인증 관리자를 사용하여 2-legged OAuth로 인증

에이전트가 자체 권한을 사용하여 ServiceNow 또는 Salesforce와 같은 외부 도구를 인증하도록 하려면 에이전트 ID 인증 관리자에서 2-legged OAuth (클라이언트 사용자 인증 정보) 인증 제공업체를 사용하여 아웃바운드 인증을 구성합니다.

2-legged OAuth 인증 제공업체는 사용자 인증 정보와 토큰을 관리합니다. 이렇게 하면 인증 흐름을 처리하기 위해 커스텀 코드를 작성할 필요가 없습니다.

2-legged OAuth 워크플로

2-legged OAuth 인증 제공업체는 에이전트의 ID를 사용하며 사용자 동의가 필요하지 않습니다. Google은 클라이언트 사용자 인증 정보의 저장을 관리합니다. 에이전트 개발 키트 (ADK)를 사용하면 결과 액세스 토큰이 자동으로 검색되어 도구 호출 헤더에 삽입됩니다.

시작하기 전에

올바른 인증 방법을 선택했는지 확인합니다.
에이전트 ID 커넥터 API를 사용 설정합니다.
API 사용 설정에 필요한 역할
API를 사용 설정하려면 serviceusage.services.enable 권한이 포함된 서비스 사용량 관리자 IAM 역할(roles/serviceusage.serviceUsageAdmin)이 필요합니다. 역할 부여 방법 알아보기
API 사용 설정하기
에이전트를 만들고 배포합니다.
연결하려는 서드 파티 애플리케이션에서 클라이언트 ID 와 클라이언트 보안 비밀번호 를 가져옵니다.
이 작업을 완료하는 데 필요한 역할이 있는지 확인합니다.

필요한 역할

2-legged 에이전트 ID 인증 제공업체를 만들고 사용하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

인증 제공업체를 만들려면 다음 안내를 따르세요.
- IAM 커넥터 관리자 (roles/iamconnectors.admin)
- IAM 커넥터 편집자 (roles/iamconnectors.editor)
인증 제공업체를 사용하려면 다음 안내를 따르세요.
- IAM 커넥터 사용자 (roles/iamconnectors.user)
- 에이전트 기본 액세스 (roles/aiplatform.agentDefaultAccess)
- 에이전트 컨텍스트 편집자 (roles/aiplatform.agentContextEditor)
- Vertex AI 사용자 (roles/aiplatform.user)
- 서비스 사용량 소비자 (roles/serviceusage.serviceUsageConsumer)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 2-legged 에이전트 ID 인증 제공업체를 만들고 사용하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

2-legged 에이전트 ID 인증 제공업체를 만들고 사용하려면 다음 권한이 필요합니다.

인증 제공업체를 만들려면 다음 안내를 따르세요. iamconnectors.connectors.create
인증 제공업체를 사용하려면 다음 안내를 따르세요.
- iamconnectors.connectors.retrieveCredentials
- aiplatform.endpoints.predict
- aiplatform.sessions.create

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

2-legged 인증 제공업체 만들기

인증 제공업체를 만들어 서드 파티 애플리케이션의 구성과 사용자 인증 정보를 정의합니다.

2-legged 인증 프로바이더를 만들려면 Google Cloud 콘솔 또는 Google Cloud CLI를 사용하세요.

콘솔

콘솔에서 에이전트 레지스트리 페이지로 이동합니다. Google Cloud
에이전트 레지스트리로 이동
인증 제공업체를 만들려는 에이전트의 이름을 클릭합니다.
ID 를 클릭합니다.
인증 제공업체 섹션에서 인증 제공업체 추가 를 클릭합니다.
인증 제공업체 추가 창에서 이름과 설명을 입력합니다.

이름은 소문자, 숫자 또는 하이픈만 포함할 수 있으며 하이픈으로 끝나서는 안 되고 소문자로 시작해야 합니다.
OAuth 유형 목록에서 OAuth (2-legged) 를 선택합니다.
만들고 계속하기 를 클릭합니다.
인증 제공업체를 사용할 수 있는 에이전트 ID 권한을 부여하려면 액세스 권한 부여 를 클릭합니다.
이렇게 하면 인증 제공업체 리소스의 에이전트 ID에 커넥터 사용자 (roles/iamconnectors.user) 역할이 자동으로 할당됩니다.
인증 제공업체 사용자 인증 정보 섹션에서 다음 정보를 입력합니다.
- 클라이언트 ID
- 클라이언트 보안 비밀번호
- 토큰 URL
제공업체 구성 추가 를 클릭합니다.

새로 생성된 인증 제공업체가 인증 제공업체 목록에 표시됩니다.

