Wenn generative KI-Agenten mit externen Tools, APIs oder Diensten (z. B. BigQuery, Jira, GitHub oder Google Maps) interagieren, benötigen sie einen sicheren Mechanismus zur Authentifizierung ausgehender Anfragen. Der Auth-Manager für die Agentenidentität bietet diesen Mechanismus, indem er als zentraler Tresor für Anmeldedaten und Authentifizierungsbroker fungiert, der die Authentifizierung ausgehender Tools vereinfacht.
Vorteile der Verwendung des Auth-Managers
Der Auth-Manager bietet folgende Vorteile für die Entwicklung von Agenten:
- Zentraler Tresor für Anmeldedaten: Speichert API-Schlüssel, OAuth-Client Secrets und Nutzertokens in einem von Google verwalteten Tresor, wodurch hartcodierte Secrets und benutzerdefinierte Datenbankspeicher vermieden werden.
- Automatisiertes OAuth 2.0: Verarbeitet mehrstufige OAuth 2.0-Abläufe, wie die Nutzereinwilligung, den Austausch von Autorisierungscodes und die Aktualisierung von Tokens, ohne benutzerdefinierten Backend-Code.
- Nahtlose ADK-Integration: Lässt sich nativ in das
Agent Development Kit (ADK) einbinden, um Authentifizierungsheader für ausgehende
Anfragen wie
AuthorizationoderX-Goog-Api-Keyabzurufen und in Tool- und Model Context Protocol (MCP)-Serveraufrufe einzufügen. - Granulare SPIFFE-ID-Zugriffssteuerung: Verwendet SPIFFE-basierte Agentenidentitäten um präzise IAM-Richtlinien (Identity and Access Management) zu definieren. So wird sichergestellt, dass nur autorisierte Agentenprinzipale und Entwickler auf bestimmte Authentifizierungsanbieter zugreifen können.
Funktionsweise des Auth-Managers
Der Auth-Manager fungiert als Tresor für Anmeldedaten zwischen Ihrer Agent Runtime on Gemini Enterprise Agent Platform -Umgebung und externen Dienst endpunkten.
Wenn ein Agent ein externes Tool aufruft, fängt das ADK die Toolausführung ab, fordert die entsprechenden Anmeldedaten aus dem Tresor des Auth-Managers an und fügt die erforderlichen Authentifizierungsheader ein, bevor die Anfrage an die Ziel-API gesendet wird.
Das folgende Flussdiagramm veranschaulicht die allgemeine Architektur und
den Lebenszyklus des Abrufs von Anmeldedaten:
- Der Endnutzer löst ein Ereignis aus oder gibt eine Eingabeaufforderung ein, für die eine Authentifizierung des ausgehenden Tools erforderlich ist.
- Der bereitgestellte Agent (mit dem ADK) fängt die Toolanfrage transparent ab und fragt den sicheren Tresor des Auth-Managers ab.
- Der Auth-Manager gibt die sicheren Anmeldedaten (API-Schlüssel oder OAuth-Token) an den Agenten zurück.
- Der Agent ruft die externe API oder das Tool mit den angehängten Anmeldedaten auf.
- Der Drittanbieterdienst validiert die Anmeldedaten und gibt die angeforderten Daten an den Agenten zurück.
- Der Agent verwendet die zurückgegebenen Daten, um die endgültige Antwort für den Nutzer zu generieren und zu senden.
Nächste Schritte
- Mit API-Schlüssel und Auth-Manager authentifizieren
- Mit 2-legged OAuth und Auth-Manager authentifizieren
- Mit 3-legged OAuth und Auth-Manager authentifizieren
- Übersicht über die Agentenidentität
- Auth-Anbieter für die Agentenidentität verwalten