设置 NotebookLM Enterprise

本页介绍了您必须完成的启动任务，以便设置 NotebookLM Enterprise。

完成本页中的任务后，您的用户就可以开始在 NotebookLM Enterprise 中创建和使用笔记本了。

身份设置简介

如需完成设置，您必须在 Google Cloud中配置组织的身份提供方 (IdP)。正确设置身份信息非常重要，原因有以下两点：

• 它允许用户使用当前的公司凭据访问 NotebookLM Enterprise 用户界面。

• 这样可确保用户只能看到自己拥有的笔记本或与自己共享的笔记本。

支持的框架

支持以下身份验证框架：

• Cloud Identity：

  • 情形 1：如果您使用 Cloud Identity 或 Google Workspace，则所有用户身份和用户组都会通过Google Cloud进行管理。如需详细了解 Cloud Identity，请参阅 Cloud Identity 文档。

  • 情形 2：您使用的是第三方 IdP，并且已将身份与 Cloud Identity 同步。最终用户使用 Cloud Identity 进行身份验证，然后才能访问 Google 资源或 Google Workspace。

  • 情形 3：您使用的是第三方 IdP，并且已将身份与 Cloud Identity 同步。不过，您仍在使用现有的第三方 IdP 执行身份验证。您已使用 Cloud Identity 配置 SSO，以便用户先使用 Cloud Identity 开始登录，然后被重定向到第三方 IdP。（您可能在设置其他 Google Cloud 资源或 Google Workspace 时已完成此同步。）

• 员工身份联合：如果您使用外部身份提供方（Microsoft Entra ID、Okta、Ping、PingFederate 或其他 OIDC 或 SAML 2.0 IdP），但不想将身份信息同步到 Cloud Identity，则必须先在 Google Cloud中设置员工身份联合，然后才能为 Gemini Enterprise 启用数据源访问权限控制。

  google.subject 属性必须映射到外部 IdP 中的电子邮件地址字段。以下是常用 IdP 的 google.subject 和 google.groups 属性映射示例：

  • Microsoft Entra ID

    • 使用 OIDC 协议的 Microsoft Entra ID

      google.subject=assertion.email
      google.groups=assertion.groups
      

    • 使用 SAML 协议的 Microsoft Entra ID

      google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name'][0]
      google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
      

    • 具有大型群组的 Microsoft Entra ID

    如果您使用 Microsoft Entra ID 且有 150 个以上的群组，则应设置跨域身份管理系统 (SCIM)，以便使用 Google Cloud 或具有扩展属性的 Microsoft Entra ID（使用 Microsoft Graph 检索群组名称）来管理身份。设置 SCIM 后，您（和您的最终用户）在共享笔记本时可以输入群组名称，而不是群组 ID。请参阅与群组共享笔记本的流程中的第 2 步。 如果您使用 SCIM 或扩展属性，系统会忽略 google.groups 属性映射。

  • Okta

    • 使用 OIDC 协议的 Okta

      google.subject=assertion.email
      google.groups=assertion.groups
      

    • 使用 SAML 协议的 Okta

      google.subject=assertion.subject
      google.groups=assertion.attributes['groups']
      

每个 Google Cloud 项目只能选择一个 IdP。

准备工作

在开始执行本页面上的步骤之前，请确保满足以下条件之一：

• 您将 Cloud Identity 用作 IdP，或者

• 您使用的是第三方 IdP，并且已通过 Cloud Identity 配置 SSO，或者

• 您使用第三方 IdP，已设置员工身份联合，并且知道员工身份池的名称。

创建项目并启用 API

如果您已有要使用的 Google Cloud 项目，请从第 2 步开始。

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

授予 Cloud NotebookLM Admin 角色

作为项目所有者，您需要为希望能够在此项目中管理 NotebookLM Enterprise 的任何用户分配 Cloud NotebookLM 管理员角色：

1. 在 Google Cloud 控制台中，前往 IAM 页面。

   前往 IAM
2. 选择项目。
3. 点击 person_add 授予访问权限。

4. 在新的主账号字段中，输入用户标识符。 这通常是 Google 账号或用户群组的电子邮件地址。

5. 在选择角色列表中，选择 Cloud NotebookLM Admin。 如需了解详情，请参阅用户角色。
6. 点击保存。

为 NotebookLM Enterprise 设置 IdP

项目所有者或拥有 Cloud NotebookLM 管理员角色的用户可以设置 IdP。

1. 在 Google Cloud 控制台中，前往 Gemini Enterprise 页面。

   Gemini Enterprise

2. 在“NotebookLM Enterprise”下，点击管理。

3. 将身份设置设置为 Google 身份提供方或第三方身份。

   如需了解详情，请参阅上文的身份设置简介。

4. 如果您使用的是第三方 IdP，并决定设置员工身份联合，请指定员工身份池的名称和员工身份池提供方。

5. 复制链接。

   您需要将此链接发送给 NotebookLM Enterprise 的所有最终用户。此链接指向用户界面，用户将使用该界面创建、修改和共享笔记本。

可选：注册客户管理的加密密钥

如果您想使用客户管理的加密密钥 (CMEK) 而不是 Google 默认加密，请按照客户管理的加密密钥中的说明为 NotebookLM Enterprise 注册密钥。

通常，只有当您的组织有严格的监管要求或内部政策规定必须控制加密密钥时，您才需要使用 CMEK。在大多数情况下，Google 默认加密就足够了。如需大致了解 CMEK，请参阅 Cloud Key Management Service 文档。

向用户授予 NotebookLM Enterprise 角色

本部分介绍了如何向用户授予访问、管理和共享笔记本所需的 IAM 角色。

1. 在 Google Cloud 控制台中，前往 IAM 页面。

   前往 IAM
2. 选择项目。
3. 点击 person_add 授予访问权限。

4. 在新的主账号字段中，输入用户标识符。这通常是 Google 账号的电子邮件地址、用户群组或员工身份池中用户的标识符。如需了解详情，请参阅 在 IAM 政策中表示员工池用户，或与您的管理员联系。

5. 在选择角色列表中，选择 Cloud NotebookLM User 角色。
6. 点击保存。

除了 Cloud NotebookLM User 角色之外，用户还需要 NotebookLM Enterprise 许可。请参阅获取 NotebookLM Enterprise 许可。

后续步骤

• 获取 NotebookLM Enterprise 许可。