您可以通过同步 Google Workspace 中的人员数据,为工作团队设置人员搜索。设置人员搜索数据存储区并将数据注入 Vertex AI Search 索引后,即可启用知识图谱和自然语言处理等功能。这有助于提升搜索质量,让您可以通过 Web 应用在 Google Workspace 目录中查找人员。
如需了解 Google Workspace 目录,请参阅 Google Workspace 文档:
准备工作
在设置人员搜索数据存储区之前,您必须完成以下操作:
如需在 Gemini Enterprise 中强制执行数据源访问权限控制并保护数据安全,请确保您已配置身份提供方。
Google Workspace 管理员必须启用 Google Workspace 数据的人员搜索功能:
- 使用管理员账号登录 Google 管理控制台。
- 依次前往目录 > 目录设置。
- 启用联系人共享功能。
使用与 Google Workspace 相同的账号登录 Google Cloud 控制台。
如果您使用安全控制措施,请注意下表所述的与 Google Workspace 数据相关的限制:
安全控制 请注意以下几点 数据驻留 (DRZ) Gemini Enterprise 仅保证数据驻留在 Google Cloud中。如需了解数据驻留和 Google Workspace,请参阅 Google Workspace 合规性指南和文档,例如选择数据存储区域和数字主权。 客户管理的加密密钥 (CMEK) 您的密钥仅加密 Google Cloud内的数据。Cloud Key Management Service 的控制措施不适用于存储在 Google Workspace 中的数据。 Access Transparency Access Transparency 会记录 Google 员工在 Google Cloud 项目中执行的操作。您还需要查看 Google Workspace 创建的 Access Transparency 日志。如需了解详情,请参阅 Google Workspace 管理员帮助文档中的 Access Transparency 日志事件。
在创建人员数据存储区之前,您需要设置服务账号并配置全网域授权。
设置服务账号
请验证您是否拥有创建服务账号所需的权限。请参阅所需角色。
在组织内的Google Cloud 项目中创建服务账号。
可选:跳过向此服务账号授予对项目的访问权限(可选)这一步。
跳过“向此服务账号授予对项目的访问权限(可选)”这一步。 将 Discovery Engine 服务账号 (
service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.gserviceaccount.com) 授权为 Service Account Token Creator (roles/iam.serviceAccountTokenCreator) 的访问权限,然后点击保存。
授予 Discovery Engine 服务账号访问权限。 创建服务账号后,点击该服务账号的详情标签页,然后点击高级设置。
复制全网域授权的客户端 ID。
复制客户端 ID。
设置全网域授权
- 登录 Google 管理员工作区。
- 依次前往安全性 > 访问权限和数据控件 > API 控件。
点击管理全网域授权。
点击“管理全网域授权”。 点击新增。
点击“添加新内容”。 在添加新的客户端 ID 对话框中,执行以下操作:
- 客户端 ID:输入客户端 ID。
- OAuth 范围:输入
https://www.googleapis.com/auth/directory.readonly。 - 点击授权。
配置全网域授权设置。
配置自定义属性
如果您拥有自定义人员数据(也称为自定义属性),并希望自定义属性数据出现在搜索结果中,请执行以下操作:
登录 Google 管理员工作区。
依次点击目录 > 用户 > 更多选项 > 管理自定义属性。
点击“管理自定义属性”。 如需使自定义属性可搜索,请将该属性的公开范围设置为对组织可见。
将自定义属性的公开范围设置为“对组织可见”,以使其可被搜索。
使用 OAuth 进行连接
通过 OAuth 进行连接可为人员搜索连接器提供一种替代全网域授权的身份验证方式。此方法要求您创建一个 OAuth 客户端,以授权连接器访问贵组织的目录数据。以下步骤将引导您完成创建客户端、设置连接器和更新凭证的过程。
创建 OAuth 客户端
前往 Google Cloud 控制台,然后搜索
Credentials。点击 创建凭证。
创建凭据。 从下拉菜单中选择 OAuth 客户端 ID。
选择 OAuth 客户端 ID。 从应用类型下拉菜单中选择 Web 应用。