Google Cloud CLI

인증 제공업체를 만듭니다.

gcloud alpha agent-identity connectors create AUTH_PROVIDER_NAME \
    --location="LOCATION" \
    --two-legged-oauth-client-id="CLIENT_ID" \
    --two-legged-oauth-client-secret="CLIENT_SECRET" \
    --two-legged-oauth-token-endpoint="TOKEN_ENDPOINT"

인증 제공업체를 사용할 수 있는 에이전트 ID 권한을 부여하려면 프로젝트 또는 특정 인증 제공업체의 IAM 허용 정책을 업데이트하고 에이전트 주 구성원에게 커넥터 사용자 (roles/iamconnectors.user) 역할을 부여합니다.

에이전트 ID는 업계 표준 SPIFFE ID 형식을 기반으로 합니다. IAM 허용 정책에서 에이전트 ID는 주 구성원 식별자 를 사용하여 참조됩니다.
프로젝트 수준 (gcloud)

프로젝트 수준에서 역할을 부여하면 에이전트가 해당 프로젝트의 모든 인증 제공업체를 사용할 수 있습니다.
- 프로젝트의 인증 제공업체에 단일 에이전트 액세스 권한을 부여하려면 다음 명령어를 실행합니다.
  gcloud projects add-iam-policy-binding PROJECT_ID \ --role='roles/iamconnectors.user' \ --member="principal://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/ENGINE_ID"
- 프로젝트의 모든 에이전트에게 인증 제공업체에 대한 액세스 권한을 부여하려면 다음 명령어를 실행합니다.
  gcloud projects add-iam-policy-binding PROJECT_ID \ --role='roles/iamconnectors.user' \ --member="principalSet://agents.global.org-ORGANIZATION_ID.system.id.goog/attribute.platformContainer/aiplatform/projects/PROJECT_NUMBER"
커넥터 수준 (curl)

