Wenn generative KI-Agents mit externen Tools, APIs oder Diensten wie BigQuery, Jira, GitHub oder Google Maps interagieren, benötigen sie einen sicheren Mechanismus zur Authentifizierung ausgehender Anfragen. Der Authentifizierungsmanager für die Identität von KI-Agenten (Authentifizierungsmanager) bietet dies, indem er als zentraler Anmeldedatenspeicher und Authentifizierungsbroker fungiert, der die Authentifizierung von ausgehenden Tools vereinfacht.
Vorteile der Verwendung des Autorisierungsmanagers
Der Auth-Manager bietet folgende Vorteile für die Entwicklung von Agents:
- Zentralisierter Anmeldedatenspeicher: API-Schlüssel, OAuth-Clientschlüssel und Nutzer-Tokens werden in einem von Google verwalteten Speicher gespeichert. So lassen sich fest codierte Secrets und benutzerdefinierte Datenbankspeicher vermeiden.
- Automatisierte OAuth 2.0-Authentifizierung: Mehrstufige OAuth 2.0-Abläufe wie Nutzereinwilligung, Austausch von Autorisierungscodes und Aktualisierung von Tokens werden ohne benutzerdefinierten Backend-Code ausgeführt.
- Nahtlose ADK-Integration: Wird nativ in das Agent Development Kit (ADK) eingebunden, um ausgehende Authentifizierungsheader wie
AuthorizationoderX-Goog-Api-Keyabzurufen und in Tool- und MCP-Serveraufrufe (Model Context Protocol) einzufügen. - Detaillierte SPIFFE-ID-Zugriffssteuerung: Verwendet SPIFFE-basierte Agentenidentitäten, um präzise IAM-Richtlinien (Identity and Access Management) zu definieren. So wird sichergestellt, dass nur autorisierte Agenten-Hauptkonten und Entwickler auf bestimmte Authentifizierungsanbieter zugreifen können.
So funktioniert der Auth Manager
Der Authentifizierungsmanager ist als Anmeldedatenspeicher konzipiert, der sich zwischen Ihrer Umgebung für die Agent Runtime on Gemini Enterprise Agent Platform und externen Dienstendpunkten befindet.
Wenn ein Agent ein externes Tool aufruft, fängt das ADK die Ausführung des Tools ab, fordert die entsprechenden Anmeldedaten aus dem Auth Manager-Tresor an und hängt die erforderlichen Authentifizierungsheader an, bevor die Anfrage an die Ziel-API gesendet wird.
Das folgende Flussdiagramm zeigt die allgemeine Architektur und den Lebenszyklus des Abrufs von Anmeldedaten:
- Der Endnutzer löst ein Ereignis oder einen Prompt aus, für den eine ausgehende Tool-Authentifizierung erforderlich ist.
- Der bereitgestellte Agent (mit dem ADK) fängt die Toolanfrage transparent ab und fragt den sicheren Auth-Manager-Vault ab.
- Der Auth-Manager gibt die sicheren Anmeldedaten (API-Schlüssel oder OAuth-Token) an den Agent zurück.
- Der Agent ruft die externe API oder das externe Tool mit den angehängten Anmeldedaten auf.
- Der Drittanbieterdienst validiert die Anmeldedaten und gibt die angeforderten Daten an den Agent zurück.
- Der Agent verwendet die zurückgegebenen Daten, um die endgültige Antwort zu generieren und an den Nutzer zu senden.
Nächste Schritte
- Mit einem API-Schlüssel und dem Auth-Manager authentifizieren
- Mit zweiseitigem OAuth und dem Auth-Manager authentifizieren
- Mit dreibeinigem OAuth und dem Auth-Manager authentifizieren
- Agent-Identität – Übersicht
- Fehlerbehebung beim Auth-Manager für die Agent-Identität