כשסוכני AI גנרטיבי מקיימים אינטראקציה עם כלים, ממשקי API או שירותים חיצוניים (כמו BigQuery, Jira, GitHub או מפות Google), הם צריכים מנגנון מאובטח לאימות בקשות יוצאות. מנהל האימות של זהות הסוכן (מנהל האימות) מספק את זה על ידי פעולה ככספת מרכזית של פרטי כניסה וכמתווך אימות שמפשט את האימות של כלי דואר יוצא.
היתרונות של שימוש בכלי לניהול הרשאות
הכלי לניהול הרשאות מספק את היתרונות הבאים לפיתוח סוכנים:
- מאגר מרכזי של פרטי כניסה: מאחסן מפתחות API, סודות של לקוחות OAuth ואסימוני משתמשים במאגר שמנוהל על ידי Google, ועוזר להימנע מסודות שמוצפנים בהארדקוד ומאחסון במסד נתונים בהתאמה אישית.
- OAuth 2.0 אוטומטי: מטפל בתהליכי OAuth 2.0 מרובי-שלבים, כמו הסכמת משתמש, החלפת קוד הרשאה ורענון אסימונים, ללא קוד קצה עורפי מותאם אישית.
- שילוב חלק עם ADK: משתלב באופן טבעי עם Agent Development Kit (ADK) כדי לאחזר ולהוסיף כותרות אימות יוצאות, כמו
AuthorizationאוX-Goog-Api-Key, לקריאות של כלים ושרתים של Model Context Protocol (MCP). - בקרת גישה מפורטת למזהי SPIFFE: נעשה שימוש בזהויות של סוכנים שמבוססות על SPIFFE כדי להגדיר מדיניות מדויקת לניהול זהויות והרשאות גישה (IAM), וכך לוודא שרק מנהלים ומפתחים מורשים של סוכנים יכולים לגשת לספקי אימות ספציפיים.
איך פועל מרכז ניהול ההרשאות
מנהל ההרשאות נועד לשמש ככספת לפרטי כניסה, והוא ממוקם בין סביבת Agent Runtime בפלטפורמת Gemini Enterprise Agent Platform לבין נקודות הקצה של שירותים חיצוניים.
כשסוכן קורא לכלי חיצוני, ה-ADK מיירט את ההפעלה של הכלי, מבקש את פרטי הכניסה המתאימים מהכספת של מנהל ההרשאות ומצרף את כותרות האימות הנדרשות לפני שהוא שולח את הבקשה לממשק ה-API של היעד.
תרשים הזרימה הבא ממחיש את הארכיטקטורה ברמה גבוהה ואת מחזור החיים של אחזור פרטי הכניסה:
- משתמש הקצה מפעיל אירוע או הנחיה שדורשים אימות של כלי יוצא.
- הסוכן שנפרס (באמצעות ADK) מיירט באופן שקוף את בקשת הכלי ושולח שאילתה לכספת של מנהל ההרשאות המאובטח.
- מנהל ההרשאות מחזיר את פרטי הכניסה המאובטחים (מפתח API או טוקן OAuth) לסוכן.
- הסוכן מפעיל את ה-API או הכלי החיצוניים עם פרטי הכניסה המצורפים.
- שירות הצד השלישי מאמת את פרטי הכניסה ומחזיר את הנתונים המבוקשים לסוכן.
- הסוכן משתמש בנתונים שהוחזרו כדי ליצור את התשובה הסופית למשתמש ולשלוח אותה.
המאמרים הבאים
- אימות באמצעות מפתח API עם מנהל ההרשאות
- אימות באמצעות OAuth דו-רגלי עם מנהל ההרשאות
- אימות באמצעות OAuth תלת-רגלי עם מנהל הרשאות
- סקירה כללית בנושא זהות הסוכן
- פתרון בעיות בכלי לניהול אימות של זהות הסוכן