このページは Cloud Translation API によって翻訳されました。

Google Workspace からユーザーデータを同期する

Google Workspace からユーザーデータを同期することで、作業チームのユーザー検索を設定できます。ユーザー検索データストアを設定し、データを Vertex AI Search インデックスに取り込むと、ナレッジグラフや自然言語処理などの機能が有効になります。これにより、検索の品質が向上し、ウェブアプリから Google Workspace ディレクトリ内のユーザーを検索できるようになります。

Google Workspace ディレクトリについては、Google Workspace のドキュメントをご覧ください。

始める前に

ユーザー検索データストアを設定する前に、次の操作を行う必要があります。

Gemini Enterprise でデータソースのアクセス制御を適用してデータを保護するには、ID プロバイダが構成されていることを確認してください。
Google Workspace 管理者は、Google Workspace データでユーザー検索を有効にする必要があります。
1. 管理者アカウントで Google 管理コンソールにログインします
2. [ディレクトリ] > [ディレクトリ設定] に移動します。
3. 連絡先の共有を有効にする
Google Workspace で使用しているアカウントと同じアカウントで Google Cloud コンソールにログインします。

セキュリティ管理を使用する場合は、次の表で説明するように、Google Workspace のデータに関連する制限事項に注意してください。

セキュリティ対策	次の点にご注意ください
データ所在地（DRZ）	Gemini Enterprise では、 Google Cloudでのデータ所在地のみが保証されます。データ所在地と Google Workspace については、Google Workspace のコンプライアンスガイダンスとドキュメント（データを保存するリージョンを選択するやデジタル主権など）をご覧ください。
顧客管理の暗号鍵（CMEK）	鍵は Google Cloud内のデータのみを暗号化します。Cloud Key Management Service の制御は、Google Workspace に保存されているデータには適用されません。
アクセスの透明性	アクセスの透明性では、Google の担当者が Google Cloud プロジェクトに対して行った操作が記録されます。また、Google Workspace によって作成されたアクセスの透明性ログを確認する必要があります。詳しくは、Google Workspace 管理者向けヘルプドキュメントのアクセスの透明性ログイベントをご覧ください。

ユーザーデータストアを作成する前に、サービスアカウントとドメイン全体の委任を設定する必要があります。

サービスアカウントを設定する

サービスアカウントの作成に必要な権限が付与されていることを確認します。必要なロールをご覧ください。
組織内のGoogle Cloud プロジェクトにサービスアカウントを作成します。
省略可: [このサービスアカウントにプロジェクトへのアクセスを許可する（省略可）] 手順をスキップします。

[このサービスアカウントにプロジェクトへのアクセスを許可する（省略可）] の手順をスキップします。
ディスカバリーエンジンサービスアカウント（service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.gserviceaccount.com）にサービスアカウントトークン作成者（roles/iam.serviceAccountTokenCreator）としてアクセス権を付与し、[保存] をクリックします。

Discovery Engine サービスアカウントにアクセス権を付与します。
サービスアカウントが作成されたら、サービスアカウントの [詳細] タブをクリックし、[詳細設定] をクリックします。
ドメイン全体の委任のクライアント ID をコピーします。

クライアント ID をコピーします。

ドメイン全体の委任を設定する

Google 管理者ワークスペースにログインします。
[セキュリティ] > [アクセスとデータ管理] > [API の制御] に移動します。
[ドメイン全体の委任を管理] をクリックします。

[ドメイン全体の委任を管理] をクリックします。
[新しく追加] をクリックします。

[新しく追加] をクリックします。
[新しいクライアント ID を追加] ダイアログで、次の操作を行います。
1. Client ID: クライアント ID を入力します。
2. OAuth スコープ: https://www.googleapis.com/auth/directory.readonly と入力します。
3. [承認] をクリックします。
ドメイン全体の委任設定を構成します。

カスタム属性を構成する

カスタムのユーザーデータ（カスタム属性とも呼ばれます）があり、カスタム属性データを検索結果に表示したい場合は、次の操作を行います。

Google 管理者ワークスペースにログインします。
[ディレクトリ] > [ユーザー] > [その他のオプション] > [カスタム属性を管理] をクリックします。

[カスタム属性を管理] をクリックします。
カスタム属性を検索可能にするには、属性の [公開設定] を [組織に公開] に設定します。

カスタム属性の公開設定を [組織に公開] に設定すると、検索可能になります。

OAuth を使用して接続する

OAuth を使用した接続は、ユーザー検索コネクタを認証するためのドメイン全体の委任の代替手段となります。この方法では、組織のディレクトリデータにアクセスするコネクタを承認するために OAuth クライアントを作成する必要があります。以下の手順では、クライアントの作成、コネクタの設定、認証情報の更新について説明します。

OAuth クライアントを作成する
1. Google Cloud コンソールに移動して、Credentials を検索します。
2. [認証情報を作成] をクリックします。
  
  認証情報を作成します。
3. プルダウンメニューで [OAuth クライアント ID] を選択します。
  
  OAuth クライアント ID を選択します。
4. [アプリケーションの種類] プルダウンメニューから [ウェブアプリケーション] を選択します。
  
  ウェブアプリケーションオプションを選択します。
5. OAuth クライアント ID の名前を追加し、承認済みのリダイレクト URI を https://vertexaisearch.cloud.google.com/oauth-redirect として入力します。
6. [作成] をクリックして、認証情報を保存します。

