Diese Seite wurde von der Cloud Translation API übersetzt.

Zugriffssteuerung für Datenquellen verwenden

Hinweis: Dieses Feature ist ein Vorschauangebot, das den Pre-GA-Bedingungen in den Nutzungsbedingungen des GCP-Dienstes unterliegt. Pre-GA-Produkte und -Funktionen werden eventuell nur eingeschränkt unterstützt. Änderungen an Pre-GA-Produkten und -Funktionen sind möglicherweise nicht mit anderen Pre-GA-Versionen kompatibel. Weitere Informationen finden Sie unter den Beschreibungen der Startphase. Wenn Sie diese Funktion verwenden, stimmen Sie außerdem den Nutzungsbedingungen für die Vorschau der generativen KI zu ("Vorschaubedingungen"). Für diese Funktion können personenbezogene Daten gemäß dem Zusatz zur Verarbeitung von Cloud-Daten verarbeitet werden, vorbehaltlich der geltenden Einschränkungen und Verpflichtungen in der Vereinbarung (wie in den Vorschaubedingungen definiert).

Auf dieser Seite wird beschrieben, wie Sie die Zugriffssteuerung für Datenquellen für Suchanwendungen in AI Applications erzwingen.

Mit der Zugriffssteuerung für Ihre Datenquellen in KI-Anwendungen wird eingeschränkt, welche Daten Nutzer in den Ergebnissen Ihrer Such-App sehen können. Google verwendet Ihren Identitätsanbieter, um den Endnutzer zu identifizieren, der eine Suche durchführt, und um festzustellen, ob dieser Zugriff auf die Dokumente hat, die als Ergebnisse zurückgegeben werden.

Angenommen, Mitarbeiter in Ihrem Unternehmen suchen mit Ihrer Such-App in Confluence-Dokumenten. Sie müssen jedoch dafür sorgen, dass sie über die App keine Inhalte aufrufen können, auf die sie keinen Zugriff haben dürfen. Wenn Sie in Google Cloud einen Personalpool für den Identitätsanbieter Ihrer Organisation eingerichtet haben, können Sie diesen Personalpool auch in AI Applications angeben. Wenn ein Mitarbeiter Ihre App verwendet, erhält er jetzt nur noch Suchergebnisse für Dokumente, auf die er mit seinem Konto in Confluence bereits Zugriff hat.

Datenzugriffssteuerung

Das Aktivieren der Zugriffssteuerung ist ein einmaliger Vorgang.

Die Zugriffssteuerung ist für Cloud Storage, BigQuery, Google Drive und alle Drittanbieterdatenquellen verfügbar.

Wenn Sie die Zugriffssteuerung für Datenquellen für AI Applications aktivieren möchten, muss der Identitätsanbieter Ihrer Organisation in Google Cloudkonfiguriert sein. Die folgenden Authentifizierungsframeworks werden unterstützt:

Google-Identität:
- Fall 1: Wenn Sie Google Identity verwenden, sind alle Nutzeridentitäten und ‑gruppen vorhanden und werden über Google Cloudverwaltet. Weitere Informationen zu Google Identity finden Sie in der Google Identity-Dokumentation.
- Fall 2: Sie verwenden einen externen Identitätsanbieter und haben Identitäten mit Google Identity synchronisiert. Ihre Endnutzer verwenden Google Identity zur Authentifizierung, bevor sie auf Google-Ressourcen oder Google Workspace zugreifen.
- Fall 3: Sie verwenden einen externen Identitätsanbieter und haben Identitäten mit Google Identity synchronisiert. Die Authentifizierung erfolgt jedoch weiterhin über Ihren bisherigen externen Identitätsanbieter. Sie haben die Einmalanmeldung mit Google Identity so konfiguriert, dass sich Ihre Nutzer zuerst über Google Identity anmelden und dann zu Ihrem externen Identitätsanbieter weitergeleitet werden. Möglicherweise haben Sie diese Synchronisierung bereits bei der Einrichtung anderer Google Cloud Ressourcen oder Google Workspace durchgeführt.
Föderation von externen Identitätsanbietern: Wenn Sie einen externen Identitätsanbieter wie Azure AD, Okta oder Ping verwenden, Ihre Identitäten aber nicht mit Google Cloud Identity synchronisieren möchten, müssen Sie die Mitarbeiteridentitätsföderation in Google Cloudeinrichten, bevor Sie die Zugriffssteuerung für Datenquellen für KI-Anwendungen aktivieren können.

