É comum vários membros da equipa colaborarem na criação de um agente e os serviços acederem ao agente. Através das funções, pode controlar o acesso e as autorizações concedidas aos principais.
Se estiver a usar a API, também pode ter uma ou mais aplicações que enviam pedidos a um agente. Neste caso, pode controlar o acesso com contas de serviço.
Pode controlar o acesso através da gestão de identidade e de acesso (IAM) ou da consola do Dialogflow.
A consola do Dialogflow atribui a função de administrador do agente ao utilizador que criou o agente. Este utilizador recebe automaticamente a função de proprietário do projeto do IAM no projeto associado ao agente.
Os administradores de agentes podem adicionar programadores e revisores ao agente na consola do Dialogflow. Quando a função de programador ou revisor é concedida na consola do Dialogflow, o utilizador recebe a função de editor do projeto do IAM ou a função de leitor do projeto do IAM, respetivamente. Uma forma alternativa de adicionar programadores e revisores ao agente é conceder aos utilizadores as funções de editor do projeto do IAM ou leitor do projeto do IAM correspondentes na Google Cloud consola.
Existem algumas situações em que tem de usar a Google Cloud consola:
- Se quiser alterar o administrador, adicionar vários administradores para um agente ou remover administradores para um agente, tem de usar a Google Cloud consola.
- Se tiver integrações com outros Google Cloud recursos, como as Cloud Functions, e não quiser conceder acesso total ao projeto a uma aplicação, tem de atribuir as funções da API Dialogflow (administrador, cliente ou leitor) na Google Cloud consola do IAM.
- Um subconjunto de funções IAM tem funções correspondentes na consola do Dialogflow. Se quiser conceder uma função que não existe na consola do Dialogflow, tem de usar a Google Cloud consola.
Funções
A tabela seguinte lista as funções comuns relevantes para o Dialogflow, a correlação entre as funções da consola do Dialogflow e as funções IAM, bem como detalhes sobre as autorizações.
Os resumos das autorizações na tabela usam os seguintes termos:
- Acesso total: autorização para modificar o acesso, criar, eliminar, editar e ler qualquer recurso.
- Editar acesso: Autorização para criar, eliminar, editar e ler qualquer recurso.
- Acesso à sessão: autorização para chamar métodos para recursos apenas de tempo de execução durante uma conversa, como detetar a intenção, atualizar o contexto, atualizar entidades da sessão ou interações de conversa do Agent Assist. Este acesso fornece um subconjunto de autorizações encontradas no acesso total e de edição.
- Acesso de leitura: Autorização para ler qualquer recurso.
| Função da consola do Dialogflow | Função de IAM | Resumo das autorizações | Detalhe da autorização |
|---|---|---|---|
| Administrador | Projeto > Proprietário |
Conceda aos proprietários do projeto
que precisam de acesso total a todos os recursos do Google Cloud e Dialogflow:
|
Consulte as definições básicas de funções de IAM. |
| Programador | Projeto > Editor |
Conceda aos editores do projeto
que precisam de acesso de edição a todos os recursos do Google Cloud e Dialogflow:
|
Consulte as definições básicas de funções de IAM. |
| Revisor | Projeto > Leitor |
Conceda aos visitantes do projeto
que precisam de acesso de leitura a todos os recursos do Google Cloud e Dialogflow:
|
Consulte as definições básicas de funções de IAM. |
| N/A | Projeto > Navegador |
Conceda aos navegadores de projetos
que precisam de acesso de leitura para procurar na hierarquia de um projeto,
incluindo a pasta, a organização e a Política IAM:
|
Consulte as definições de funções de projetos de IAM. |
| N/A | Dialogflow > Administrador da Dialogflow API |
Conceda aos administradores da Dialogflow API
que precisam de acesso total a recursos específicos do Dialogflow:
|
Consulte as definições de funções de IAM do Dialogflow. |
| N/A | Dialogflow > Cliente da Dialogflow API |
Conceda aos clientes da Dialogflow API
que realizam chamadas detect intent através da API:
|
Consulte as definições de funções de IAM do Dialogflow. |
| N/A | Dialogflow > Editor de agente da consola do Dialogflow |
Conceda aos editores da consola do Dialogflow
que editam agentes existentes:
|
Consulte as definições de funções de IAM do Dialogflow. |
| N/A | Dialogflow > Leitor da Dialogflow API |
Conceder aos clientes da Dialogflow API
que fazem chamadas só de leitura específicas do Dialogflow
através da API:
|
Consulte as definições de funções de IAM do Dialogflow. |
Controle o acesso com a Google Cloud consola
Pode controlar o acesso com as definições da IAM. Consulte o início rápido da IAM para ver instruções detalhadas sobre como adicionar, editar e remover autorizações.
Para aceder às definições abaixo, abra a página IAM na Google Cloud consola.
