Configura NotebookLM Enterprise

En esta página, se describen las tareas de inicio que debes completar para configurar NotebookLM Enterprise.

Después de realizar las tareas de esta página, los usuarios podrán comenzar a crear y usar notebooks en NotebookLM Enterprise.

Acerca de la configuración de identidad

Para completar la configuración, debes tener configurado el proveedor de identidad (IdP) de tu organización en Google Cloud. La configuración correcta de la identidad es importante por dos motivos:

• Permite que tus usuarios usen sus credenciales corporativas actuales para acceder a la interfaz de usuario de NotebookLM Enterprise.

• Garantiza que los usuarios solo vean los cuadernos que les pertenecen o que se compartieron con ellos.

Frameworks compatibles

Se admiten los siguientes frameworks de autenticación:

• Cloud Identity:

  • Caso 1: Si usas Cloud Identity o Google Workspace, todas las identidades y los grupos de usuarios están presentes y se administran a través deGoogle Cloud. Para obtener más información sobre Cloud Identity, consulta la documentación de Cloud Identity.

  • Caso 2: Usas un IdP de terceros y sincronizaste identidades con Cloud Identity. Tus usuarios finales usan Cloud Identity para autenticarse antes de acceder a los recursos de Google o Google Workspace.

  • Caso 3: Usas un IdP de terceros y sincronizaste identidades con Cloud Identity. Sin embargo, sigues usando tu IdP externo existente para realizar la autenticación. Configuraste el SSO con Cloud Identity de modo que tus usuarios comienzan su acceso con Cloud Identity y, luego, se los dirige a tu IdP externo. (Es posible que ya hayas realizado esta sincronización cuando configuraste otros recursos de Google Cloud o Google Workspace).

• Federación de identidades de personal: Si usas un proveedor de identidad externo (Microsoft Entra ID, Okta, Ping, PingFederate o algún otro IdP de OIDC o SAML 2.0), pero no deseas sincronizar tus identidades en Cloud Identity, debes configurar la federación de identidades de personal en Google Cloudantes de que puedas activar el control de acceso a la fuente de datos para Gemini Enterprise.

  El atributo google.subject debe asignarse al campo de dirección de correo electrónico en el IdP externo. A continuación, se muestran ejemplos de asignaciones de atributos google.subject y google.groups para los IdP de uso frecuente:

  • Microsoft Entra ID

    • Microsoft Entra ID con el protocolo OIDC

      google.subject=assertion.email
      google.groups=assertion.groups
      

    • Microsoft Entra ID con protocolo SAML

      google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name'][0]
      google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
      

    • Microsoft Entra ID con grupos grandes

    Si usas Microsoft Entra ID y tienes más de 150 grupos, debes configurar un Sistema para la administración de identidades entre dominios (SCIM) para administrar identidades con Google Cloud o Microsoft Entra ID con atributos extendidos, que usa Microsoft Graph para recuperar nombres de grupos. Configurar SCIM te permite (y a tus usuarios finales) escribir nombres de grupos en lugar de IDs de grupos cuando comparten notebooks. Consulta el paso 2 en el Procedimiento para compartir un notebook con un grupo. Si usas SCIM o atributos extendidos, se ignorará la asignación del atributo google.groups.

  • Okta

    • Okta con protocolo OIDC

      google.subject=assertion.email
      google.groups=assertion.groups
      

    • Okta con protocolo SAML

      google.subject=assertion.subject
      google.groups=assertion.attributes['groups']
      

Solo puedes seleccionar un IdP por proyecto Google Cloud .

Antes de comenzar

Antes de comenzar los procedimientos de esta página, asegúrate de que se cumpla una de las siguientes condiciones:

• Usas Cloud Identity como tu IdP.

• Usas un IdP externo y configuraste el SSO con Cloud Identity.

• Usas un IdP externo, configuraste la federación de identidades de personal y conoces el nombre de tu grupo de personal.

Crea un proyecto y habilita la API

Si ya tienes un proyecto de Google Cloud que quieras usar, comienza en el paso 2.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Otorga el rol de administrador de Cloud NotebookLM

Como propietario del proyecto, debes asignar el rol de administrador de Cloud NotebookLM a los usuarios que quieras que puedan administrar NotebookLM Enterprise en este proyecto:

1. En la consola de Google Cloud , ve a la página IAM.

   Ir a IAM
2. Selecciona el proyecto.
3. Haz clic en person_addGrant access.

4. En el campo Principales nuevas, ingresa el identificador del usuario. Por lo general, esta es la dirección de correo electrónico de una Cuenta de Google o de un grupo de usuarios.

5. En la lista Seleccionar un rol, selecciona Administrador de Cloud NotebookLM. Para obtener más información, consulta Roles de usuario.
6. Haz clic en Guardar.

Cómo configurar el IdP para NotebookLM Enterprise

El propietario del proyecto o un usuario que tenga el rol de administrador de Cloud NotebookLM puede configurar el IdP.

1. En la consola de Google Cloud , ve a la página Gemini Enterprise.

   Gemini Enterprise

2. En NotebookLM Enterprise, haz clic en Administrar.

3. Establece Configuración de identidad en Proveedor de identidad de Google o Identidad de terceros.

   Para obtener más información, consulta Acerca de la configuración de identidad más arriba.

4. Si usas un IdP externo y decidiste configurar la federación de identidades de personal, especifica el nombre de tu grupo de personal y tu proveedor de grupos de personal.

5. Copia el vínculo.

   Enviarás este vínculo a todos los usuarios finales de NotebookLM Enterprise. Este es el vínculo a la interfaz de usuario que usarán para crear, editar y compartir notebooks.

Opcional: Registra claves de encriptación administradas por el cliente

Si deseas usar claves de encriptación administradas por el cliente (CMEK) en lugar de la encriptación predeterminada de Google, sigue las instrucciones para registrar una clave para NotebookLM Enterprise en Claves de encriptación administradas por el cliente.

Por lo general, solo necesitas usar CMEK si tu organización tiene requisitos reglamentarios estrictos o políticas internas que estipulan el control sobre las claves de encriptación. En la mayoría de las situaciones, la encriptación predeterminada de Google es suficiente. Para obtener información general sobre las CMEK, consulta la documentación de Cloud Key Management Service.

Otorga roles de NotebookLM Enterprise a los usuarios

En esta sección, se describe cómo otorgar a tus usuarios los roles de IAM que necesitan para acceder a los notebooks, administrarlos y compartirlos.

1. En la consola de Google Cloud , ve a la página IAM.

   Ir a IAM
2. Selecciona el proyecto.
3. Haz clic en person_addGrant access.

4. En el campo Principales nuevas, ingresa el identificador del usuario. Por lo general, es la dirección de correo electrónico de una Cuenta de Google, un grupo de usuarios o el identificador de un usuario en un grupo de identidades del personal. Para obtener más información, consulta Representa a los usuarios del grupo de personal en políticas de IAM o comunícate con tu administrador.

5. En la lista Seleccionar un rol, selecciona el rol Cloud NotebookLM User.
6. Haz clic en Guardar.

Además del rol Cloud NotebookLM User, los usuarios necesitan una licencia de NotebookLM Enterprise. Consulta Cómo obtener licencias para NotebookLM Enterprise.

¿Qué sigue?

• Obtén licencias para NotebookLM Enterprise.