특정 인증 제공업체에 단일 에이전트 액세스 권한을 부여하려면 setIamPolicy API를 사용합니다. 이 명령어는 리소스의 기존 허용 정책을 덮어씁니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d '{
  "policy": {
    "bindings": [
      {
        "role": "roles/iamconnectors.user",
        "members": ["principal://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/ENGINE_ID"]
      }
    ]
  }
}' \
    "https://iamconnectors.googleapis.com/v1alpha/projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME:setIamPolicy"
```
다음을 바꿉니다.
- PROJECT_ID: 프로젝트 ID입니다. Google Cloud
- AUTH_PROVIDER_NAME: 인증 제공업체의 이름입니다.
- ORGANIZATION_ID: 조직 ID입니다. Google Cloud
- PROJECT_NUMBER: 프로젝트 번호입니다. Google Cloud
- LOCATION: 에이전트의 위치입니다 (예: us-central1).
- ENGINE_ID: 추론 엔진의 ID입니다.

에이전트 코드에서 인증

에이전트를 인증하려면 ADK를 사용하면 됩니다.

ADK

ADK에서 MCP 도구 모음을 사용하여 에이전트의 코드에서 인증 제공업체를 참조합니다.

from google.adk.agents.llm_agent import LlmAgent
from google.adk.auth.credential_manager import CredentialManager
from google.adk.integrations.agent_identity import GcpAuthProvider, GcpAuthProviderScheme
from google.adk.tools.mcp_tool.mcp_session_manager import StreamableHTTPConnectionParams
from google.adk.tools.mcp_tool.mcp_toolset import McpToolset
from google.adk.auth.auth_tool import AuthConfig

# Register the Google Cloud Auth Provider so the CredentialManager can use it.
CredentialManager.register_auth_provider(GcpAuthProvider())

# Create the Google Cloud Auth Provider scheme using the auth provider's full resource name.
auth_scheme = GcpAuthProviderScheme(
    name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME"
)

# Configure an MCP tool with the authentication scheme.
toolset = McpToolset(
    connection_params=StreamableHTTPConnectionParams(url="https://YOUR_MCP_SERVER_URL"),
    auth_scheme=auth_scheme,
)

# Initialize the agent with the authenticated tools.
agent = LlmAgent(
    name="YOUR_AGENT_NAME",
    model="gemini-2.0-flash",
    instruction="YOUR_AGENT_INSTRUCTIONS",
    tools=[toolset],
)

ADK

ADK에서 인증된 함수 도구를 사용하여 에이전트의 코드에서 인증 제공업체를 참조합니다.

import httpx
from google.adk.agents.llm_agent import LlmAgent
from google.adk.auth.credential_manager import CredentialManager
from google.adk.integrations.agent_identity import GcpAuthProvider
from google.adk.integrations.agent_identity import GcpAuthProviderScheme
from google.adk.apps import App
from google.adk.auth.auth_credential import AuthCredential
from google.adk.auth.auth_tool import AuthConfig
from google.adk.tools.authenticated_function_tool import AuthenticatedFunctionTool
from vertexai import agent_engines

# First, register Google Cloud auth provider
CredentialManager.register_auth_provider(GcpAuthProvider())

# Create Auth Config
spotify_auth_config = AuthConfig(
    auth_scheme=GcpAuthProviderScheme(
        name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME"
    )
)

# Use the Auth Config in Authenticated Function Tool
spotify_search_track_tool = AuthenticatedFunctionTool(
    func=spotify_search_track, auth_config=spotify_auth_config
)

# Sample function tool
async def spotify_search_track(credential: AuthCredential, query: str) -> str | list:
    token = None
    if credential.http and credential.http.credentials:
        token = credential.http.credentials.token

    if not token:
        return "Error: No authentication token available."

    async with httpx.AsyncClient() as client:
        response = await client.get(
            "https://api.spotify.com/v1/search",
            headers={"Authorization": f"Bearer {token}"},
            params={"q": query, "type": "track", "limit": 1},
        )
        # Add your own logic here

agent = LlmAgent(
    name="YOUR_AGENT_NAME",
    model="YOUR_MODEL_NAME",
    instruction="YOUR_AGENT_INSTRUCTIONS",
    tools=[spotify_search_track_tool],
)

app = App(
    name="YOUR_APP_NAME",
    root_agent=agent,
)

vertex_app = agent_engines.AdkApp(app_name=app)

ADK

ADK에서 에이전트 레지스트리 MCP 도구 모음을 사용하여 에이전트의 코드에서 인증 제공업체를 참조합니다.

  from google.adk.agents.llm_agent import LlmAgent
from google.adk.auth.credential_manager import CredentialManager
from google.adk.integrations.agent_identity import GcpAuthProvider
from google.adk.integrations.agent_identity import GcpAuthProviderScheme
from google.adk.tools.mcp_tool.mcp_session_manager import StreamableHTTPConnectionParams
from google.adk.tools.mcp_tool.mcp_toolset import McpToolset
from google.adk.auth.auth_tool import AuthConfig
from google.adk.integrations.agent_registry import AgentRegistry

# First, register Google Cloud auth provider
CredentialManager.register_auth_provider(GcpAuthProvider())

# Create Google Cloud auth provider scheme by providing Auth Provider full resource name
auth_scheme = GcpAuthProviderScheme(
    name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME"
)

# Set Agent Registry
registry = AgentRegistry(project_id="PROJECT_ID", location="global")

toolset = registry.get_mcp_toolset(mcp_server_name="projects/PROJECT_ID/locations/global/mcpServers/agentregistry-00000000-0000-0000-0000-000000000000", auth_scheme=auth_scheme)

# Example MCP tool
toolset = McpToolset(
    connection_params=StreamableHTTPConnectionParams(url="MCP_URL"),
    auth_scheme=auth_scheme,
)

agent = LlmAgent(
    name="YOUR_AGENT_NAME",
    model="YOUR_MODEL_NAME",
    instruction="YOUR_AGENT_INSTRUCTIONS",
    tools=[toolset],
)

로컬 테스트를 위한 종속 항목 설치

가상 환경에서 에이전트를 로컬로 테스트하려면 다음 필수 종속 항목을 설치합니다.

가상 환경 만들기 및 활성화

python3 -m venv env
source env/bin/activate

필요한 패키지를 설치합니다.

pip install google-cloud-aiplatform[agent_engines,adk] google-adk[agent-identity]

에이전트 배포

에이전트를 Google Cloud에 배포할 때는 에이전트 ID가 사용 설정되어 있는지 확인합니다.

Agent Runtime에 배포하는 경우 identity_type=AGENT_IDENTITY 플래그를 사용합니다.

import vertexai
from vertexai import types
from vertexai.agent_engines import AdkApp

# Initialize the Vertex AI client with v1beta1 API for Agent Identity support
client = vertexai.Client(
    project="PROJECT_ID",
    location="LOCATION",
    http_options=dict(api_version="v1beta1")
)

# Use the proper wrapper class for your Agent Framework (e.g., AdkApp)
app = AdkApp(agent=agent)

# Deploy the agent with Agent Identity enabled
remote_app = client.agent_engines.create(
    agent=app,
    config={
        "identity_type": types.IdentityType.AGENT_IDENTITY,
        "requirements": ["google-cloud-aiplatform[agent_engines,adk]", "google-adk[agent-identity]"],
    },
)