Wenn Sie Drittanbieter-Connectors verwenden, muss das Attribut google.subject dem Feld für die E-Mail-Adresse im externen Identitätsanbieter zugeordnet werden. Im Folgenden finden Sie Beispiele für google.subject- und google.groups-Attributzuordnungen für häufig verwendete Identitätsanbieter:
- Azure AD mit OIDC-Protokoll
```
google.subject=assertion.email
google.groups=assertion.groups
```
- Azure AD mit SAML-Protokoll
```
google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name'][0]
google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
```
- Okta mit OIDC-Protokoll
```
google.subject=assertion.email
google.groups=assertion.groups
```
- Okta mit SAML-Protokoll
```
google.subject=assertion.subject
google.groups=assertion.attributes['groups']
```

Beschränkungen

Für die Zugriffssteuerung gelten die folgenden Einschränkungen:

Pro Dokument sind 3.000 Leser zulässig. Jedes Hauptkonto zählt als Leser. Ein Hauptkonto kann eine Gruppe oder ein einzelner Nutzer sein.
Sie können einen Identitätsanbieter pro von Vertex AI Search unterstütztem Standort auswählen.
Wenn Sie eine Datenquelle als zugriffsgesteuert festlegen möchten, müssen Sie diese Einstellung beim Erstellen des Datenspeichers auswählen. Sie können diese Einstellung für vorhandene Datenspeicher weder aktivieren noch deaktivieren.
Auf dem Tab Daten > Dokumente in der Konsole werden keine Daten für Datenquellen mit Zugriffssteuerung angezeigt, da diese Daten nur für Nutzer mit Ansichtszugriff sichtbar sein sollten.
Wenn Sie eine Vorschau der UI-Ergebnisse für Suchanwendungen anzeigen möchten, die die Zugriffssteuerung von Drittanbietern verwenden, müssen Sie sich in der föderierten Konsole anmelden oder die Web-App verwenden. Weitere Informationen finden Sie unter Vorschau der Ergebnisse für Apps mit Zugriffssteuerung anzeigen.

Hinweise

Bei diesem Verfahren wird davon ausgegangen, dass Sie einen Identitätsanbieter in IhremGoogle Cloud -Projekt eingerichtet haben.

Google-Identität: Wenn Sie die Google-Identität verwenden, können Sie mit der Anleitung unter Verbindung zu Ihrem Identitätsanbieter herstellen fortfahren.
Externer Identitätsanbieter: Sie müssen einen Workforce Identity-Pool für Ihren externen Identitätsanbieter eingerichtet haben. Prüfen Sie, ob Sie beim Einrichten des Mitarbeiterpools Zuordnungen für Subjekt- und Gruppenattribute angegeben haben. Informationen zur Attributzuordnung finden Sie in der IAM-Dokumentation unter Attributzuordnungen. Weitere Informationen zu Mitarbeiteridentitätspools finden Sie in der IAM-Dokumentation unter Anbieter von Mitarbeiteridentitätspools verwalten.

Verbindung zu Ihrem Identitätsanbieter herstellen

So geben Sie einen Identitätsanbieter für KI-Anwendungen an und aktivieren die Zugriffssteuerung für Datenquellen:

Rufen Sie in der Google Cloud Console die Seite KI-Anwendungen auf.

KI-Anwendungen
Rufen Sie die Seite Einstellungen > Authentifizierung auf.
Klicken Sie für den Ort, den Sie aktualisieren möchten, auf das Bearbeitungssymbol .
Wählen Sie im Dialogfeld Identitätsanbieter hinzufügen Ihren Identitätsanbieter aus. Wenn Sie einen Drittanbieter-Identitätsanbieter auswählen, müssen Sie auch den Personalpool auswählen, der für Ihre Datenquellen gilt.
Klicken Sie auf Änderungen speichern.

