Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration de la base de connaissances Google Drive gérée par l'administrateur
Dans le cadre de la configuration gérée par l'administrateur, un administrateur Google Workspace crée un compte de service et délègue l'accès à l'ensemble du domaine. Les utilisateurs individuels n'ont pas besoin d'autorisation par le biais de la connexion.
La configuration gérée par l'administrateur inclut la prise en charge intégrée des listes de contrôle d'accès (ACL) au niveau du document. Amazon Quick se synchronise automatiquement ACLs depuis Google Drive et vérifie les autorisations de chaque utilisateur au moment de la requête.
Pour plus d'informations sur les meilleures pratiques en matière d'ACL, consultez[Bonnes pratiques de gestion ACLs dans les bases de connaissances](acl-best-practices-kb.md).
## Conditions préalables
Assurez-vous de disposer des éléments suivants avant de configurer l'intégration.
+ Accès administrateur à Google Workspace de votre organisation.
+ Un compte utilisateur Amazon Quick Enterprise. L'accès administrateur n'est pas requis.
+ Un compte Google Workspace avec un domaine de messagerie correspondant au domaine de messagerie utilisé pour votre identité Amazon Quick.
+ Pour les conditions d'abonnement, voir[Configuration des intégrations dans la console](integration-console-setup-process.md).
## Présentation de la configuration
La configuration comprend les phases suivantes :
1. **Configuration de Google Workspace** : créez un compte de service Google Cloud avec accès à l'API en lecture seule et délégation à l'échelle du domaine. Créez ensuite un utilisateur administrateur dédié pour que le compte de service se fasse passer pour lui. Pour de plus amples informations, veuillez consulter [Configuration de Google Workspace](google-drive-kb-google-config.md).
1. **Création de la base de connaissances dans Amazon Quick** : créez une base de connaissances Google Drive en utilisant les informations d'identification du compte de service de la phase 1. Pour de plus amples informations, veuillez consulter [Création d'une base de connaissances dans Amazon Quick](google-drive-kb-connection.md).
Le contrôle d'accès au niveau des documents est automatiquement activé pour toutes les bases de connaissances gérées par l'administrateur. Pour plus d'informations sur le fonctionnement des contrôles d'accès, consultez[Contrôles d'accès au niveau des documents](google-drive-kb-acl.md).
# Configuration de Google Workspace
Pour connecter Amazon Quick à Google Drive, effectuez les tâches suivantes dans la console Google Cloud et dans la console d'administration Google Workspace. Vous créez un projet Google Cloud, activez les paramètres requis APIs, générez les informations d'identification du compte de service et configurez la délégation à l'échelle du domaine. Vous créez également un utilisateur administrateur dédié pour que le compte de service se fasse passer pour lui.
**Conditions préalables**
Avant de commencer, assurez-vous de disposer des éléments suivants :
Un compte Google Workspace avec accès administrateur
Autorisation de créer des projets dans la console Google Cloud
## Création d'un projet Google Cloud
1. Ouvrez la console Google Cloud.
1. Dans le sélecteur de projet en haut de la page, choisissez **Nouveau projet**.
1. Entrez le nom du projet, puis choisissez **Create**.
1. Une fois le projet créé, choisissez **Sélectionner un projet** pour y accéder. Cela peut prendre quelques instants.
## Activer le requis APIs
Amazon Quick nécessite trois Google APIs. Activez chacune d'entre elles depuis la bibliothèque d'API.
1. Dans le menu de navigation, choisissez **APIs & Services**, puis **Bibliothèque**.
1. Recherchez chacune des options suivantes, APIs puis sélectionnez **Activer** :
+ API Google Drive
+ API d'activité Google Drive
+ API du SDK d'administration
## Création du compte de service
1. Dans le menu de navigation, choisissez **APIs & Services**, puis **Credentials**.
1. Choisissez **Create Credentials**, puis choisissez **Service account**.
1. Entrez un nom et une description facultative pour le compte de service, puis choisissez **OK**.
## Génération d'une clé privée
1. Sur la page **Informations d'identification**, choisissez le compte de service que vous avez créé.
1. Choisissez l'onglet **Clés**, puis choisissez **Ajouter une clé**, **Créer une nouvelle clé**.
1. Vérifiez que **JSON** est sélectionné, puis choisissez **Create**.
Le navigateur télécharge un fichier JSON contenant la clé privée. Stockez ce fichier en toute sécurité. Vous le chargez sur Amazon Quick ultérieurement.
