Cuando los agentes de IA generativa interactúan con herramientas, APIs o servicios externos (como BigQuery, Jira, GitHub o Google Maps), requieren un mecanismo seguro para autenticar las solicitudes salientes. El administrador de autenticación de identidad del agente (administrador de autenticación) proporciona esto actuando como un almacén de credenciales centralizado y un agente de autenticación que simplifica la autenticación de herramientas salientes.
Beneficios de usar el administrador de autorización
El administrador de autorización proporciona los siguientes beneficios para el desarrollo de agentes:
- Bóveda de credenciales centralizada: Almacena claves de API, secretos de clientes de OAuth y tokens de usuarios en una bóveda administrada por Google, lo que ayuda a evitar secretos codificados y almacenamiento de bases de datos personalizadas.
- OAuth 2.0 automatizado: Controla los flujos de OAuth 2.0 de varios pasos, como el consentimiento del usuario, el intercambio de códigos de autorización y las actualizaciones de tokens, sin código de backend personalizado.
- Integración perfecta del ADK: Se integra de forma nativa con el Kit de desarrollo de agentes (ADK) para recuperar e insertar encabezados de autenticación salientes, como
AuthorizationoX-Goog-Api-Key, en las invocaciones de herramientas y servidores del Protocolo de contexto del modelo (MCP). - Control de acceso detallado al ID de SPIFFE: Usa identidades de agentes basadas en SPIFFE para definir políticas precisas de Identity and Access Management (IAM), lo que ayuda a garantizar que solo los principales y desarrolladores de agentes autorizados puedan acceder a proveedores de autenticación específicos.
Cómo funciona el administrador de autorización
El administrador de autenticación está diseñado para actuar como una bóveda de credenciales ubicada entre tu entorno de Agent Runtime en Gemini Enterprise Agent Platform y los extremos de servicios externos.
Cuando un agente llama a una herramienta externa, el ADK intercepta la ejecución de la herramienta, solicita la credencial adecuada de la bóveda del administrador de autenticación y adjunta los encabezados de autenticación necesarios antes de enviar la solicitud a la API de destino.
En el siguiente diagrama de flujo, se ilustran la arquitectura de alto nivel y el ciclo de vida de la recuperación de credenciales:
- El usuario final activa un evento o una instrucción que requiere autenticación de herramientas externas.
- El agente implementado (con el ADK) intercepta de forma transparente la solicitud de la herramienta y consulta la bóveda segura del administrador de autenticación.
- El administrador de autenticación devuelve la credencial segura (clave de API o token de OAuth) al agente.
- El agente invoca la API o herramienta externa con la credencial adjunta.
- El servicio de terceros valida la credencial y devuelve los datos solicitados al agente.
- El agente usa los datos devueltos para generar y entregar la respuesta final al usuario.
¿Qué sigue?
- Autenticación con una clave de API y el administrador de autenticación
- Autenticación con OAuth de 2 segmentos con el administrador de autenticación
- Cómo autenticar con OAuth de 3 segmentos con el administrador de autenticación
- Descripción general de la identidad del agente
- Soluciona problemas del administrador de autenticación de identidad del agente