Datenquelle mit Zugriffssteuerung konfigurieren

So wenden Sie die Zugriffssteuerung auf eine Datenquelle an:

Drittanbieter-Datenquellen: Wenn Sie Ihre App erstellen, ist keine zusätzliche Konfiguration erforderlich. Fahren Sie mit Vorschau der Ergebnisse für Apps mit Zugriffssteuerung von Drittanbietern anzeigen fort.
Google Drive: Beim Erstellen Ihrer App ist keine zusätzliche Konfiguration erforderlich.
Unstrukturierte Daten aus Cloud Storage
Strukturierte Daten aus Cloud Storage
Unstrukturierte Daten aus BigQuery
Strukturierte Daten aus BigQuery

Unstrukturierte Daten aus Cloud Storage

Wenn Sie einen Datenspeicher für unstrukturierte Daten aus Cloud Storage einrichten, müssen Sie auch ACL-Metadaten hochladen und den Datenspeicher als zugriffsgesteuert festlegen:

Wenn Sie Ihre Daten vorbereiten, fügen Sie mithilfe des Felds acl_info ACL-Informationen in Ihre Metadaten ein. Beispiel:

{
   "id": "<your-id>",
   "jsonData": "<JSON string>",
   "content": {
     "mimeType": "<application/pdf or text/html>",
     "uri": "gs://<your-gcs-bucket>/directory/filename.pdf"
   },
   "acl_info": {
     "readers": [
       {
         "principals": [
           { "group_id": "group_1" },
           { "user_id": "user_1" }
         ]
       }
     ]
   }
 }

Weitere Informationen zu unstrukturierten Daten mit Metadaten finden Sie im Abschnitt „Unstrukturierte Daten“ unter Daten für die Aufnahme vorbereiten.

Wenn Sie die Schritte zum Erstellen eines Datenspeichers unter Suchdatenspeicher erstellen ausführen, können Sie die Zugriffssteuerung aktivieren, indem Sie in der Console oder mit der API Folgendes tun:
- Console: Wählen Sie beim Erstellen eines Datenspeichers Dieser Datenspeicher enthält Informationen zur Zugriffssteuerung aus.
- API: Fügen Sie beim Erstellen eines Datenspeichers das Flag "aclEnabled": "true" in Ihre JSON-Nutzlast ein.
Wenn Sie die Schritte zum Datenimport unter Suchdatenspeicher erstellen ausführen, achten Sie darauf, dass Sie Folgendes tun:
- Metadaten mit ACL-Informationen aus demselben Bucket wie Ihre unstrukturierten Daten hochladen
- Wenn Sie die API verwenden, legen Sie GcsSource.dataSchema auf document fest.

Strukturierte Daten aus Cloud Storage

Wenn Sie einen Datenspeicher für strukturierte Daten aus Cloud Storage einrichten, müssen Sie auch ACL-Metadaten hochladen und den Datenspeicher als zugriffsgesteuert festlegen:

Wenn Sie Ihre Daten vorbereiten, fügen Sie mithilfe des Felds acl_info ACL-Informationen in Ihre Metadaten ein. Beispiel:

{
   "id": "<your-id>",
   "jsonData": "<JSON string>",
   "acl_info": {
     "readers": [
       {
         "principals": [
           { "group_id": "group_1" },
           { "user_id": "user_1" }
         ]
       }
     ]
   }
 }

Wenn Sie die Schritte zum Erstellen eines Datenspeichers unter Suchdatenspeicher erstellen ausführen, können Sie die Zugriffssteuerung aktivieren, indem Sie in der Console oder mit der API Folgendes tun:
- Console: Wählen Sie beim Erstellen eines Datenspeichers Dieser Datenspeicher enthält Informationen zur Zugriffssteuerung aus.
- API: Fügen Sie beim Erstellen eines Datenspeichers das Flag "aclEnabled": "true" in Ihre JSON-Nutzlast ein.
Wenn Sie die Schritte zum Datenimport unter Suchdatenspeicher erstellen ausführen, achten Sie darauf, dass Sie Folgendes tun:
- Metadaten mit ACL-Informationen aus demselben Bucket wie Ihre unstrukturierten Daten hochladen
- Wenn Sie die API verwenden, legen Sie GcsSource.dataSchema auf document fest.