选择“Web 应用”选项。 为 OAuth 客户端 ID 添加一个名称,然后输入授权的重定向 URI 作为
https://vertexaisearch.cloud.google.com/oauth-redirect。点击创建并保存凭证。
创建人员搜索数据存储区
如需将人员数据关联到 Gemini Enterprise,请按以下步骤操作:
控制台
在 Google Cloud 控制台中,前往 Gemini Enterprise 页面。
前往数据存储区页面。
点击 创建数据存储区。
在选择数据源页面上,点击人员搜索。
选择“人员搜索”数据存储区。 配置身份验证详细信息:
您可以使用 OAuth 2.0 刷新令牌或全网域授权进行身份验证。
使用 OAuth 2.0 刷新令牌:
选择 OAuth 2.0 刷新令牌,然后添加您在上一步中创建的客户端 ID 和客户端密钥。
点击身份验证按钮,以同意范围
https://www.googleapis.com/auth/directory.readonly。为连接器命名,然后点击创建。
使用全网域授权:
选择全网域授权。
输入您生成的服务账号邮箱和私钥。
点击继续。
更新连接器凭证:
如果您的 OAuth 刷新令牌已过期,或者您想切换用于提取文档的凭证流程,则必须更新客户端凭证。当您从全网域授权切换到 OAuth,或从 OAuth 切换回全网域授权时,此过程是必需的。
前往“人员搜索”连接器。
点击重新进行身份验证。
点击“重新进行身份验证”按钮。 选择您要使用的凭证流。
点击凭据流程。 添加新凭证,然后点击进行身份验证。
输入用于提取人员数据的账号邮箱。如果您不想使用管理员账号,可以使用有权限访问组织目录数据的其他账号。
输入您之前创建的服务账号邮箱。
点击继续。
配置身份验证详细信息。 为数据存储区选择一个区域。
在数据存储区名称字段中,输入数据存储区的名称。
点击创建。
同步可能需要几分钟到几小时,具体取决于数据大小。
错误消息
下表介绍了您在使用数据编入索引功能同步人员数据时可能会遇到的错误消息。下表列出了 gRPC 错误代码和建议的问题排查步骤。
| 错误代码 (gRPC) | 错误消息 | 说明 | 问题排查 |
|---|---|---|---|
| 9(未能满足前提条件) | 身份验证失败:服务账号配置错误。确保 Discovery Engine 服务账号具有 Service Account Token Creator 角色,并且全网域授权 (DWD) 服务账号身份验证范围已在 Google Cloud 管理中心内正确设置。如需了解详情,请参阅 https://cloud.google.com/gemini/enterprise/docs/connect-people#failed-precondition-1。所有文档均已从 Gemini Enterprise 中删除。 | 当 Discovery Engine 服务账号缺少 Service Account Token Creator 角色,或全网域授权 (DWD) 服务账号缺少正确的授权范围时,会发生此错误。 | 验证 Discovery Engine 服务账号是否具有 Service Account Token Creator 角色(如设置服务账号部分中所述),并验证 DWD 服务账号身份验证范围是否已在 Google Cloud 管理中心内正确设置(如设置全网域授权部分中所述)。重新授予缺失的服务账号权限。 |
| 9(未能满足前提条件) | 完整同步后未提取到任何结果。所有文档均已从 Gemini Enterprise 中删除。 | 当在管理控制台的目录设置中停用联系人共享时,会发生此错误。 | 验证您是否已开启联系人共享功能,以便启用 Google Workspace 数据中的人员搜索功能,如准备工作部分所述。 |
| 3(参数无效) | 无法将已签名的 JWT 交换为访问令牌。Google Workspace 账号已被删除。 所有文档均已从 Gemini Enterprise 中删除。 | 当 Google Workspace 账号被删除时,会发生此错误。 | 使用有效的 Google Workspace 账号创建新的连接器。 |
| 3(参数无效) | 未找到 GAIA ID。身份验证失败。 | 当用户账号不正确时,会发生此错误。 | 验证用户账号是否存在,并输入正确的凭证。 |
| 8(资源已用完) | 项目配额已超出。提高项目的文档配额。 | 当项目配额超出时,会发生此错误。 | 提高项目的文档配额。如需了解详情,请参阅配额。 |
| 13(内部错误) | 遇到内部错误。 | 发生内部错误时会出现此错误。 | 请与支持团队联系。 |