Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einrichtung der Google Drive-Wissensdatenbank mit Administratorverwaltung
Bei der vom Administrator verwalteten Einrichtung erstellt ein Google Workspace-Administrator ein Dienstkonto und delegiert den domänenweiten Zugriff. Einzelne Nutzer müssen sich nicht per Anmeldung autorisieren.
Das vom Administrator verwaltete Setup umfasst eine integrierte Unterstützung für Zugriffskontrolllisten (ACL) auf Dokumentebene. Amazon Quick synchronisiert ACLs automatisch mit Google Drive und überprüft die Berechtigungen jedes Nutzers bei der Abfrage.
Weitere Informationen zu den bewährten Methoden von ACL finden Sie unter. [Bewährte Methoden für die Verwaltung ACLs in Wissensdatenbanken](acl-best-practices-kb.md)
## Voraussetzungen
Stellen Sie sicher, dass Sie über Folgendes verfügen, bevor Sie die Integration einrichten.
+ Administratorzugriff auf Google Workspace Ihrer Organisation.
+ Ein Amazon Quick Enterprise-Benutzerkonto. Administratorzugriff ist nicht erforderlich.
+ Ein Google Workspace-Konto mit einer E-Mail-Domain, die mit der E-Mail-Domain übereinstimmt, die für Ihre Amazon Quick Identity verwendet wird.
+ Informationen zu den Abonnementanforderungen finden Sie unter[Integrationen in der Konsole einrichten](integration-console-setup-process.md).
## Übersicht über die Einrichtung
Die Einrichtung umfasst die folgenden Phasen:
1. **Google Workspace konfigurieren** — Erstellen Sie ein Google Cloud-Dienstkonto mit schreibgeschütztem API-Zugriff und domänenweiter Delegierung. Erstellen Sie anschließend einen dedizierten Admin-Benutzer für das Dienstkonto, um sich als Benutzer auszugeben. Weitere Informationen finden Sie unter [Google Workspace konfigurieren](google-drive-kb-google-config.md).
1. **Erstellen Sie die Wissensdatenbank in Amazon Quick** — Erstellen Sie eine Google Drive-Wissensdatenbank, indem Sie die Anmeldeinformationen für das Dienstkonto aus Phase 1 verwenden. Weitere Informationen finden Sie unter [Erstellen einer Wissensdatenbank in Amazon Quick](google-drive-kb-connection.md).
Die Zugriffskontrolle auf Dokumentenebene wird automatisch für alle vom Administrator verwalteten Wissensdatenbanken aktiviert. Weitere Informationen zur Funktionsweise der Zugriffskontrollen finden Sie unter. [Zugriffskontrollen auf Dokumentenebene](google-drive-kb-acl.md)
# Google Workspace konfigurieren
Um Amazon Quick mit Google Drive zu verbinden, führen Sie die folgenden Aufgaben in der Google Cloud Console und der Google Workspace Admin Console aus. Sie erstellen ein Google Cloud-Projekt, aktivieren die erforderlichen Optionen APIs, generieren Anmeldeinformationen für das Dienstkonto und konfigurieren die domänenweite Delegierung. Sie erstellen auch einen dedizierten Admin-Benutzer für das Dienstkonto, der sich als Benutzer ausgeben kann.
**Voraussetzungen**
Stellen Sie vor dem Beginn sicher, dass Sie über Folgendes verfügen:
Ein Google Workspace-Konto mit Administratorzugriff
Erlaubnis zum Erstellen von Projekten in der Google Cloud Console
## Ein Google Cloud-Projekt erstellen
1. Öffnen Sie die Google Cloud-Konsole.
1. Wählen Sie in der Projektauswahl oben auf der Seite die Option **Neues Projekt** aus.
1. Geben Sie einen Projektnamen ein und wählen Sie dann **Erstellen**.
1. Nachdem das Projekt erstellt wurde, wählen Sie **„Projekt auswählen“**, um zu dem Projekt zu wechseln. Dieser Vorgang kann einige Minuten dauern.
