Configurare NotebookLM Enterprise

Questa pagina descrive le attività di avvio che devi completare per configurare NotebookLM Enterprise.

Dopo aver eseguito le attività descritte in questa pagina, gli utenti possono iniziare a creare e utilizzare i notebook in NotebookLM Enterprise.

Informazioni sulla configurazione delle identità

Per completare la configurazione, devi aver configurato il provider di identità (IdP) della tua organizzazione in Google Cloud. La configurazione corretta dell'identità è importante per due motivi:

• Consente agli utenti di utilizzare le proprie credenziali aziendali attuali per accedere all'interfaccia utente di NotebookLM Enterprise.

• Garantisce che gli utenti vedano solo i notebook di loro proprietà o che sono stati condivisi con loro.

Framework supportati

Sono supportati i seguenti framework di autenticazione:

• Cloud Identity:

  • Scenario 1: se utilizzi Cloud Identity o Google Workspace, tutte le identità e i gruppi di utenti sono presenti e gestiti tramiteGoogle Cloud. Per saperne di più su Cloud Identity, consulta la documentazione di Cloud Identity.

  • Scenario 2: utilizzi un IdP di terze parti e hai sincronizzato le identità con Cloud Identity. Gli utenti finali utilizzano Cloud Identity per autenticarsi prima di accedere alle risorse Google o a Google Workspace.

  • Scenario 3: utilizzi un IdP di terze parti e hai sincronizzato le identità con Cloud Identity. Tuttavia, utilizzi ancora il tuo provider di identità di terze parti esistente per eseguire l'autenticazione. Hai configurato SSO con Cloud Identity in modo che gli utenti inizino l'accesso utilizzando Cloud Identity e poi vengano indirizzati al tuo IdP di terze parti. Potresti aver già eseguito questa sincronizzazione durante la configurazione di altre risorse Google Cloud o di Google Workspace.

• Federazione delle identità per la forza lavoro: se utilizzi un provider di identità esterno (Microsoft Entra ID, Okta, Ping, PingFederate o un altro IdP OIDC o SAML 2.0), ma non vuoi sincronizzare le tue identità in Cloud Identity, devi configurare la federazione delle identità per la forza lavoro in Google Cloudprima di poter attivare il controllo dell'accesso dell'accesso alle origini dati per Gemini Enterprise.

  L'attributo google.subject deve essere mappato al campo dell'indirizzo email nel provider di identità esterno. Di seguito sono riportati esempi di mappatura degli attributi google.subject e google.groups per i provider di identità di uso comune:

  • Microsoft Entra ID

    • Microsoft Entra ID con protocollo OIDC

      google.subject=assertion.email
      google.groups=assertion.groups
      

    • Microsoft Entra ID con protocollo SAML

      google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name'][0]
      google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
      

    • Microsoft Entra ID con gruppi di grandi dimensioni

    Se utilizzi Microsoft Entra ID e hai più di 150 gruppi, devi configurare un System for Cross-domain Identity Management (SCIM) per gestire le identità con Google Cloud o Microsoft Entra ID con attributi estesi, che utilizza Microsoft Graph per recuperare i nomi dei gruppi. La configurazione di SCIM consente a te (e ai tuoi utenti finali) di digitare i nomi dei gruppi anziché gli ID gruppo quando condividi i blocchi note. Consulta il passaggio 2 della procedura per condividere un notebook con un gruppo. Se utilizzi SCIM o attributi estesi, il mapping dell'attributo google.groups viene ignorato.

  • Okta

    • Okta con protocollo OIDC

      google.subject=assertion.email
      google.groups=assertion.groups
      

    • Okta con protocollo SAML

      google.subject=assertion.subject
      google.groups=assertion.attributes['groups']
      

Puoi selezionare un solo IdP per progetto Google Cloud .

