エージェント ID 認証マネージャーの概要

生成 AI エージェントが外部ツール、API、サービス(BigQuery、Jira、GitHub、Google マップなど)とやり取りする場合、アウトバウンド リクエストを認証するための安全なメカニズムが必要です。エージェント ID 認証マネージャー(認証マネージャー)は、アウトバウンド ツールの認証を簡素化する一元化された認証情報保管庫と認証ブローカーとして機能することで、これを提供します。

認証マネージャーを使用するメリット

認証マネージャーは、エージェント開発に次のメリットをもたらします。

  • 一元化された認証情報保管庫: API キー、OAuth クライアント シークレット、ユーザー トークンを Google マネージド保管庫に保存し、 ハードコードされたシークレットやカスタム データベース ストレージを回避します。
  • 自動化された OAuth 2.0: カスタム バックエンド コードなしで、複数ステップの OAuth 2.0 フローを処理します。 ユーザーの同意、認可コードの交換、トークンの更新など。
  • シームレスな ADK 統合: Agent Development Kit(ADK)とネイティブに統合し、 やX-Goog-Api-Keyなどのアウトバウンド認証ヘッダーを取得して、 ツールと Model Context Protocol(MCP)サーバーの呼び出しに挿入します。Authorization
  • 詳細な SPIFFE ID アクセス制御: SPIFFE ベースのエージェント ID を使用して、正確な Identity and Access Management(IAM)ポリシーを定義し、 承認されたエージェント プリンシパルとデベロッパーのみが特定の認証 プロバイダにアクセスできるようにします。

認証マネージャーの仕組み

認証マネージャーは、Gemini Enterprise Agent Platform 環境の Agent Runtime と外部サービス エンドポイントの間の認証情報保管庫として機能します。

エージェントが外部ツールを呼び出すと、ADK はツール実行をインターセプトし、認証マネージャー保管庫から適切な認証情報をリクエストして、必要な認証ヘッダーを添付してから、リクエストをターゲット API にディスパッチします。

次のフロー図は、アーキテクチャの概要と 認証情報の取得ライフサイクルを示しています: アウトバウンド認証情報の取得アーキテクチャ図。

  1. エンドユーザーが、アウトバウンド ツールの認証を必要とするイベントまたはプロンプトをトリガーします。
  2. デプロイされたエージェント(ADK を使用)は、ツールリクエストを透過的にインターセプトし、安全な認証マネージャー保管庫にクエリを実行します。
  3. 認証マネージャーは、安全な認証情報(API キーまたは OAuth トークン)をエージェントに返します。
  4. エージェントは、添付された認証情報を使用して外部 API またはツールを呼び出します。
  5. サードパーティ サービスは認証情報を検証し、リクエストされたデータをエージェントに返します。
  6. エージェントは、返されたデータを使用して、ユーザーへの最終レスポンスを生成して配信します。

次のステップ