ユーザー検索データストアを作成する

ユーザーデータを Gemini Enterprise に接続する手順は次のとおりです。

Console

Google Cloud コンソールで、[Gemini Enterprise] ページに移動します。

Gemini Enterprise
[データストア] ページに移動します。
[データストアを作成] をクリックします。
[データソースを選択] ページで、[ユーザー検索] をクリックします。

ユーザー検索データストアを選択します。
認証の詳細を構成します。

認証には、OAuth 2.0 更新トークンまたはドメイン全体の委任を使用できます。
- OAuth 2.0 更新トークンを使用する:
  1. [OAuth 2.0 更新トークン] を選択し、前の手順で作成したクライアント ID とクライアントシークレットを追加します。
  2. [認証] ボタンをクリックして、スコープ https://www.googleapis.com/auth/directory.readonly について同意します。
  3. コネクタの名前を指定して、[作成] をクリックします。
- ドメイン全体の委任を使用する:
  1. [ドメイン全体の委任] を選択します。
  2. サービスアカウントのメールアドレスと生成した秘密鍵を入力します。
  3. [続行] をクリックします。
コネクタの認証情報を更新する:

OAuth 更新トークンの有効期限が切れた場合や、ドキュメントの取り込みに使用する認証情報フローを切り替える場合は、クライアント認証情報を更新する必要があります。このプロセスは、ドメイン全体の委任から OAuth に切り替える場合、または OAuth からドメイン全体の委任に戻す場合に必要です。
1. ユーザー検索コネクタに移動します。
2. [再認証] をクリックします。
  
  [再認証] ボタンをクリックします。
3. 使用する認証情報フローを選択します。
  
  認証情報フローをクリックします。
4. 新しい認証情報を追加して、[認証] をクリックします。
5. ユーザーデータを取得するアカウントのメールアドレスを入力します。管理者アカウントを使用しない場合は、組織のディレクトリデータにアクセスできる別のアカウントを使用できます。
6. 以前に作成したサービスアカウントのメールアドレスを入力します。
7. [続行] をクリックします。
認証の詳細を構成します。
データストアのリージョンを選択します。
[データストア名] フィールドに、データストアの名前を入力します。
[作成] をクリックします。

同期には、データのサイズに応じて数分から数時間かかることがあります。

エラーメッセージ

次の表は、データインデックスを使用してユーザーデータを同期する際に発生する可能性のあるエラーメッセージを示しています。次の表に、gRPC エラーコードと推奨されるトラブルシューティングの手順を示します。

エラーコード（gRPC）	エラーメッセージ	説明	トラブルシューティング
9（前提条件に失敗しました）	認証に失敗しました。サービスアカウントの構成が正しくありません。ディスカバリーエンジンサービスアカウントにサービスアカウントトークン作成者のロールがあり、Google Cloud 管理者にドメイン全体の委任（DWD）サービスアカウントの認証スコープが正しく設定されていることを確認します。詳細については、https://cloud.google.com/gemini/enterprise/docs/connect-people#failed-precondition-1 をご覧ください。Gemini Enterprise からすべてのドキュメントが削除されました。	このエラーは、ディスカバリーエンジンサービスアカウントにサービスアカウントトークン作成者のロールがない場合、またはドメイン全体の委任（DWD）サービスアカウントに正しい認証スコープがない場合に発生します。	サービスアカウントを設定するセクションの説明に沿って、ディスカバリーエンジンサービスアカウントにサービスアカウントトークン作成者のロールがあることを確認します。また、ドメイン全体の委任を設定するセクションの説明に沿って、 Google Cloud 管理者に DWD サービスアカウントの認証スコープが正しく設定されていることを確認します。不足しているサービスアカウントの権限を再度付与します。
9（前提条件に失敗しました）	完全な同期後に結果が 1 つも取得されません。Gemini Enterprise からすべてのドキュメントが削除されました。	このエラーは、管理コンソールのディレクトリ設定で連絡先の共有が無効になっている場合に発生します。	始める前にセクションの説明に沿って、連絡先の共有をオンにして、Google Workspace データでユーザー検索を有効にしていることを確認します。
3（引数が無効です）	署名付き JWT をアクセストークンと交換できませんでした。Google Workspace アカウントが削除されました。Gemini Enterprise からすべてのドキュメントが削除されました。	このエラーは、Google Workspace アカウントが削除された場合に発生します。	有効な Google Workspace アカウントを使用して新しいコネクタを作成します。
3（引数が無効です）	GAIA ID が見つかりません。認証に失敗しました。	このエラーは、ユーザーアカウントが正しくない場合に発生します。	ユーザーアカウントが存在することを確認し、正しい認証情報を入力します。
8（リソース不足です）	プロジェクトの割り当てを超過しました。プロジェクトのドキュメント割り当てを増やします。	このエラーは、プロジェクトの割り当てを超えた場合に発生します。	プロジェクトのドキュメント割り当てを増やします。詳細については、割り当てをご覧ください。
13（内部エラー）	内部エラーが発生しました。	このエラーは、内部エラーがある場合に発生します。	サポートチームに連絡してください。