Unstrukturierte Daten aus BigQuery

Wenn Sie einen Datenspeicher für unstrukturierte Daten aus BigQuery einrichten, müssen Sie den Datenspeicher als zugriffsgesteuert festlegen und ACL-Metadaten mit einem vordefinierten Schema für Vertex AI Search bereitstellen:

Geben Sie beim Vorbereiten Ihrer Daten das folgende Schema an. Verwenden Sie kein benutzerdefiniertes Schema.

[
  {
    "name": "id",
    "mode": "REQUIRED",
    "type": "STRING",
    "fields": []
  },
  {
    "name": "jsonData",
    "mode": "NULLABLE",
    "type": "STRING",
    "fields": []
  },
  {
    "name": "content",
    "type": "RECORD",
    "mode": "NULLABLE",
    "fields": [
      {
        "name": "mimeType",
        "type": "STRING",
        "mode": "NULLABLE"
      },
      {
        "name": "uri",
        "type": "STRING",
        "mode": "NULLABLE"
      }
    ]
  }
  {
    "name": "acl_info",
    "type": "RECORD",
    "mode": "NULLABLE",
    "fields": [
      {
        "name": "readers",
        "type": "RECORD",
        "mode": "REPEATED",
        "fields": [
          {
            "name": "principals",
            "type": "RECORD",
            "mode": "REPEATED",
            "fields": [
              {
                "name": "user_id",
                "type": "STRING",
                "mode": "NULLABLE"
              },
              {
                "name": "group_id",
                "type": "STRING",
                "mode": "NULLABLE"
              }
            ]
          }
        ]
      }
    ]
  }
]

Fügen Sie Ihre ACL-Metadaten als Spalte in Ihre BigQuery-Tabelle ein.
Wenn Sie der Anleitung unter Suchdatenspeicher erstellen folgen, aktivieren Sie die Zugriffssteuerung entweder in der Console oder über die API:
- Console: Wählen Sie beim Erstellen eines Datenspeichers Dieser Datenspeicher enthält Informationen zur Zugriffssteuerung aus.
- API: Fügen Sie beim Erstellen eines Datenspeichers das Flag "aclEnabled": "true" in Ihre JSON-Nutzlast ein.
Wenn Sie der Anleitung zum Datenimport unter Suchdatenspeicher erstellen folgen und die API verwenden, legen Sie BigQuerySource.dataSchema auf document fest.

Strukturierte Daten aus BigQuery

Wenn Sie einen Datenspeicher für strukturierte Daten aus BigQuery einrichten, müssen Sie den Datenspeicher als zugriffsgesteuert festlegen und ACL-Metadaten mit einem vordefinierten Schema für Vertex AI Search bereitstellen:

Geben Sie beim Vorbereiten Ihrer Daten das folgende Schema an. Verwenden Sie kein benutzerdefiniertes Schema.

[
  {
    "name": "id",
    "mode": "REQUIRED",
    "type": "STRING",
    "fields": []
  },
  {
    "name": "jsonData",
    "mode": "NULLABLE",
    "type": "STRING",
    "fields": []
  },
  {
    "name": "acl_info",
    "type": "RECORD",
    "mode": "NULLABLE",
    "fields": [
      {
        "name": "readers",
        "type": "RECORD",
        "mode": "REPEATED",
        "fields": [
          {
            "name": "principals",
            "type": "RECORD",
            "mode": "REPEATED",
            "fields": [
              {
                "name": "user_id",
                "type": "STRING",
                "mode": "NULLABLE"
              },
              {
                "name": "group_id",
                "type": "STRING",
                "mode": "NULLABLE"
              }
            ]
          }
        ]
      }
    ]
  }
]

