生成 AI エージェントが外部ツール、API、サービス(BigQuery、Jira、GitHub、Google マップなど)とやり取りする場合、アウトバウンド リクエストを認証するための安全なメカニズムが必要です。エージェント ID 認証マネージャー(認証マネージャー)は、アウトバウンド ツールの認証を簡素化する一元化された認証情報保管庫と認証ブローカーとして機能することで、これを提供します。
認証マネージャーを使用するメリット
認証マネージャーは、エージェント開発に次のメリットをもたらします。
- 一元化された認証情報保管庫: API キー、OAuth クライアント シークレット、ユーザー トークンを Google マネージド保管庫に保存し、 ハードコードされたシークレットやカスタム データベース ストレージを回避します。
- 自動化された OAuth 2.0: カスタム バックエンド コードなしで、複数ステップの OAuth 2.0 フローを処理します。 ユーザーの同意、認可コードの交換、トークンの更新など。
- シームレスな ADK 統合: Agent Development Kit(ADK)とネイティブに統合し、
や
X-Goog-Api-Keyなどのアウトバウンド認証ヘッダーを取得して、 ツールと Model Context Protocol(MCP)サーバーの呼び出しに挿入します。Authorization - 詳細な SPIFFE ID アクセス制御: SPIFFE ベースのエージェント ID を使用して、正確な Identity and Access Management(IAM)ポリシーを定義し、 承認されたエージェント プリンシパルとデベロッパーのみが特定の認証 プロバイダにアクセスできるようにします。
認証マネージャーの仕組み
認証マネージャーは、Gemini Enterprise Agent Platform 環境の Agent Runtime と外部サービス エンドポイントの間の認証情報保管庫として機能します。
エージェントが外部ツールを呼び出すと、ADK はツール実行をインターセプトし、認証マネージャー保管庫から適切な認証情報をリクエストして、必要な認証ヘッダーを添付してから、リクエストをターゲット API にディスパッチします。
次のフロー図は、アーキテクチャの概要と
認証情報の取得ライフサイクルを示しています:
- エンドユーザーが、アウトバウンド ツールの認証を必要とするイベントまたはプロンプトをトリガーします。
- デプロイされたエージェント(ADK を使用)は、ツールリクエストを透過的にインターセプトし、安全な認証マネージャー保管庫にクエリを実行します。
- 認証マネージャーは、安全な認証情報(API キーまたは OAuth トークン)をエージェントに返します。
- エージェントは、添付された認証情報を使用して外部 API またはツールを呼び出します。
- サードパーティ サービスは認証情報を検証し、リクエストされたデータをエージェントに返します。
- エージェントは、返されたデータを使用して、ユーザーへの最終レスポンスを生成して配信します。
次のステップ
- 認証マネージャーで API キーを使用して認証する
- 認証マネージャーで 2-legged OAuth を使用して認証する
- 認証マネージャーで 3-legged OAuth を使用して認証する
- エージェント ID の概要
- エージェント ID 認証プロバイダを管理する