Présentation du gestionnaire d'authentification des identités d'agent

Lorsque les agents d'IA générative interagissent avec des outils, des API ou des services externes (tels que BigQuery, Jira, GitHub ou Google Maps), ils ont besoin d'un mécanisme sécurisé pour authentifier les requêtes sortantes. Le gestionnaire d'authentification des identités d'agent (gestionnaire d'authentification) fournit ce mécanisme en agissant comme un coffre-fort d'identifiants centralisé et un courtier d'authentification qui simplifie l'authentification des outils sortants.

Avantages de l'utilisation du gestionnaire d'authentification

Le gestionnaire d'authentification offre les avantages suivants pour le développement d'agents :

  • Coffre-fort d'identifiants centralisé : stocke les clés API, les codes secrets des clients OAuth et les jetons utilisateur dans un coffre-fort géré par Google, ce qui permet d'éviter les secrets codés en dur et le stockage personnalisé dans une base de données.
  • OAuth 2.0 automatisé : gère les flux OAuth 2.0 en plusieurs étapes, tels que le consentement de l'utilisateur, l'échange de codes d'autorisation et l'actualisation des jetons, sans code backend personnalisé.
  • Intégration transparente du kit de développement d'agents : s'intègre de manière native au kit de développement d'agents pour récupérer et injecter des en-têtes d'authentification sortants, tels que Authorization ou X-Goog-Api-Key, dans les appels de serveur d'outil et de protocole de contexte de modèle (MCP).
  • Contrôle précis des accès aux ID SPIFFE : utilise des identités d'agent basées sur SPIFFE pour définir des stratégies IAM (Identity and Access Management) précises, ce qui permet de s'assurer que seuls les comptes principaux d'agent et les développeurs autorisés peuvent accéder à des fournisseurs d'authentification spécifiques.

Fonctionnement du gestionnaire d'authentification

Le gestionnaire d'authentification agit comme un coffre-fort d'identifiants entre votre environnement Agent Runtime sur Gemini Enterprise Agent Platform et les points de terminaison de service externes.

Lorsqu'un agent appelle un outil externe, le kit de développement d'agents intercepte l'exécution de l'outil, demande les identifiants appropriés au coffre-fort du gestionnaire d'authentification et ajoute les en-têtes d'authentification requis avant d'envoyer la requête à l'API cible.

Le schéma de flux suivant illustre l'architecture générale et le cycle de vie de la récupération des identifiants : Diagramme de l'architecture de récupération des identifiants sortants.

  1. L'utilisateur final déclenche un événement ou une invite qui nécessite l'authentification d'un outil sortant.
  2. L'agent déployé (à l'aide du kit de développement d'agents) intercepte de manière transparente la requête d'outil et interroge le coffre-fort sécurisé du gestionnaire d'authentification.
  3. Le gestionnaire d'authentification renvoie les identifiants sécurisés (clé API ou jeton OAuth) à l'agent.
  4. L'agent appelle l'API ou l'outil externe avec les identifiants associés.
  5. Le service tiers valide les identifiants et renvoie les données demandées à l'agent.
  6. L'agent utilise les données renvoyées pour générer et fournir la réponse finale à l'utilisateur.

Étape suivante