**Note**
Si vous recevez un message d'erreur indiquant que la création de clés de compte de service est désactivée par une politique de l'entreprise, consultez[Résolution des restrictions liées aux politiques de l'organisation](#google-drive-kb-admin-troubleshooting-org-policy).
## Enregistrement de l'identifiant unique du compte de service
1. Sur la page détaillée du compte de service, choisissez l'onglet **Détails**.
1. Copiez la valeur dans le champ **ID unique**. Vous avez besoin de cette valeur lorsque vous configurez la délégation à l'échelle du domaine.
## Configuration de la délégation à l'échelle du domaine
La délégation à l'échelle du domaine permet au compte de service d'accéder aux données de Google Workspace au nom des utilisateurs de votre organisation.
1. Sur la page détaillée du compte de service, développez **les paramètres avancés**.
1. Choisissez **Afficher la console d'administration Google Workspace**. La console d'administration s'ouvre dans un nouvel onglet.
1. Dans le volet de navigation de la console d'administration, choisissez **Security**, **Access and data control**, **API controls**.
1. Choisissez **Gérer la délégation à l'échelle du domaine**, puis sélectionnez **Ajouter un nouveau**.
1. Dans le **champ ID client**, entrez l'identifiant unique que vous avez copié précédemment.
1. Pour les **OAuth étendues**, entrez les valeurs suivantes séparées par des virgules :
```
https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/forms.body.readonly
```
1. Choisissez **Authorize** (Autoriser).
## Création d'un utilisateur administrateur délégué
Le compte de service agit pour le compte d'un utilisateur administrateur de Google Workspace. Créez un utilisateur dédié à cet effet et attribuez les rôles minimaux requis.
1. Dans la console d'administration Google Workspace, sélectionnez **Annuaire**, puis **Utilisateurs**.
1. Choisissez **Ajouter un nouvel utilisateur**.
1. Entrez le prénom, le nom de famille et l'adresse e-mail principale du nouvel utilisateur, puis choisissez **Ajouter un nouvel utilisateur**.
1. Sélectionnez **Exécuté**.
1. Dans la liste des utilisateurs, sélectionnez l'utilisateur que vous avez créé. Si l'utilisateur n'apparaît pas, actualisez la page.
1. Sur la page détaillée de l'utilisateur, développez la section **Rôles et privilèges d'administrateur**.
1. Sous **Rôles**, attribuez les rôles suivants :
+ Lecteur de groupes
+ Administrateur de la gestion des utilisateurs
+ Administrateur du stockage
1. Choisissez **Enregistrer**.
Enregistrez l'adresse e-mail de cet utilisateur. Vous en avez besoin lorsque vous créez la base de connaissances dans Amazon Quick.
## Résolution des problèmes liés à la configuration de Google Workspace
### Résolution des restrictions liées aux politiques de l'organisation
Si le message d'erreur suivant s'affiche lors de la création d'une clé de compte de service :
```
The organization policy constraint iam.disableServiceAccountKeyCreation
is enforced on your organization.
```
**Note**
Pour les organisations Google Cloud créées le 3 mai 2024 ou après cette date, cette contrainte est appliquée par défaut.
Vous devez annuler la politique de votre projet.
1. Ouvrez la console Google Cloud et vérifiez que le bon projet est sélectionné.
1. Dans le menu de navigation, choisissez **IAM & Admin**, puis choisissez **Organization Policies**.
1. Dans le champ **Filtre**, entrez`iam.disableServiceAccountKeyCreation`. Ensuite, dans la liste des politiques, choisissez **Désactiver la création de clés de compte de service**.
1. Choisissez **Gérer la politique**.
**Note**
Si l'**option Gérer la politique** n'est pas disponible, vous avez besoin du rôle d'administrateur des politiques d'organisation (`roles/orgpolicy.policyAdmin`) au niveau de l'organisation. Consultez [Octroi du rôle d'administrateur des politiques de l'organisation](#google-drive-kb-admin-troubleshooting-org-admin-role).