## Einschalten der erforderlichen APIs
Amazon Quick benötigt drei Google APIs. Schalten Sie jedes in der API-Bibliothek ein.
1. Wählen Sie im Navigationsmenü **APIs & Services und** anschließend **Library** aus.
1. Suchen Sie nach den folgenden Optionen APIs und wählen Sie „**Aktivieren**“:
+ Google Drive-API
+ Google Drive-Aktivitäts-API
+ SDK-API für Administratoren
## Das Dienstkonto wird erstellt
1. Wählen Sie im Navigationsmenü **APIs & Services und** anschließend **Credentials** aus.
1. Wählen Sie **Credentials erstellen** und anschließend **Service-Konto** aus.
1. Geben Sie einen Namen und optional eine Beschreibung für das Dienstkonto ein und wählen Sie dann **Fertig**.
## Generieren eines privaten Schlüssels
1. Wählen Sie auf der Seite „**Anmeldeinformationen**“ das Dienstkonto aus, das Sie erstellt haben.
1. Wählen Sie die Registerkarte „**Schlüssel**“ und dann „**Schlüssel hinzufügen**“, „**Neuen Schlüssel erstellen**“.
1. Vergewissern Sie sich, dass **JSON** ausgewählt ist, und wählen Sie dann **Create**.
Der Browser lädt eine JSON-Datei herunter, die den privaten Schlüssel enthält. Speichern Sie diese Datei sicher. Sie laden es in einem späteren Schritt auf Amazon Quick hoch.
**Anmerkung**
Wenn Sie eine Fehlermeldung erhalten, die besagt, dass die Erstellung von Dienstkontoschlüsseln durch eine Unternehmensrichtlinie deaktiviert wurde, finden Sie weitere Informationen unter[Behebung von Einschränkungen durch Unternehmensrichtlinien](#google-drive-kb-admin-troubleshooting-org-policy).
## Eindeutige ID des Dienstkontos aufzeichnen
1. Wählen Sie auf der Detailseite des Dienstkontos die Registerkarte **Details** aus.
1. Kopieren Sie den Wert im Feld **Eindeutige ID**. Sie benötigen diesen Wert, wenn Sie die domänenweite Delegierung konfigurieren.
## Konfiguration der domänenweiten Delegierung
Durch die domänenweite Delegierung kann das Dienstkonto im Namen von Nutzern in Ihrer Organisation auf Google Workspace-Daten zugreifen.
1. Erweitern Sie auf der Detailseite des Dienstkontos die Option **Erweiterte** Einstellungen.
1. Wählen Sie „**Google Workspace Admin Console anzeigen**“. Die Admin-Konsole wird in einem neuen Tab geöffnet.
1. Wählen Sie im Navigationsbereich der Admin-Konsole die Optionen **Sicherheit**, **Zugriffs- und Datenkontrolle**, **API-Steuerung** aus.
1. Wählen Sie **Domainweite Delegation verwalten** und anschließend **Neu hinzufügen** aus.
1. Geben Sie als **Client-ID** die eindeutige ID ein, die Sie zuvor kopiert haben.
1. Geben Sie für **OAuth Bereiche** die folgenden kommagetrennten Werte ein:
```
https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/forms.body.readonly
```
1. Klicken Sie auf **Authorize**.
## Einen delegierten Admin-Benutzer erstellen
Das Dienstkonto handelt im Namen eines Google Workspace-Admin-Benutzers. Erstellen Sie zu diesem Zweck einen dedizierten Benutzer und weisen Sie ihm die mindestens erforderlichen Rollen zu.
1. Wählen Sie in der Google Workspace Admin Console **Verzeichnis** und dann **Benutzer** aus.
1. Wählen Sie **Neuen Nutzer hinzufügen** aus.
1. Geben Sie einen Vornamen, Nachnamen und eine primäre E-Mail-Adresse für den neuen Benutzer ein und wählen Sie dann **Neuen Benutzer hinzufügen**.