Adicione um utilizador ou uma conta de serviço ao projeto
Pode conceder autorizações a utilizadores ou contas de serviço atribuindo-lhes funções no seu Google Cloud projeto. Os utilizadores são adicionados através do respetivo endereço de email. As contas de serviço também são adicionadas através do respetivo endereço de email associado. Tem de adicionar membros da conta de serviço quando quiser usar uma conta de serviço para vários projetos e agentes. Para encontrar o endereço de email associado à sua conta de serviço, consulte a página IAM Contas de serviço na Google Cloud consola.
Para adicionar um membro:
- Clique no botão adicionar na parte superior da página.
- Introduza o endereço de email do membro.
- Selecione uma função.
- Clique em Guardar.
Alterar autorizações
- Clique no botão de edição para o membro.
- Selecione uma função diferente.
- Clique em Guardar.
Remova um membro
- Clique no botão eliminar junto ao membro.
Controle o acesso com a consola do Dialogflow
As opções de partilha encontram-se nas definições do agente. Para abrir as definições de partilha de agentes:
- Aceda à consola do Dialogflow ES.
- Selecione o seu agente perto da parte superior do menu da barra lateral esquerda.
- Clique no botão de definições junto ao nome do agente.
- Clique no separador Partilhar. Se não vir o separador Partilhar, é porque não tem a função de administrador de agente necessária.
Adicionar um utilizador
- Introduza o endereço de email do utilizador em Convidar novas pessoas.
- Selecione uma função.
- Clique em Adicionar.
- Clique em Guardar.
Alterar autorizações
- Encontre o utilizador na lista.
- Selecione uma função diferente.
- Clique em Guardar.
Remova um utilizador
Encontre o utilizador na lista.
Clique no botão de eliminação do utilizador.
Clique em Guardar.
Contas de serviço criadas automaticamente
Quando cria e trabalha com o seu agente, o Dialogflow cria automaticamente alguns agentes de serviço.
Para ver as funções concedidas a estes agentes de serviço, ative a opção Incluir concessões de funções fornecidas pela Google na página IAM.
Não deve eliminar, editar nem transferir chaves para nenhum destes agentes de serviço, nem deve usar estes agentes de serviço para fazer chamadas API diretas. São usadas apenas pelo serviço Dialogflow para estabelecer ligação a uma variedade de serviços usados pelo seu agente. Google Cloud Pode ter de fazer referência a estes agentes de serviço por email quando configurar determinadas funcionalidades do Dialogflow.
A tabela seguinte descreve alguns destes agentes de serviço:
| Formulário de email do IAM | Finalidade |
|---|---|
| service-project-number @gcp-sa-dialogflow. |
Usado para ligar o seu agente aos serviços que processam o tráfego de integração. |
| firebase-adminsdk-alphanum @project-id.iam.gserviceaccount.com |
Usado para associar o seu agente aos serviços que processam o tráfego de integração do Assistente Google. |
| project-id @appspot.gserviceaccount.com |
Usado para associar o seu agente aos serviços que processam o tráfego de integração do Assistente Google. |
Transfira a função de administrador
Para transferir a função de administrador de um agente, o administrador existente tem de seguir os passos acima para adicionar um novo administrador. Assim que o novo administrador aceitar a função concedida, é seguro remover o administrador antigo.
Se o administrador existente já não trabalhar na sua organização e precisar de transferir a função de administrador para outro funcionário, tem duas opções:
- Um administrador da organização associada ao projeto do agente tem autorizações para modificar o administrador do agente.
- Se tiver autorizações de leitura para o agente, pode exportar o agente e importá-lo para um agente onde o funcionário pretendido seja administrador. Isto pode criar tempo de inatividade para um agente de produção em direto enquanto o agente é migrado e as integrações são atualizadas.
OAuth
Se estiver a usar bibliotecas cliente da Google para aceder ao Dialogflow, não precisa de usar o OAuth diretamente, porque estas bibliotecas processam a implementação por si. No entanto, se estiver a implementar o seu próprio cliente, pode ter de implementar o seu próprio fluxo OAuth. O acesso à API Dialogflow requer um dos seguintes âmbitos do OAuth:
https://www.googleapis.com/auth/cloud-platform(acesso a todos os recursos do projeto)https://www.googleapis.com/auth/dialogflow(acesso a recursos do Dialogflow)
Pedidos que envolvem o acesso ao Cloud Storage
Algumas solicitações do Dialogflow acedem a objetos no Cloud Storage para ler ou escrever dados. Quando chama um destes pedidos, o Dialogflow acede aos dados do Cloud Storage em nome do autor da chamada. Isto significa que a autenticação do seu pedido tem de ter autorizações para aceder ao Dialogflow, bem como aos objetos do Cloud Storage.
Quando usar uma biblioteca de cliente Google e funções do IAM, consulte o guia de controlo de acesso do Cloud Storage para obter informações sobre as funções do Cloud Storage.
Quando implementar o seu próprio cliente e usar o OAuth, tem de usar o seguinte âmbito do OAuth:
https://www.googleapis.com/auth/cloud-platform(acesso a todos os recursos do projeto)