1. Dans la section **Source de la politique**, assurez-vous que l'option **Remplacer la politique du parent** est sélectionnée.
1. Sous **Application**, désactivez l'application de cette contrainte de politique d'organisation.
1. Choisissez **Définir une politique**.
La propagation de la modification peut prendre plusieurs minutes.
### Octroi du rôle d'administrateur des politiques de l'organisation
Le rôle d'administrateur des politiques de l'organisation (`roles/orgpolicy.policyAdmin`) doit être accordé au niveau de l'organisation, et non au niveau du projet. Il n'apparaît pas dans la liste des rôles lors de l'attribution de rôles à un projet.
Pour attribuer ce rôle, sélectionnez votre organisation (et non un projet) dans le sélecteur de projets de la console Google Cloud. Choisissez ensuite **IAM & Admin**, **IAM** et attribuez le rôle à votre compte. Pour obtenir des instructions détaillées, consultez la section [Gérer l'accès aux projets, aux dossiers et aux organisations](https://cloud.google.com/iam/docs/granting-changing-revoking-access) dans la documentation de Google Cloud.
La propagation de l'attribution du rôle peut prendre plusieurs minutes.
# Création d'une base de connaissances dans Amazon Quick
Au cours de cette phase, vous créez une base de connaissances dans Amazon Quick et vous fournissez les informations d'identification du compte de service à partir de la configuration de Google Workspace. N'importe quel utilisateur d'entreprise peut effectuer cette phase. L'accès administrateur Amazon Quick n'est pas requis.
Si un administrateur de Google Workspace a effectué la configuration de Google Workspace en votre nom, vous avez besoin du fichier clé JSON et de l'adresse e-mail de l'administrateur délégué avant de continuer.
## Configuration de la base de connaissances
1. Dans la console Amazon Quick, choisissez **Integrations.**
1. Dans **Bases de connaissances**, recherchez **Google Drive**, puis cliquez sur l'icône **Ajouter** (\$1).
1. Dans la boîte de dialogue **Créer une base de connaissances Google Drive**, sélectionnez **Avez-vous des informations d'identification d'administrateur ? Configurez le contrôle d'accès au niveau du document.**
1. Dans le menu déroulant **Compte connecté**, choisissez **Ajouter un compte**.
1. Dans **Nom**, indiquez le nom de la connexion. Utilisez un nom descriptif tel que votre domaine Google Workspace.
**Important**
Vous ne pouvez pas modifier le nom de la connexion après l'avoir enregistrée.
1. Choisissez **Upload .JSON key**, puis choisissez le fichier JSON que vous avez téléchargé lors de la configuration de Google Workspace.
1. Pour l'**e-mail d'administrateur de Google Workspace**, entrez l'adresse e-mail de l'utilisateur administrateur délégué que vous avez créé lors de la configuration de Google Workspace.
1. Choisissez **Suivant**.
## Choix du contenu à synchroniser
1. Entrez un **nom** et une **description** facultative pour votre base de connaissances.
1. Choisissez le contenu Google Drive à inclure :
+ **Mon Drive (tous les utilisateurs)** : inclut les fichiers provenant de My Drive de tous les utilisateurs de votre organisation.
+ **Partagé avec moi (tous les utilisateurs)** : inclut les fichiers partagés avec vos utilisateurs.
+ **Disques partagés** : tous les disques partagés sont synchronisés par défaut. Pour inclure ou exclure des lecteurs spécifiques, utilisez le menu déroulant **Type de filtre** et le IDs champ **Ajouter un lecteur partagé**. Vous pouvez saisir 1 à 100 disques partagés IDs.
1. Choisissez **Next** pour configurer les paramètres avancés.
## Configuration des paramètres avancés
À l'étape **Paramètres avancés**, vous pouvez configurer des paramètres facultatifs pour la base de connaissances.
Filtrer le contenu par date
Limitez les documents analysés en fonction de leur date de dernière modification. La date de début est par défaut un an avant aujourd'hui. Vous pouvez modifier ou effacer la date de début, et éventuellement définir une date de fin.