1. Wählen Sie **Fertig** aus.
1. Wählen Sie aus der Benutzerliste den Benutzer aus, den Sie erstellt haben. Wenn der Benutzer nicht angezeigt wird, aktualisieren Sie die Seite.
1. Erweitern Sie auf der Benutzerdetailseite den Abschnitt **Admin-Rollen und -Rechte**.
1. Weisen Sie unter **Rollen** die folgenden Rollen zu:
+ Gruppenleser
+ Benutzerverwaltung Admin
+ Speicheradministrator
1. Wählen Sie **Speichern**.
Notieren Sie sich die E-Mail-Adresse dieses Benutzers. Sie benötigen es, wenn Sie die Wissensdatenbank in Amazon Quick erstellen.
## Fehlerbehebung bei der Google Workspace-Konfiguration
### Behebung von Einschränkungen durch Unternehmensrichtlinien
Wenn Sie beim Erstellen eines Dienstkontoschlüssels die folgende Fehlermeldung erhalten:
```
The organization policy constraint iam.disableServiceAccountKeyCreation
is enforced on your organization.
```
**Anmerkung**
Für Google Cloud-Organisationen, die am oder nach dem 3. Mai 2024 gegründet wurden, wird diese Einschränkung standardmäßig durchgesetzt.
Sie müssen die Richtlinie für Ihr Projekt außer Kraft setzen.
1. Öffnen Sie die Google Cloud-Konsole und vergewissern Sie sich, dass das richtige Projekt ausgewählt ist.
1. Wählen Sie im Navigationsmenü **IAM & Admin und** anschließend **Organisationsrichtlinien** aus.
1. Geben `iam.disableServiceAccountKeyCreation` Sie im Feld **Filter** Folgendes ein. Wählen Sie dann in der Richtlinienliste die Option **Dienstkontoschlüsselerstellung deaktivieren** aus.
1. Wählen Sie **Richtlinie verwalten** aus.
**Anmerkung**
Wenn **„Richtlinie verwalten**“ nicht verfügbar ist, benötigen Sie die Rolle „Administrator für Organisationsrichtlinien“ (`roles/orgpolicy.policyAdmin`) auf Organisationsebene. Siehe [Gewährung der Rolle „Administrator für Organisationsrichtlinien“](#google-drive-kb-admin-troubleshooting-org-admin-role).
1. Vergewissern Sie sich, dass im Abschnitt **Richtlinienquelle** die Option **Richtlinie der übergeordneten Person außer Kraft setzen** ausgewählt ist.
1. Deaktivieren Sie unter **Durchsetzung** die Option Durchsetzung für diese Richtlinieneinschränkung der Organisation.
1. Wählen Sie **Richtlinie festlegen** aus.
Es kann mehrere Minuten dauern, bis die Änderung wirksam wird.
### Gewährung der Rolle „Administrator für Organisationsrichtlinien“
Die Rolle „Administrator für Organisationsrichtlinien“ (`roles/orgpolicy.policyAdmin`) muss auf Organisationsebene und nicht auf Projektebene erteilt werden. Sie erscheint nicht in der Rollenliste, wenn einem Projekt Rollen zugewiesen werden.
Um diese Rolle zuzuweisen, wählen Sie in der Projektauswahl in der Google Cloud-Konsole Ihre Organisation (kein Projekt) aus. Wählen Sie dann **IAM & Admin**, **IAM** und weisen Sie die Rolle Ihrem Konto zu. Eine ausführliche Anleitung finden Sie in der Google Cloud-Dokumentation unter [Zugriff auf Projekte, Ordner und Organisationen verwalten](https://cloud.google.com/iam/docs/granting-changing-revoking-access).
Die Weitergabe der Rollenzuweisung kann mehrere Minuten dauern.
# Erstellen einer Wissensdatenbank in Amazon Quick
In dieser Phase erstellen Sie eine Wissensdatenbank in Amazon Quick und geben die Anmeldeinformationen für das Dienstkonto aus der Google Workspace-Konfiguration ein. Jeder Unternehmensbenutzer kann diese Phase abschließen. Amazon Quick Administratorzugriff ist nicht erforderlich.
