同步處理 Google Workspace 中的人員資料

您可以同步處理 Google Workspace 的使用者資料,為工作團隊設定使用者搜尋功能。設定使用者搜尋資料儲存庫,並將資料擷取至 Vertex AI Search 索引後,即可啟用知識圖譜和自然語言處理等功能。這有助於提升搜尋品質,讓您透過網頁應用程式在 Google Workspace 目錄中尋找使用者。

如要瞭解 Google Workspace 目錄,請參閱 Google Workspace 說明文件:

事前準備

設定使用者搜尋資料儲存庫前,請務必完成下列事項:

  • 如要強制執行資料來源存取控管,並保護 Gemini Enterprise 中的資料,請務必設定識別資訊提供者

  • Google Workspace 管理員必須啟用 Google Workspace 資料的使用者搜尋功能:

    1. 使用管理員帳戶登入 Google 管理控制台
    2. 依序前往「Directory」(目錄) >「Directory settings」(目錄設定)
    3. 啟用「Contact sharing」(聯絡人共用)

  • 使用您的 Google Workspace 帳戶登入 Google Cloud 控制台。

  • 如果您設有安全控管措施,請留意這些措施對 Google Workspace 資料的限制,如下表所示:

    安全控管措施 注意事項
    資料落地 (DRZ) Gemini Enterprise 僅保證資料會儲存在 Google Cloud。如要瞭解資料落地和 Google Workspace,請參閱 Google Workspace 法規遵循指南和文件,例如「選擇儲存資料的區域」和「數位主權」。
    客戶自行管理的加密金鑰 (CMEK) 您的金鑰只會加密 Google Cloud中的資料。Cloud Key Management Service 控制選項不適用於儲存在 Google Workspace 的資料。
    資料存取透明化控管機制 「資料存取透明化控管機制」會記錄 Google 人員對 Google Cloud 專案採取的動作。您也需要檢查 Google Workspace 建立的資料存取透明化控管機制記錄。詳情請參閱 Google Workspace 管理員說明文件中的「資料存取透明化控管機制記錄事件」。

建立使用者資料儲存庫前,請先設定服務帳戶和全網域委派。

設定服務帳戶

  1. 請確認您具備建立服務帳戶所需的權限。請參閱「必要的角色」。

  2. 在組織的Google Cloud 專案中建立服務帳戶

  3. 選用:略過「Grant this service account access to project (optional)」(將專案存取權授予這個服務帳戶 (選用)) 步驟。

    顯示「將專案存取權授予這個服務帳戶 (選用)」部分,必須略過。
    略過「將專案存取權授予這個服務帳戶 (選用)」步驟。

  4. 授予 Discovery Engine 服務帳戶 (service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.gserviceaccount.com) 的存取權做為「Service account token creator」(服務帳戶權杖建立者) (roles/iam.serviceAccountTokenCreator),然後按一下「Save」(儲存)

    說明如何設定「將這個服務帳戶的存取權授予使用者」部分。
    授予 Discovery Engine 服務帳戶存取權。

  5. 建立服務帳戶後,按一下服務帳戶的「Details」(詳細資料) 分頁標籤,然後點選「Advanced settings」(進階設定)

  6. 複製用於全網域委派的用戶端 ID。

    在進階設定的全網域委派部分中,顯示用戶端 ID。
    複製用戶端 ID。

設定全網域委派項目

  1. 登入 Google 管理員工作區
  2. 依序前往「Security」(安全性) >「Access and data control」(存取權與資料控管) >「API controls」(API 控制項)

  3. 按一下「Manage domain wide delegation」(管理全網域委派設定)

    顯示「管理全網域委派設定」。
    按一下「管理全網域委派設定」。

  4. 按一下「新增」

    醒目顯示新增連結。
    按一下「新增」。

  5. 在「Add a new client ID」(新增用戶端 ID) 對話方塊中,執行下列操作:

    1. 「Client ID」(用戶端 ID):輸入用戶端 ID。
    2. 「OAuth scopes」(OAuth 範圍):輸入 https://www.googleapis.com/auth/directory.readonly
    3. 按一下 [授權]。

    設定全網域委派設定。
    設定全網域委派設定。

設定自訂屬性

如果您有自訂使用者資料 (也稱為自訂屬性),並希望這類資料顯示在搜尋結果中,請按照下列步驟操作:

  1. 登入 Google 管理員工作區

  2. 依序點按「Directory」(目錄) >「Users」(使用者) >「More options」(更多選項) >「Manage custom attributes」(管理自訂屬性)。

    管理自訂人員資料屬性。
    按一下「管理自訂屬性」。

  3. 如要讓自訂屬性可供搜尋,請將屬性的「Visibility」(瀏覽權限)設為「Visible to organization」(機構中所有使用者皆可檢視)

    將自訂屬性的瀏覽權限設為「機構中所有使用者皆可檢視」。
    將自訂屬性的瀏覽權限設為「機構中所有使用者皆可檢視」,即可供搜尋。

透過 OAuth 連線

透過 OAuth 連線可驗證使用者搜尋連結器,這樣就不必使用全網域委派。這個方法需要建立 OAuth 用戶端,並授權連接器存取貴組織的目錄資料。下列步驟說明如何建立用戶端、設定連接器以及更新憑證。

  1. 建立 OAuth 用戶端

    1. 前往 Google Cloud 控制台並搜尋 Credentials

    2. 點按「 Create Credentials」(建立憑證)

      按一下「建立憑證」按鈕。
      建立憑證。

    3. 從下拉式選單中選取「OAuth client ID」(OAuth 用戶端 ID)

