Quando os agentes de IA generativa interagem com ferramentas, APIs ou serviços externos (como BigQuery, Jira, GitHub ou Google Maps), eles precisam de um mecanismo seguro para autenticar solicitações de saída. O gerenciador de autenticação de identidade do agente (gerenciador de autenticação) faz isso atuando como um cofre de credenciais centralizado e um broker de autenticação que simplifica a autenticação de ferramentas de saída.
Benefícios de usar o gerenciador de autenticação
O gerenciador de autenticação oferece os seguintes benefícios para o desenvolvimento de agentes:
- Cofre de credenciais centralizado: armazena chaves de API, chaves secretas do cliente OAuth e tokens de usuário em um cofre gerenciado pelo Google, ajudando a evitar secrets codificados e armazenamento de banco de dados personalizado.
- OAuth 2.0 automatizado: processa fluxos do OAuth 2.0 de várias etapas, como consentimento do usuário, troca de código de autorização e atualizações de token, sem código de back-end personalizado.
- Integração perfeita do ADK: integra-se nativamente ao
Kit de Desenvolvimento de Agente (ADK) para recuperar e injetar cabeçalhos de
autenticação de saída, como
AuthorizationouX-Goog-Api-Key, em invocações de ferramentas e servidores do Protocolo de Contexto de Modelo (MCP). - Controle granular de acesso ao ID do SPIFFE: usa identidades de agente baseadas no SPIFFE para definir políticas precisas do Identity and Access Management (IAM), ajudando a garantir que apenas principais e desenvolvedores de agentes autorizados possam acessar provedores de autenticação específicos.
Como o gerenciador de autenticação funciona
O gerenciador de autenticação foi projetado para atuar como um cofre de credenciais posicionado entre o ambiente do Agent Runtime na Gemini Enterprise Agent Platform e os endpoints de serviços externos.
Quando um agente chama uma ferramenta externa, o ADK intercepta a execução da ferramenta, solicita a credencial apropriada do cofre do gerenciador de autenticação e anexa os cabeçalhos de autenticação necessários antes de enviar a solicitação para a API de destino.
O diagrama de fluxo a seguir ilustra a arquitetura de alto nível e o ciclo de vida de recuperação de credenciais:
- O usuário final aciona um evento ou comando que exige autenticação de ferramenta de saída.
- O agente implantado (usando o ADK) intercepta de maneira transparente a solicitação de ferramenta e consulta o cofre do gerenciador de autenticação segura.
- O gerenciador de autenticação retorna a credencial segura (chave de API ou token OAuth) ao agente.
- O agente invoca a API ou ferramenta externa com a credencial anexada.
- O serviço de terceiros valida a credencial e retorna os dados solicitados ao agente.
- O agente usa os dados retornados para gerar e entregar a resposta final ao usuário.
A seguir
- Autenticar usando a chave de API com o gerenciador de autenticação
- Autenticar usando o OAuth de duas etapas com o gerenciador de autenticação
- Autenticar usando o OAuth de três etapas com o gerenciador de autenticação
- Visão geral da identidade do agente
- Resolver problemas do gerenciador de autenticação de identidade do agente