Fügen Sie Ihre ACL-Metadaten als Spalte in Ihre BigQuery-Tabelle ein.
Wenn Sie der Anleitung unter Suchdatenspeicher erstellen folgen, aktivieren Sie die Zugriffssteuerung entweder in der Console oder über die API:
- Console: Wählen Sie beim Erstellen eines Datenspeichers Dieser Datenspeicher enthält Informationen zur Zugriffssteuerung aus.
- API: Fügen Sie beim Erstellen eines Datenspeichers das Flag "aclEnabled": "true" in Ihre JSON-Nutzlast ein.
Wenn Sie die Schritte für den Datenimport unter Suchdatenspeicher erstellen ausführen, achten Sie darauf, dass Sie Folgendes tun:
- Wenn Sie die Console verwenden, wählen Sie beim Angeben der Art der Daten, die Sie hochladen, JSONL für strukturierte Daten mit Metadaten aus.
- Wenn Sie die API verwenden, legen Sie BigQuerySource.dataSchema auf document fest.

Vorschau der Ergebnisse für Apps mit Zugriffssteuerung von Drittanbietern anzeigen

Wenn Sie in der Konsole eine Vorschau der Ergebnisse für Apps mit Zugriffssteuerung von Drittanbietern anzeigen möchten, müssen Sie sich mit den Anmeldedaten Ihrer Organisation anmelden.

Sie haben zwei Möglichkeiten, sich eine Vorschau der UI-Ergebnisse anzusehen:

Console für die Mitarbeiteridentitätsföderation Öffnen Sie die Workforce Identity Federation-Konsole und melden Sie sich mit Ihren Drittanbieteranmeldedaten an. Weitere Informationen finden Sie unter Ergebnisse in der Workforce Identity-Föderationskonsole in der Vorschau ansehen.
Webanwendung: Aktivieren Sie eine spezielle Webanwendung, die von Vertex AI Search bereitgestellt wird, und melden Sie sich darin an. Weitere Informationen finden Sie unter Web-App aktivieren.

Vorschau der Ergebnisse in der Workforce Identity Federation Console

So rufen Sie Ergebnisse in der Workforce Identity-Föderationskonsole auf:

Rufen Sie in der Google Cloud Console die Seite KI-Anwendungen auf.

KI-Anwendungen
Klicken Sie auf den Namen der Such-App, deren Ergebnisse Sie in der Vorschau ansehen möchten.
Rufen Sie die Seite Vorschau auf.
Klicken Sie auf Vorschau mit föderierter Identität, um die Workforce Identity-Föderationskonsole aufzurufen.
Geben Sie den Anbieter Ihres Personalpools und die Anmeldedaten Ihrer Organisation ein.
Auf der Seite Vorschau, die angezeigt wird, können Sie sich eine Vorschau der Ergebnisse für Ihre App ansehen.

Weitere Informationen zur Vorschau Ihrer Suchergebnisse finden Sie unter Suchergebnisse abrufen.

Weitere Informationen zur Workforce Identity-Föderationskonsole finden Sie unter Informationen zur Console (föderiert).

Nutzern Suchberechtigungen gewähren

Wenn Sie Ihren Nutzern die Möglichkeit geben möchten, mit Ihrer App auf Daten zuzugreifen, für die eine Zugriffssteuerung eingerichtet ist, müssen Sie Nutzern in Ihrer Domain oder Ihrem Mitarbeiteridentitätspool Zugriff gewähren. Google empfiehlt, Ihrer Nutzergruppe eine benutzerdefinierte IAM-Rolle zuzuweisen.