      選取 OAuth 用戶端 ID。
      選取 OAuth 用戶端 ID。

    4. 從「Web application」(應用程式類型)下拉式選單中選取「Web application」(網頁應用程式)

      選取「網頁應用程式」選項。
      選取「網頁應用程式」選項。

    5. 為 OAuth 用戶端 ID 新增名稱,並輸入經授權的重新導向 URI:https://vertexaisearch.cloud.google.com/oauth-redirect

    6. 點按「Create」(建立)並儲存憑證。

建立使用者搜尋資料儲存庫

如要將使用者資料連結至 Gemini Enterprise,請按照下列步驟操作:

主控台

  1. 前往 Google Cloud 控制台的「Gemini Enterprise」頁面。

    Gemini Enterprise

  2. 前往「Data Stores」(資料儲存庫) 頁面。

  3. 點按「 Create Data Store」(建立資料儲存庫)

  4. 在「Select a data source」(選取資料來源) 頁面中,點按「People search」(使用者搜尋)

    選取「使用者搜尋」資料儲存庫。
    選取「使用者搜尋」資料儲存庫。

  5. 設定驗證詳細資料:

    您可以使用 OAuth 2.0 更新權杖或全網域委派進行驗證。

    • 使用 OAuth 2.0 更新權杖:

      1. 選取「OAuth 2.0 refresh token」(OAuth 2.0 更新權杖),然後新增您在先前步驟中建立的用戶端 ID 和用戶端密鑰。

      2. 點按「Authenticate」(驗證) 按鈕來核准範圍 https://www.googleapis.com/auth/directory.readonly

      3. 提供連接器的名稱,然後點按「Create」(建立)

    • 使用全網域委派:

      1. 選取「Domain-wide delegation」(全網域委派)

      2. 輸入您產生的服務帳戶電子郵件地址和私密金鑰。

      3. 點按「Continue」(繼續)

  6. 更新連接器憑證:

    如果 OAuth 更新權杖已過期,或您想切換憑證流程來擷取文件,請務必更新用戶端憑證。如果您要從全網域委派改成 OAuth,或是從 OAuth 改回全網域委派,就必須完成這項程序。

    1. 前往「People Search」(使用者搜尋) 連接器。

    2. 點按「Re-authenticate」(重新驗證)

      按一下「重新驗證」按鈕。
      按一下「重新驗證」按鈕。

    3. 選擇要使用的憑證流程。

      按一下憑證流程。
      按一下憑證流程。

    4. 新增憑證,然後點按「Authenticate」(驗證)

    5. 輸入擷取使用者資料的帳戶電子郵件地址。如果您不想使用管理員帳戶,可以改用有權存取組織目錄資料的帳戶。

    6. 輸入您先前建立的服務帳戶電子郵件地址。

    7. 按一下「繼續」

    設定驗證詳細資料。
    設定驗證詳細資料。

  7. 選擇資料儲存庫的區域。

  8. 在「Your data store name」(資料儲存庫名稱) 欄位中,輸入資料儲存庫的名稱。

  9. 點選「建立」

    視資料大小而定,同步處理可能需要幾分鐘到幾小時的時間。

錯誤訊息

下表說明使用資料索引功能,來同步處理使用者資料時,可能會遇到的錯誤訊息。下表包含 gRPC 錯誤代碼和建議的疑難排解步驟。

錯誤代碼 (gRPC) 錯誤訊息 說明 疑難排解
9 (先決條件無效) 驗證失敗:服務帳戶設定錯誤。確認 Discovery Engine 服務帳戶具有服務帳戶權杖建立者角色,並確認您已在 Google Cloud 管理控制台正確設定全網域委派 (DWD) 服務帳戶驗證範圍。詳情請參閱 https://cloud.google.com/gemini/enterprise/docs/connect-people#failed-precondition-1。所有文件都已從 Gemini Enterprise 刪除。 如果 Discovery Engine 服務帳戶缺少服務帳戶權杖建立者角色,或是全網域委派 (DWD) 服務帳戶缺少正確的授權範圍,就會發生這個錯誤。 確認 Discovery Engine 服務帳戶具有「設定服務帳戶」一節所述的服務帳戶權杖建立者角色,並確認 Google Cloud 管理員已如「設定全網域委派」一節所述,正確設定 DWD 服務帳戶授權範圍。請重新授予缺少的服務帳戶權限。
9 (先決條件無效) 完整同步處理後,未擷取到任何結果。所有文件都已從 Gemini Enterprise 刪除。 如已在管理控制台的目錄設定中停用聯絡人共用功能,就會發生這個錯誤。 請確認您已開啟聯絡人共用功能,以便在 Google Workspace 資料中搜尋使用者,如「事前準備」一節所述。
3 (引數無效) 無法使用已簽署的 JWT 來交換存取權杖。Google Workspace 帳戶已遭刪除。所有文件都已從 Gemini Enterprise 刪除。 如果 Google Workspace 帳戶遭到刪除,就會發生這個錯誤。 使用有效的 Google Workspace 帳戶建立新的連接器。
3 (引數無效) 找不到 GAIA ID。驗證失敗。 如果使用者帳戶有誤,就會發生這個錯誤。 請確認使用者帳戶存在,並輸入正確的憑證。
8 (資源已用盡) 已超過專案配額。請提高專案的文件配額。 如果超出專案配額,就會發生這個錯誤。 提高專案的文件配額。詳情請參閱配額的相關說明。
13 (內部錯誤) 發生內部錯誤。 發生內部錯誤時,就會出現這個錯誤。 請與支援團隊聯絡。