine (service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.gserviceaccount.com) l'accès en tant que Créateur de jetons du compte de service (roles/iam.serviceAccountTokenCreator), puis cliquez sur Enregistrer.

    Montre comment configurer la section "Autoriser les utilisateurs à accéder à ce compte de service".
    Accordez l'accès au compte de service Discovery Engine.

  5. Une fois le compte de service créé, cliquez sur l'onglet Détails du compte de service, puis sur Paramètres avancés.

  6. Copiez l'ID client pour la délégation au niveau du domaine.

    Affiche l'ID client dans la section "Paramètres avancés", "Délégation au niveau du domaine".
    Copiez l'ID client.

Configurer la délégation au niveau du domaine

  1. Connectez-vous à l'espace de travail d'administration Google.
  2. Accédez à Sécurité > Contrôle des accès et des données > Commandes des API.

  3. Cliquez sur Gérer la délégation au niveau du domaine.

    Affiche "Gérer la délégation au niveau du domaine".
    Cliquez sur "Gérer la délégation au niveau du domaine".

  4. Cliquez sur Ajouter.

    Mise en évidence du lien "Ajouter".
    Cliquez sur "Ajouter".

  5. Dans la boîte de dialogue Ajouter un ID client, procédez comme suit :

    1. ID client : saisissez l'ID client.
    2. Champs d'application OAuth : saisissez https://www.googleapis.com/auth/directory.readonly.
    3. Cliquez sur Autoriser.

    Configurez les paramètres de délégation au niveau du domaine.
    Configurez les paramètres de délégation au niveau du domaine.

Configurer des attributs personnalisés

Si vous disposez de données personnalisées sur les personnes (également appelées attributs personnalisés) et que vous souhaitez que les données des attributs personnalisés s'affichent dans les résultats de recherche, procédez comme suit :

  1. Connectez-vous à l'espace de travail d'administration Google.

  2. Cliquez sur Annuaire > Utilisateurs > Autres options > Gérer les attributs personnalisés.

    Gérez les attributs personnalisés des données sur les personnes.
    Cliquez sur "Gérer les attributs personnalisés".

  3. Pour inclure l'attribut personnalisé dans l'index de recherche, définissez sa visibilité sur Visible par l'organisation.

    Définissez la visibilité de l'attribut personnalisé sur "Visible par l'organisation".
    Définissez la visibilité de l'attribut personnalisé sur "Visible par l'organisation" pour l'inclure dans l'index de recherche.

Se connecter avec OAuth

La connexion avec OAuth offre une alternative à la délégation au niveau du domaine pour authentifier votre connecteur de recherche de contacts. Cette méthode vous oblige à créer un client OAuth pour autoriser le connecteur à accéder aux données de l'annuaire de votre organisation. Les étapes suivantes vous guident pour créer le client, configurer le connecteur et mettre à jour les identifiants.

  1. Créer un client OAuth

    1. Accédez à la console Google Cloud et recherchez Credentials.

    2. Cliquez sur  Créer des identifiants.

      Cliquez sur le bouton "Créer des identifiants".
      Créez des identifiants.

    3. Sélectionnez ID client OAuth dans le menu déroulant.

      Sélectionnez l'ID client OAuth.
      Sélectionnez l'ID client OAuth.

    4. Sélectionnez Application Web dans le menu déroulant Type d'application.

      Sélectionnez l'option "Application Web".
      Sélectionnez l'option "Application Web".

    5. Ajoutez un nom à l'ID client OAuth et saisissez l'URI de redirection autorisé sous la forme https://vertexaisearch.cloud.google.com/oauth-redirect.

    6. Cliquez sur Créer et enregistrez les identifiants.

Créer un datastore de recherche de contacts

Pour associer vos données sur les personnes à Gemini Enterprise, procédez comme suit :

Console

  1. Dans la console Google Cloud , accédez à la page Gemini Enterprise.

    Gemini Enterprise

  2. Accédez à la page Datastores.

  3. Cliquez sur  Créer un datastore.

  4. Sur la page Sélectionner une source de données, cliquez sur Recherche de contacts.

    Sélectionnez le data store "Recherche de contacts".
    Sélectionnez le datastore "Recherche de contacts".

  5. Configurez les informations d'authentification :

    Vous pouvez vous authentifier à l'aide d'un jeton d'actualisation OAuth 2.0 ou de la délégation au niveau du domaine.

    • Utilisation d'un jeton d'actualisation OAuth 2.0 :

      1. Sélectionnez Jeton d'actualisation OAuth 2.0, puis ajoutez l'ID client et le code secret du client que vous avez créés lors des étapes précédentes.

      2. Cliquez sur le bouton Authentifier pour accorder le niveau d'accès https://www.googleapis.com/auth/directory.readonly.