Google Identity: Wenn Sie Google Identity verwenden, empfiehlt Google, eine Google-Gruppe zu erstellen, die alle Mitarbeiter enthält, die suchen müssen. Als Google Workspace-Administrator können Sie alle Nutzer einer Organisation in eine Google-Gruppe aufnehmen. Folgen Sie dazu der Anleitung unter Alle Nutzer Ihrer Organisation einer Gruppe hinzufügen.
Drittanbieter-Identitätsanbieter: Wenn Sie einen externen Identitätsanbieter wie Okta oder Azure AD verwenden, fügen Sie alle Nutzer in Ihrem Personalpool einer einzelnen Gruppe hinzu.

Google empfiehlt, eine benutzerdefinierte IAM-Rolle zu erstellen, die Sie Ihrer Nutzergruppe zuweisen. Verwenden Sie dazu die folgenden Berechtigungen:

discoveryengine.answers.get
discoveryengine.servingConfigs.answer
discoveryengine.servingConfigs.search
discoveryengine.sessions.get
discoveryengine.widgetConfigs.get

Weitere Informationen zu Berechtigungen für AI Applications-Ressourcen mit Identity and Access Management (IAM) finden Sie unter Zugriffssteuerung mit IAM.

Weitere Informationen zu benutzerdefinierten Rollen finden Sie in der IAM-Dokumentation unter Benutzerdefinierte Rollen.

Wenn Sie ein Such-Widget für eine App mit Zugriffssteuerung bereitstellen möchten, gehen Sie so vor:

Weisen Sie Nutzern in Ihrer Domain oder Ihrem Personalpool, die Search API-Aufrufe ausführen müssen, die Rolle „Discovery Engine-Betrachter“ zu.
Autorisierungstokens generieren, die an Ihr Widget übergeben werden:
- Google Identity: OAuth 2.0-Zugriffstokens generieren.
- Für die Workforce Identity-Föderation: Folgen Sie der Anleitung unter Kurzlebige Tokens für die Workforce Identity-Föderation abrufen, um Ihr Token zu erhalten.
Folgen Sie der Anleitung unter Widget mit einem Autorisierungstoken hinzufügen, um das Token an Ihr Widget zu übergeben.

Webanwendung aktivieren

Die Webanwendung ist eine von Vertex AI Search generierte spezielle Website, auf der Sie und alle anderen Nutzer mit Anmeldedaten Ihre Suchanwendung verwenden können.

Wenn Sie die Such-App Nutzern zur Verfügung stellen möchten, ohne das Such-Widget oder die Search API in Ihre eigene Anwendung einbinden zu müssen, können Sie Ihren Nutzern die Web-App-URL zur Verfügung stellen.

So aktivieren Sie die Web-App:

Rufen Sie in der Google Cloud Console die Seite KI-Anwendungen auf.

KI-Anwendungen
Klicken Sie auf den Namen der Suchanwendung, für die Sie eine Web-App erstellen möchten.

Die Suchanwendung muss mit mindestens einer Datenquelle mit Zugriffssteuerung verknüpft sein. Weitere Informationen finden Sie unter Datenquelle mit Zugriffssteuerung konfigurieren.
Rufen Sie den Tab Integration > Benutzeroberfläche auf.
Klicken Sie auf Web-App aktivieren.
Wenn Sie die Workforce Identity-Föderation verwenden, wählen Sie einen Workforce-Pool-Anbieter aus.
Klicken Sie auf den Link zu Ihrer Webanwendung.
Geben Sie den Anbieter Ihres Personalpools und die Anmeldedaten Ihrer Organisation ein.
Ergebnisse für Ihre App in der Vorschau ansehen
Wenn Sie Ergebnisse für die Webanwendung konfigurieren möchten, lesen Sie den Abschnitt Ergebnisse für das Such-Widget konfigurieren. Alle Konfigurationen für das Widget gelten auch für die Web-App.
Optional: Wenn Sie die Such-App Ihren Nutzern über diese spezielle Web-App zur Verfügung stellen möchten, kopieren Sie die URL und senden Sie sie an Nutzer mit Anmeldedaten. Sie können die Web-App-URL mit einem Lesezeichen versehen und darauf zugreifen, um Ihre Such-App zu verwenden.

Weitere Informationen zum Abrufen von Suchergebnissen finden Sie unter Suchergebnisse abrufen.