Quando gli agenti di AI generativa interagiscono con strumenti, API o servizi esterni (come BigQuery, Jira, GitHub o Google Maps), richiedono un meccanismo sicuro per autenticare le richieste in uscita. Il gestore di autenticazione dell'identità dell'agente (gestore di autenticazione) fornisce questo servizio fungendo da archivio centralizzato delle credenziali e da broker di autenticazione che semplifica l'autenticazione degli strumenti in uscita.
Vantaggi dell'utilizzo di Auth Manager
Auth Manager offre i seguenti vantaggi per lo sviluppo di agenti:
- Vault delle credenziali centralizzato: archivia chiavi API, client secret OAuth e token utente in un vault gestito da Google, contribuendo a evitare secret hardcoded e archiviazione di database personalizzati.
- OAuth 2.0 automatizzato: gestisce i flussi OAuth 2.0 in più passaggi, come il consenso dell'utente, lo scambio del codice di autorizzazione e gli aggiornamenti dei token, senza codice backend personalizzato.
- Integrazione perfetta dell'ADK: si integra in modo nativo con
l'Agent Development Kit (ADK) per recuperare e inserire intestazioni
di autenticazione in uscita, come
AuthorizationoX-Goog-Api-Key, nelle invocazioni di strumenti e server Model Context Protocol (MCP). - Controllo dell'accesso granulare all'ID SPIFFE: utilizza le identità dell'agente basate su SPIFFE per definire policy IAM (Identity and Access Management) precise, contribuendo a garantire che solo i principal e gli sviluppatori degli agenti autorizzati possano accedere a specifici provider di autenticazione.
Come funziona Auth Manager
Auth Manager è progettato per fungere da archivio di credenziali posizionato tra l'ambiente Agent Runtime sulla piattaforma Gemini Enterprise Agent Platform e gli endpoint di servizio esterni.
Quando un agente chiama uno strumento esterno, l'ADK intercetta l'esecuzione dello strumento, richiede le credenziali appropriate dal vault di Auth Manager e collega le intestazioni di autenticazione richieste prima di inviare la richiesta all'API di destinazione.
Il seguente diagramma di flusso illustra l'architettura di alto livello e
il ciclo di vita del recupero delle credenziali:
- L'utente finale attiva un evento o una richiesta che richiede l'autenticazione dello strumento in uscita.
- L'agente di cui è stato eseguito il deployment (utilizzando l'ADK) intercetta in modo trasparente la richiesta dello strumento ed esegue query sul vault di gestione dell'autenticazione sicura.
- Auth Manager restituisce la credenziale sicura (chiave API o token OAuth) all'agente.
- L'agente richiama l'API o lo strumento esterno con la credenziale allegata.
- Il servizio di terze parti convalida la credenziale e restituisce i dati richiesti all'agente.
- L'agente utilizza i dati restituiti per generare e fornire la risposta finale all'utente.
Passaggi successivi
- Autenticati utilizzando la chiave API con Auth Manager
- Eseguire l'autenticazione utilizzando OAuth a due vie con Auth Manager
- Eseguire l'autenticazione utilizzando OAuth a tre vie con Auth Manager
- Panoramica dell'identità dell'agente
- Risolvere i problemi relativi al gestore di autenticazione di identità dell'agente