Wenn ein Google Workspace-Administrator die Google Workspace-Konfiguration in Ihrem Namen abgeschlossen hat, benötigen Sie die JSON-Schlüsseldatei und die E-Mail-Adresse des delegierten Administrators, bevor Sie fortfahren können.
## Einrichtung der Wissensdatenbank
1. Wählen Sie in der Amazon Quick-Konsole **Integrationen** aus.
1. Suchen Sie unter **Wissensdatenbanken** **nach Google Drive** und wählen Sie dann das Symbol **Hinzufügen** (\$1).
1. Wählen **Sie im Dialogfeld Google Drive-Wissensdatenbank erstellen** die Option **Haben Sie Administratoranmeldedaten? Konfigurieren Sie die Zugriffskontrolle auf Dokumentebene.**
1. **Wählen Sie in der Dropdownliste **Verbundenes Konto** die Option Konto hinzufügen aus.**
1. Geben Sie unter **Name** einen Namen für die Verbindung ein. Verwenden Sie einen aussagekräftigen Namen, z. B. Ihre Google Workspace-Domain.
**Wichtig**
Sie können den Verbindungsnamen nicht ändern, nachdem Sie ihn gespeichert haben.
1. Wählen Sie „**.JSON-Schlüssel hochladen**“ und wählen Sie dann die JSON-Datei aus, die Sie während der Google Workspace-Konfiguration heruntergeladen haben.
1. Geben Sie als **Admin-E-Mail für Google Workspace** die E-Mail-Adresse des delegierten Admin-Benutzers ein, den Sie während der Google Workspace-Konfiguration erstellt haben.
1. Wählen Sie **Weiter** aus.
## Zu synchronisierende Inhalte auswählen
1. Geben Sie einen **Namen** und optional eine **Beschreibung** für Ihre Wissensdatenbank ein.
1. Wählen Sie aus, welche Google Drive-Inhalte aufgenommen werden sollen:
+ **Meine Ablage (alle Nutzer)** — Schließt Dateien aus Meine Ablage aller Nutzer in Ihrer Organisation ein.
+ **Für mich freigegeben (alle Benutzer)** — Schließt Dateien ein, die mit Ihren Benutzern geteilt wurden.
+ **Geteilte Ablagen** — Alle geteilten Ablagen werden standardmäßig synchronisiert. Um bestimmte Laufwerke ein- oder auszuschließen, verwenden Sie das Drop-down-Menü **Filtertyp** und das IDs Feld **Geteiltes Laufwerk hinzufügen**. Sie können 1 bis 100 gemeinsam genutzte Laufwerke IDs eingeben.
1. Wählen Sie **Weiter**, um erweiterte Einstellungen zu konfigurieren.
## Erweiterte Einstellungen konfigurieren
Im Schritt **Erweiterte Einstellungen** können Sie optionale Einstellungen für die Wissensdatenbank konfigurieren.
Inhalte nach Datum filtern
Schränken Sie anhand des Datums der letzten Änderung ein, welche Dokumente gecrawlt werden. Das Startdatum ist standardmäßig ein Jahr vor dem heutigen Tag. Sie können das Startdatum ändern oder löschen und optional ein Enddatum festlegen.
Multimediainhalte, Dateigröße und Dateimuster
Wählen Sie aus, welche Inhaltstypen in die Wissensdatenbank aufgenommen werden sollen.
+ **Visuelle Inhalte in Dokumenten** — Extrahiert und indexiert visuelle Elemente aus unterstützten Dokumentformaten. Diese Option ist standardmäßig aktiviert.
+ **Audiodateien** — Transkribiert und indexiert Audiodateien.
+ **Videodateien** — Transkribiert und indexiert Videodateien.
Wählen Sie **Erstellen**, um die Wissensdatenbank zu erstellen. Nachdem Sie „**Erstellen**“ ausgewählt haben, wird die Datensynchronisierung automatisch gestartet.