      3. Attribuez un nom au connecteur, puis cliquez sur Créer.

    • Utilisation de la délégation au niveau du domaine :

      1. Sélectionnez Délégation au niveau du domaine.

      2. Saisissez l'adresse e-mail du compte de service et la clé privée que vous avez générée.

      3. Cliquez sur Continuer.

  6. Mettez à jour les identifiants du connecteur :

    Vous devez mettre à jour vos identifiants client si votre jeton d'actualisation OAuth a expiré ou si vous souhaitez changer de flux d'identifiants pour ingérer des documents. Cette procédure est nécessaire lorsque vous passez de la délégation au niveau du domaine à OAuth, et inversement.

    1. Accédez au connecteur de recherche de contacts.

    2. Cliquez sur Se réauthentifier.

      Cliquez sur le bouton "Se réauthentifier".
      Cliquez sur le bouton "Se réauthentifier".

    3. Choisissez le flux d'identifiants que vous souhaitez utiliser.

      Cliquez sur le flux d'identifiants.
      Cliquez sur le flux d'identifiants.

    4. Ajoutez les nouveaux identifiants, puis cliquez sur Authentifier.

    5. Saisissez l'adresse e-mail du compte qui extrait les données sur les personnes. Si vous préférez ne pas utiliser de compte administrateur, vous pouvez utiliser un autre compte ayant accès aux données de l'annuaire de l'organisation.

    6. Saisissez l'adresse e-mail du compte de service que vous avez créé précédemment.

    7. Cliquez sur Continuer.

    Configurez les informations d'authentification.
    Configurez les informations d'authentification.

  7. Choisissez une région pour votre datastore.

  8. Dans le champ Nom de votre data store, attribuez un nom à votre datastore.

  9. Cliquez sur Créer.

    La synchronisation peut prendre de quelques minutes à plusieurs heures, selon la taille des données.

Messages d'erreur

Le tableau suivant décrit les messages d'erreur que vous pouvez rencontrer lorsque vous synchronisez des données sur les personnes à l'aide de l'indexation des données. Ce tableau inclut les codes d'erreur gRPC et les étapes de dépannage suggérées.

Code d'erreur (gRPC) Message d'erreur Description Dépannage
9 (Condition préalable non remplie) Échec de l'authentification : compte de service mal configuré. Assurez-vous que le compte de service Discovery Engine dispose du rôle de créateur de jetons du compte de service et que le niveau d'accès d'authentification du compte de service de délégation au niveau du domaine (DWD) est correctement configuré dans la console d'administration Google Cloud. Pour en savoir plus, consultez https://cloud.google.com/gemini/enterprise/docs/connect-people#failed-precondition-1. Tous les documents ont été supprimés de Gemini Enterprise. Cette erreur se produit lorsque le compte de service Discovery Engine ne dispose pas du rôle de créateur de jetons du compte de service ou que le compte de service de délégation au niveau du domaine (DWD) ne dispose pas du niveau d'accès d'authentification approprié. Vérifiez que le compte de service Discovery Engine dispose du rôle de créateur de jetons du compte de service, comme décrit dans la section Configurer le compte de service. Vérifiez également que le niveau d'accès d'authentification du compte de service DWD est correctement configuré dans la console d'administration Google Cloud , comme décrit dans la section Configurer la délégation au niveau du domaine. Accordez à nouveau les autorisations manquantes du compte de service.
9 (Condition préalable non remplie) Aucun résultat récupéré après la synchronisation complète. Tous les documents ont été supprimés de Gemini Enterprise. Cette erreur se produit lorsque le partage de contacts est désactivé dans les paramètres de l'annuaire de la console d'administration. Vérifiez que vous avez activé le partage de contacts pour permettre la recherche de contacts dans les données Google Workspace, comme décrit dans la section Avant de commencer.
3 (Argument non valide) Échec de l'échange du jeton JWT signé contre un jeton d'accès. Votre compte Google Workspace a été supprimé. Tous les documents ont été supprimés de Gemini Enterprise. Cette erreur se produit lorsque le compte Google Workspace est supprimé. Créez un connecteur avec un compte Google Workspace actif.
3 (Argument non valide) ID GAIA introuvable. Échec de l'authentification. Cette erreur se produit lorsque le compte utilisateur est incorrect. Vérifiez que le compte utilisateur existe et saisissez les bons identifiants.
8 (Ressource épuisée) Le quota du projet a été dépassé. Augmentez le quota de documents pour le projet. Cette erreur se produit lorsque le quota du projet est dépassé. Augmentez le quota de documents pour le projet. Pour en savoir plus, consultez la page consacrée aux quotas.
13 (Erreur interne) Une erreur interne s'est produite. Cette erreur se produit en cas d'erreur interne. Contactez l'équipe d'assistance.