Übersicht über den Authentifizierungsmanager für die Identität von KI-Agenten

Wenn generative KI-Agenten mit externen Tools, APIs oder Diensten (z. B. BigQuery, Jira, GitHub oder Google Maps) interagieren, benötigen sie einen sicheren Mechanismus zur Authentifizierung ausgehender Anfragen. Der Auth-Manager für die Agentenidentität bietet diesen Mechanismus, indem er als zentraler Tresor für Anmeldedaten und Authentifizierungsbroker fungiert, der die Authentifizierung ausgehender Tools vereinfacht.

Vorteile der Verwendung des Auth-Managers

Der Auth-Manager bietet folgende Vorteile für die Entwicklung von Agenten:

  • Zentraler Tresor für Anmeldedaten: Speichert API-Schlüssel, OAuth-Client Secrets und Nutzertokens in einem von Google verwalteten Tresor, wodurch hartcodierte Secrets und benutzerdefinierte Datenbankspeicher vermieden werden.
  • Automatisiertes OAuth 2.0: Verarbeitet mehrstufige OAuth 2.0-Abläufe, wie die Nutzereinwilligung, den Austausch von Autorisierungscodes und die Aktualisierung von Tokens, ohne benutzerdefinierten Backend-Code.
  • Nahtlose ADK-Integration: Lässt sich nativ in das Agent Development Kit (ADK) einbinden, um Authentifizierungsheader für ausgehende Anfragen wie Authorization oder X-Goog-Api-Key abzurufen und in Tool- und Model Context Protocol (MCP)-Serveraufrufe einzufügen.
  • Granulare SPIFFE-ID-Zugriffssteuerung: Verwendet SPIFFE-basierte Agentenidentitäten um präzise IAM-Richtlinien (Identity and Access Management) zu definieren. So wird sichergestellt, dass nur autorisierte Agentenprinzipale und Entwickler auf bestimmte Authentifizierungsanbieter zugreifen können.

Funktionsweise des Auth-Managers

Der Auth-Manager fungiert als Tresor für Anmeldedaten zwischen Ihrer Agent Runtime on Gemini Enterprise Agent Platform -Umgebung und externen Dienst endpunkten.

Wenn ein Agent ein externes Tool aufruft, fängt das ADK die Toolausführung ab, fordert die entsprechenden Anmeldedaten aus dem Tresor des Auth-Managers an und fügt die erforderlichen Authentifizierungsheader ein, bevor die Anfrage an die Ziel-API gesendet wird.

Das folgende Flussdiagramm veranschaulicht die allgemeine Architektur und den Lebenszyklus des Abrufs von Anmeldedaten: Architekturdiagramm zum Abrufen ausgehender Anmeldedaten.

  1. Der Endnutzer löst ein Ereignis aus oder gibt eine Eingabeaufforderung ein, für die eine Authentifizierung des ausgehenden Tools erforderlich ist.
  2. Der bereitgestellte Agent (mit dem ADK) fängt die Toolanfrage transparent ab und fragt den sicheren Tresor des Auth-Managers ab.
  3. Der Auth-Manager gibt die sicheren Anmeldedaten (API-Schlüssel oder OAuth-Token) an den Agenten zurück.
  4. Der Agent ruft die externe API oder das Tool mit den angehängten Anmeldedaten auf.
  5. Der Drittanbieterdienst validiert die Anmeldedaten und gibt die angeforderten Daten an den Agenten zurück.
  6. Der Agent verwendet die zurückgegebenen Daten, um die endgültige Antwort für den Nutzer zu generieren und zu senden.

Nächste Schritte