Configure o NotebookLM Enterprise

Esta página descreve as tarefas de arranque que tem de concluir para configurar o NotebookLM Enterprise.

Depois de realizar as tarefas nesta página, os seus utilizadores podem começar a criar e usar notebooks no NotebookLM Enterprise.

Acerca da configuração da identidade

Para concluir a configuração, tem de ter o fornecedor de identidade (IdP) da sua organização configurado no Google Cloud. A configuração correta da identidade é importante por dois motivos:

• Permite que os utilizadores usem as respetivas credenciais empresariais atuais para aceder à interface do utilizador do NotebookLM Enterprise.

• Garante que os utilizadores veem apenas os notebooks que são propriedade deles ou que foram partilhados com eles.

Frameworks suportados

São suportados os seguintes frameworks de autenticação:

• Cloud ID:

  • Caso 1: se usar o Cloud ID ou o Google Workspace, todas as identidades de utilizadores e grupos de utilizadores estão presentes e são geridas através do Google Cloud. Para mais informações sobre o Cloud Identity, consulte a documentação do Cloud Identity.

  • Caso 2: usa um IdP de terceiros e sincronizou identidades com o Cloud Identity. Os seus utilizadores finais usam o Cloud ID para se autenticarem antes de acederem aos recursos Google ou ao Google Workspace.

  • Caso 3: usa um IdP de terceiros e sincronizou identidades com o Cloud Identity. No entanto, continua a usar o seu IdP de terceiros existente para realizar a autenticação. Configurou o SSO com o Cloud ID de modo que os seus utilizadores iniciem sessão através do Cloud ID e, em seguida, sejam direcionados para o seu IdP de terceiros. (Pode já ter feito esta sincronização quando configurou outros Google Cloud recursos ou o Google Workspace.)

• Federação de identidades da força de trabalho: se usar um fornecedor de identidade externo (Microsoft Entra ID, Okta, Ping, PingFederate ou outro IdP OIDC ou SAML 2.0), mas não quiser sincronizar as suas identidades no Cloud ID, tem de configurar a federação de identidades da força de trabalho no Google Cloudantes de poder ativar o controlo de acesso à origem de dados para o Gemini Enterprise.

  O atributo google.subject tem de ser mapeado para o campo de endereço de email no IdP externo. Seguem-se exemplos de mapeamentos de atributos google.subject e google.groups para IdPs usados frequentemente:

  • Microsoft Entra ID

    • Microsoft Entra ID com protocolo OIDC

      google.subject=assertion.email
      google.groups=assertion.groups
      

    • Microsoft Entra ID com protocolo SAML

      google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name'][0]
      google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
      

    • Microsoft Entra ID com grupos grandes

    Se usar o Microsoft Entra ID e tiver mais de 150 grupos, deve configurar um sistema de gestão de identidades entre domínios (SCIM) para gerir identidades com o Google Cloud Microsoft Entra ID com atributos alargados, que usa o Microsoft Graph para obter nomes de grupos. A configuração do SCIM permite-lhe (e aos seus utilizadores finais) escrever nomes de grupos em vez de IDs de grupos quando partilha blocos de notas. Consulte o passo 2 no procedimento para partilhar um bloco de notas com um grupo. Se usar SCIM ou atributos expandidos, o mapeamento do atributo google.groups é ignorado.

  • Okta

    • Okta com protocolo OIDC

      google.subject=assertion.email
      google.groups=assertion.groups
      

    • Okta com protocolo SAML

      google.subject=assertion.subject
      google.groups=assertion.attributes['groups']
      

Só pode selecionar um IdP por Google Cloud projeto.

Antes de começar

Antes de iniciar os procedimentos nesta página, certifique-se de que uma das seguintes condições é verdadeira:

• Usar o Cloud ID como IdP ou

• Usa um IdP de terceiros e configurou o SSO com o Cloud Identity, ou

• Usa um IdP de terceiros, configurou a federação de identidade da força de trabalho e sabe o nome do seu conjunto de força de trabalho.

Crie um projeto e ative a API

Se já tiver um Google Cloud projeto que quer usar, comece no passo 2.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Conceda a função de administrador do NotebookLM no Google Cloud

Como proprietário do projeto, tem de atribuir a função de administrador do NotebookLM no Google Cloud a todos os utilizadores que quer que possam administrar o NotebookLM Enterprise neste projeto:

1. Na Google Cloud consola, aceda à página IAM.

   Aceder ao IAM
2. Selecione o projeto.
3. Clique em person_add Conceder acesso.

4. No campo Novos principais, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google ou de um grupo de utilizadores.

5. Na lista Selecionar uma função, selecione Administrador do NotebookLM na nuvem. Para mais informações, consulte as Funções de utilizador.
6. Clique em Guardar.

Defina o IdP para o NotebookLM Enterprise

O proprietário do projeto ou um utilizador com a função de administrador do NotebookLM no Google Cloud pode configurar o IdP.

1. Na Google Cloud consola, aceda à página Gemini Enterprise.

   Gemini Enterprise

2. Em NotebookLM Enterprise, clique em Gerir.

3. Defina a Definição de identidade como Fornecedor de identidade da Google ou Identidade de terceiros.

   Para mais informações, consulte a secção Acerca da configuração da identidade acima.

4. Se estiver a usar um IdP de terceiros e tiver decidido configurar a federação de identidade da força de trabalho, especifique o nome do conjunto de trabalhadores e o fornecedor do conjunto de trabalhadores.

5. Copie o Link.

   Vai enviar este link a todos os utilizadores finais do NotebookLM Enterprise. Este é o link para a interface do utilizador que vão usar para criar, editar e partilhar blocos de notas.

Opcional: registe chaves de encriptação geridas pelo cliente

Se quiser usar chaves de encriptação geridas pelo cliente (CMEK) em vez da encriptação predefinida da Google, siga as instruções para registar uma chave para o NotebookLM Enterprise em Chaves de encriptação geridas pelo cliente.

Normalmente, só precisa de usar a CMEK se a sua organização tiver requisitos regulamentares rigorosos ou políticas internas que estipulem o controlo sobre as chaves de encriptação. Na maioria das situações, a encriptação predefinida da Google é suficiente. Para obter informações gerais sobre as CMEK, consulte a documentação do Cloud Key Management Service.

Conceda funções do NotebookLM Enterprise aos utilizadores

Esta secção descreve como conceder aos seus utilizadores as funções de IAM de que precisam para aceder, gerir e partilhar blocos de notas.

1. Na Google Cloud consola, aceda à página IAM.

   Aceder ao IAM
2. Selecione o projeto.
3. Clique em person_add Conceder acesso.

4. No campo Novos principais, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google, um grupo de utilizadores ou o identificador de um utilizador num conjunto de identidades da força de trabalho. Para ver detalhes, consulte Represente utilizadores do conjunto de colaboradores em políticas de IAM ou contacte o seu administrador.

5. Na lista Selecionar uma função, selecione a função Cloud NotebookLM User.
6. Clique em Guardar.

Além da função Cloud NotebookLM User, os utilizadores precisam de uma licença do NotebookLM Enterprise. Consulte o artigo Adquira licenças para o NotebookLM Enterprise.

O que se segue?

• Obtenha licenças para o NotebookLM Enterprise.