## Verwaltung und Problembehandlung
Informationen zum Bearbeiten, Teilen oder Löschen Ihrer Integration finden Sie unter[Verwaltung vorhandener Integrationen](integration-workflows.md#managing-existing-integrations).
Informationen zur Fehlerbehebung in der Wissensdatenbank, einschließlich Synchronisierungsproblemen und fehlenden Dokumenten, finden Sie unter[Wissensdatenbanken zur Fehlerbehebung](troubleshooting-knowledge-bases.md).
### Probleme beim Setup, die vom Administrator verwaltet werden
+ **Google API-Ratenbegrenzung** — Google Drive kann Anfragen in Zeiten hoher Nutzung drosseln. Wenn Synchronisierungen fehlschlagen oder unvollständig sind, versuchen Sie es außerhalb der Spitzenzeiten erneut.
+ **SSL-Zertifikatsfehler** — Wenn Sie bei der Erstellung Ihrer Wissensdatenbank eine Fehlermeldung zu SSL-Zertifikatsfehlern erhalten, überprüfen Sie die OAuth Bereiche, die Sie bei der domänenweiten Delegierung konfiguriert haben.
# Zugriffskontrollen auf Dokumentenebene
Die vom Administrator verwalteten Google Drive-Wissensdatenbanken verfügen über eine integrierte Zugriffskontrolle auf Dokumentenebene. Amazon Quick synchronisiert bei jedem Crawl die Zugriffskontrolllisten (ACLs) von Google Drive und überprüft die Berechtigungen jedes Benutzers bei der Abfrage, sodass Benutzer nur Antworten aus Dokumenten sehen, für die sie berechtigt sind.
## Funktionsweise
Wenn ein Nutzer eine Anfrage an einen Amazon Quick-Agenten sendet, der eine vom Administrator verwaltete Google Drive-Wissensdatenbank verwendet, erzwingt das System Zugriffskontrollen in zwei Schritten:
1. **Filterung vor dem Abruf** — Amazon Quick führt eine semantische Suche anhand des Vektorindex durch, um die relevantesten Dokumentpassagen zu finden. Das System wendet Zugriffskontrolllisten an, die bereits im Index gespeichert sind. Dadurch wird ein vorläufiger Satz von Kandidatendokumenten erstellt. Diese Phase ist notwendig, da API-Aufrufe in Echtzeit für jedes Dokument im Index in großem Umfang zu kostspielig wären.
1. **Überprüfung in Echtzeit** — Das System überprüft die Kandidatendokumente in Echtzeit, indem es Google Drive APIs aufruft. Es verwendet die vom Administrator bereitgestellten Anmeldeinformationen für das Dienstkonto, um benutzerspezifische Zugriffstoken durch Identitätswechsel zu generieren. Google Drive verwaltet die Informationsquelle für Zugriffskontrolllisten, die jedem Dokument zugeordnet sind. Das System entfernt alle Dokumente, auf die der Nutzer nicht zugreifen darf, aus dem Ergebnissatz.
Das System leitet nur die verifizierten und autorisierten Dokumentpassagen als Kontext an das Modell weiter. Das Modell verwendet dieses Wissen, um eine Antwort zu generieren. Dieser zweistufige Ansatz gewährleistet die Zugriffskontrolle auf Dokumentenebene und sorgt für eine gleichbleibende Leistung.
## Aktivieren Sie das ACL-Management
Die Zugriffskontrolle auf Dokumentenebene wird automatisch für alle vom Administrator verwalteten Wissensdatenbanken aktiviert. Es ist keine zusätzliche Konfiguration erforderlich.
Weitere Informationen zu den bewährten Methoden von ACL finden Sie unter. [Bewährte Methoden für die Verwaltung ACLs in Wissensdatenbanken](acl-best-practices-kb.md)
## Bekannte Beschränkungen
+ Die Synchronisation von Dateikommentaren wird nicht unterstützt.
Weitere Informationen zu allgemeinen ACL-Einschränkungen und bewährten Methoden finden Sie unter[Bewährte Methoden für die Verwaltung ACLs in Wissensdatenbanken](acl-best-practices-kb.md).