Prima di iniziare

Prima di iniziare le procedure descritte in questa pagina, assicurati che sia vera una delle seguenti affermazioni:

• Utilizzi Cloud Identity come IdP oppure

• Utilizzi un IdP di terze parti e hai configurato SSO con Cloud Identity oppure

• Utilizzi un IdP di terze parti, hai configurato la federazione delle identità per la forza lavoro e conosci il nome del tuo pool di forza lavoro.

Crea un progetto e abilita l'API

Se hai già un progetto Google Cloud che vuoi utilizzare, inizia dal passaggio 2.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Concedere il ruolo Amministratore Cloud NotebookLM

In qualità di proprietario del progetto, devi assegnare il ruolo Amministratore Cloud NotebookLM a tutti gli utenti che vuoi che siano in grado di amministrare NotebookLM Enterprise in questo progetto:

1. Nella console Google Cloud , vai alla pagina IAM.

   Vai a IAM
2. Seleziona il progetto.
3. Fai clic su person_add Concedi l'accesso.

4. Nel campo Nuove entità, inserisci l'identificatore dell'utente. In genere si tratta dell'indirizzo email di un Account Google o di un gruppo di utenti.

5. Nell'elenco Seleziona un ruolo, seleziona Amministratore Cloud NotebookLM. Per maggiori informazioni, vedi Ruoli utente.
6. Fai clic su Salva.

Imposta l'IdP per NotebookLM Enterprise

Il proprietario del progetto o un utente con il ruolo Amministratore NotebookLM Cloud può configurare il provider di identità.

1. Nella console Google Cloud , vai alla pagina Gemini Enterprise.

   Gemini Enterprise

2. Nella sezione NotebookLM Enterprise, fai clic su Gestisci.

3. Imposta Impostazione identità su Provider di identità Google o Identità di terze parti.

   Per ulteriori informazioni, vedi Informazioni sulla configurazione dell'identità sopra.

4. Se utilizzi un IdP di terze parti e hai deciso di configurare la federazione delle identità per la forza lavoro, specifica il nome del tuo pool di forza lavoro e del tuo provider del pool di forza lavoro.

5. Copia il link.

   Invierai questo link a tutti gli utenti finali di NotebookLM Enterprise. Questo è il link all'interfaccia utente che utilizzerà per creare, modificare e condividere i blocchi note.

(Facoltativo) Registra le chiavi di crittografia gestite dal cliente

Se vuoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) anziché la crittografia predefinita di Google, segui le istruzioni per registrare una chiave per NotebookLM Enterprise in Chiavi di crittografia gestite dal cliente.

In genere, devi utilizzare CMEK solo se la tua organizzazione ha requisiti normativi rigidi o criteri interni che prevedono il controllo delle chiavi di crittografia. Nella maggior parte dei casi, la crittografia predefinita di Google è sufficiente. Per informazioni generali sulle chiavi CMEK, consulta la documentazione di Cloud Key Management Service.

Concedi ruoli NotebookLM Enterprise agli utenti

Questa sezione descrive come assegnare agli utenti i ruoli IAM necessari per accedere ai blocchi note, gestirli e condividerli.

1. Nella console Google Cloud , vai alla pagina IAM.

   Vai a IAM
2. Seleziona il progetto.
3. Fai clic su person_add Concedi l'accesso.

4. Nel campo Nuove entità, inserisci l'identificatore dell'utente. In genere, si tratta dell'indirizzo email di un Account Google, di un gruppo di utenti o dell'identificatore di un utente in un pool di identità della forza lavoro. Per maggiori dettagli, vedi Rappresenta gli utenti del pool di forza lavoro nelle policy IAM o contatta l'amministratore.

5. Nell'elenco Seleziona un ruolo, seleziona il ruolo Cloud NotebookLM User.
6. Fai clic su Salva.

Oltre al ruolo Cloud NotebookLM User, gli utenti hanno bisogno di una licenza per NotebookLM Enterprise. Consulta Ottenere licenze per NotebookLM Enterprise.

Passaggi successivi

• Ottieni le licenze per NotebookLM Enterprise.