Contenu multimédia, taille de fichier et modèles de fichiers
Choisissez les types de contenu à inclure dans la base de connaissances.
+ **Contenu visuel des documents** : extrait et indexe les éléments visuels des formats de document pris en charge. Cette option est activée par défaut.
+ **Fichiers audio** — Transcrit et indexe les fichiers audio.
+ **Fichiers vidéo** — Transcrit et indexe les fichiers vidéo.
Choisissez **Créer** pour créer la base de connaissances. Une fois que vous avez **sélectionné Create**, la synchronisation des données démarre automatiquement.
## Gestion et résolution des problèmes
Pour modifier, partager ou supprimer votre intégration, consultez[Gestion des intégrations existantes](integration-workflows.md#managing-existing-integrations).
Pour plus d'informations sur la résolution des problèmes liés à la base de connaissances, notamment les problèmes de synchronisation et les documents manquants, consultez[Bases de connaissances sur le dépannage](troubleshooting-knowledge-bases.md).
### Problèmes de configuration gérés par l'administrateur
+ Limitation du **débit de l'API Google : Google Drive peut limiter** les demandes pendant les périodes d'utilisation intense. Si les synchronisations échouent ou sont incomplètes, réessayez en dehors des heures de pointe.
+ **Erreurs de certificat SSL** : si vous recevez une erreur concernant des erreurs de certificat SSL lorsque vous créez votre base de connaissances, vérifiez les OAuth étendues que vous avez configurées lors de la délégation à l'échelle du domaine.
# Contrôles d'accès au niveau des documents
Les bases de connaissances Google Drive gérées par l'administrateur incluent un contrôle d'accès intégré au niveau des documents. Amazon Quick synchronise les listes de contrôle d'accès (ACLs) de Google Drive lors de chaque exploration et vérifie les autorisations de chaque utilisateur au moment de la requête, afin que les utilisateurs ne voient que les réponses des documents auxquels ils sont autorisés à accéder.
## Comment ça marche
Lorsqu'un utilisateur envoie une requête à un agent Amazon Quick qui utilise une base de connaissances Google Drive gérée par un administrateur, le système applique les contrôles d'accès en deux étapes :
1. **Filtrage préalable à la récupération** : Amazon Quick effectue une recherche sémantique dans l'index vectoriel pour trouver les passages les plus pertinents du document. Le système applique des listes de contrôle d'accès déjà enregistrées dans l'index. Cela produit un ensemble préliminaire de documents candidats. Cette étape est nécessaire car les appels d'API en temps réel pour chaque document de l'index seraient trop coûteux à grande échelle.
1. **Vérification en temps réel** — Le système vérifie les documents des candidats en temps réel en appelant le Google Drive APIs. Il utilise les informations d'identification du compte de service fournies par l'administrateur pour générer des jetons d'accès spécifiques à l'utilisateur par emprunt d'identité. Google Drive conserve la source de vérité pour les listes de contrôle d'accès associées à chaque document. Le système supprime du jeu de résultats tous les documents auxquels l'utilisateur n'est pas autorisé à accéder.
Le système transmet uniquement les passages de document vérifiés et autorisés au modèle en tant que contexte. Le modèle utilise ces connaissances pour générer une réponse. Cette approche en deux étapes fournit des garanties de contrôle d'accès au niveau des documents et maintient les performances à grande échelle.
## Activer la gestion des ACL
Le contrôle d'accès au niveau des documents est automatiquement activé pour toutes les bases de connaissances gérées par l'administrateur. Aucune configuration supplémentaire n’est requise.
Pour plus d'informations sur les meilleures pratiques en matière d'ACL, consultez[Bonnes pratiques de gestion ACLs dans les bases de connaissances](acl-best-practices-kb.md).
## Limitations connues
+ La synchronisation des commentaires de fichiers n'est pas prise en charge.
Pour plus d'informations sur les limites générales des ACL et les meilleures pratiques, consultez[Bonnes pratiques de gestion ACLs dans les bases de connaissances](acl-best-practices-kb.md).