Ringkasan pengelola autentikasi Identitas Agen

Saat berinteraksi dengan alat, API, atau layanan eksternal (seperti BigQuery, Jira, GitHub, atau Google Maps), agen AI generatif memerlukan mekanisme yang aman untuk mengautentikasi permintaan keluar. Pengelola autentikasi (pengelola auth) Identitas Agen menyediakan hal ini dengan bertindak sebagai brankas kredensial terpusat dan broker autentikasi yang menyederhanakan autentikasi alat keluar.

Manfaat menggunakan pengelola autentikasi

Pengelola autentikasi memberikan manfaat berikut untuk pengembangan agen:

  • Vault kredensial terpusat: Menyimpan kunci API, secret klien OAuth, dan token pengguna di vault yang dikelola Google, sehingga membantu menghindari secret yang dikodekan secara permanen dan penyimpanan database kustom.
  • OAuth 2.0 Otomatis: Menangani alur OAuth 2.0 multi-langkah, seperti izin pengguna, penukaran kode otorisasi, dan refresh token, tanpa kode backend kustom.
  • Integrasi ADK yang lancar: Terintegrasi secara native dengan Agent Development Kit (ADK) untuk mengambil dan menyuntikkan header autentikasi keluar, seperti Authorization atau X-Goog-Api-Key, ke dalam pemanggilan alat dan server Model Context Protocol (MCP).
  • Kontrol akses ID SPIFFE terperinci: Menggunakan identitas agen berbasis SPIFFE untuk menentukan kebijakan Identity and Access Management (IAM) yang presisi, sehingga membantu memastikan hanya pokok agen dan developer yang berwenang yang dapat mengakses penyedia autentikasi tertentu.

Cara kerja pengelola autentikasi

Pengelola autentikasi bertindak sebagai brankas kredensial antara lingkungan Agent Runtime di Gemini Enterprise Agent Platform dan endpoint layanan eksternal.

Saat agen memanggil alat eksternal, ADK akan mencegat eksekusi alat, meminta kredensial yang sesuai dari vault pengelola autentikasi, dan melampirkan header autentikasi yang diperlukan sebelum mengirimkan permintaan ke API target.

Diagram alur berikut mengilustrasikan arsitektur tingkat tinggi dan siklus proses pengambilan kredensial: Diagram arsitektur pengambilan kredensial keluar.

  1. Pengguna akhir memicu peristiwa atau perintah yang memerlukan autentikasi alat keluar.
  2. Agen yang di-deploy (menggunakan ADK) secara transparan mencegat permintaan alat dan mengkueri vault pengelola autentikasi yang aman.
  3. Pengelola autentikasi menampilkan kredensial aman (kunci API atau token OAuth) ke agen.
  4. Agen memanggil API atau alat eksternal dengan kredensial terlampir.
  5. Layanan pihak ketiga memvalidasi kredensial dan menampilkan data yang diminta ke agen.
  6. Agen menggunakan data yang ditampilkan untuk membuat dan memberikan respons akhir kepada pengguna.

Langkah berikutnya