Per consentire agli agenti di autenticarsi a strumenti esterni come le API di Google Maps o Meteo, configura l'autenticazione in uscita utilizzando i provider di autenticazione con chiave API nel gestore di autenticazione di Agent Identity.
I provider di autenticazione con chiave API gestiscono le chiavi di crittografia per te. Questa funzionalità elimina la necessità di codificare le chiavi nel codice dell'agente o di gestirle manualmente.
Flusso di lavoro della chiave API
I provider di autenticazione con chiave API utilizzano l'identità dell'agente e non richiedono il consenso dell'utente. Google adotta misure per proteggere la chiave API durante l'archiviazione. Quando utilizzi Agent Development Kit (ADK), recupera e inserisce automaticamente la chiave API nelle intestazioni di chiamata dello strumento.
Prima di iniziare
- Verifica di aver scelto il metodo di autenticazione corretto.
Abilita l'API Agent Identity Connector.
Ruoli necessari per abilitare le API
Per abilitare le API, devi disporre del ruolo IAM Amministratore Service Usage (
roles/serviceusage.serviceUsageAdmin), che contiene l'autorizzazioneserviceusage.services.enable. Scopri come concedere i ruoli.Ottieni una chiave API dal servizio di terze parti a cui vuoi connetterti.
Verifica di disporre dei ruoli necessari per completare questa attività.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per creare e utilizzare un provider di autenticazione con chiave API, chiedi all'amministratore di concederti i seguenti ruoli IAM per il progetto:
-
Per creare provider di autenticazione:
- Amministratore connettore IAM (
roles/iamconnectors.admin) - Editor connettore IAM (
roles/iamconnectors.editor)
- Amministratore connettore IAM (
-
Per utilizzare i provider di autenticazione:
- Utente connettore IAM (
roles/iamconnectors.user) - Utente Vertex AI (
roles/aiplatform.user) - Service Usage Consumer (
roles/serviceusage.serviceUsageConsumer)
- Utente connettore IAM (
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per creare e utilizzare un provider di autenticazione con chiave API. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per creare e utilizzare un provider di autenticazione con chiave API sono necessarie le seguenti autorizzazioni:
-
Per creare provider di autenticazione:
iamconnectors.connectors.create -
Per utilizzare i provider di autenticazione:
-
iamconnectors.connectors.retrieveCredentials -
aiplatform.endpoints.predict -
aiplatform.sessions.create
-
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Ottenere una chiave API dal servizio di terze parti
Prima di creare un provider di autenticazione, ottieni una chiave API dal servizio di terze parti a cui vuoi che il tuo agente si connetta.
Se ti connetti a un servizio di terze parti al di fuori di Google Cloud, ottieni la chiave API dal portale per gli sviluppatori del servizio e salta i passaggi di questa sezione.
Se ti connetti a Google Cloud servizi (come Cloud Translation o Google Maps), puoi generare e configurare una chiave API seguendo questi passaggi:
-
Nella Google Cloud console, abilita i servizi API richiesti per il tuo progetto:
- Nella Google Cloud console, vai alla pagina API e servizi >Libreria.
- Cerca e abilita le API utilizzate dall'agente, ad esempio l'API Cloud Translation o l'API Weather di Google Maps.
- Copia la stringa della chiave API generata.
Configura la chiave API:
- Nella Google Cloud console, vai alla pagina API e servizi >Credenziali.
- Fai clic su Crea credenziali >Chiave API.
- Nella finestra di dialogo Crea chiave API, procedi nel seguente modo:
- Inserisci un nome univoco per la chiave API.
- Per limitare la chiave alle API specifiche che hai abilitato, selezionale dall'elenco Seleziona restrizioni API.
- (Facoltativo) Nella sezione Limita la chiave per ridurre i rischi per la sicurezza , seleziona un tipo di applicazione per limitare l'accesso.
- Fai clic su Crea.
-
Convalida la chiave API inviando una richiesta di test all'endpoint del servizio.
-
Per verificare una chiave API Cloud Translation, esegui il comando seguente:
curl -X POST \ -H "Content-Type: application/json" \ -H "X-goog-api-key:
YOUR_API_KEY" \ -d '{"q": "Hello world", "target": "es"}' \ "https://translation.googleapis.com/language/translate/v2"Sostituisci
YOUR_API_KEYcon la chiave API che hai generato. -
Per verificare una chiave API Weather di Google Maps, esegui il comando seguente:
curl -X GET \ "https://weather.googleapis.com/v1/currentConditions:lookup?key=
YOUR_API_KEY&location.latitude=37.4220&location.longitude=-122.0841"Sostituisci
YOUR_API_KEYcon la chiave API che hai generato.
Se la chiave API è valida e configurata correttamente, il servizio restituisce i dati richiesti.
-
Creare un provider di autenticazione con chiave API
Crea un provider di autenticazione per definire la configurazione e le credenziali per le applicazioni di terze parti.
Per creare un provider di autenticazione con chiave API, utilizza la Google Cloud console o Google Cloud CLI.
Console
- Nella Google Cloud console, vai alla pagina Registro agenti.
- Fai clic sul nome dell'agente per cui vuoi creare un provider di autenticazione.
- Fai clic su Identità.
- Nella sezione Provider di autenticazione, fai clic su Aggiungi provider di autenticazione.
-
Nel riquadro Aggiungi provider di autenticazione, inserisci un nome e una descrizione.
Il nome può contenere solo lettere minuscole, numeri o trattini, non può terminare con un trattino e deve iniziare con una lettera minuscola.
- Nell'elenco Tipo OAuth, seleziona Chiave API .
- Fai clic su Crea e continua.
- Per concedere all'identità dell'agente l'autorizzazione a utilizzare il provider di autenticazione, fai clic su Concedi accesso.
In questo modo, il ruolo Utente connettore (
roles/iamconnectors.user) viene assegnato automaticamente all'identità dell'agente nella risorsa del provider di autenticazione. - Nella sezione Credenziali del provider di autenticazione, inserisci la chiave API.
- Fai clic su Aggiungi configurazione del provider.
Il provider di autenticazione appena creato viene visualizzato nell'elenco Provider di autenticazione.
Google Cloud CLI
-
Crea il provider di autenticazione:
gcloud alpha agent-identity connectors create
AUTH_PROVIDER_NAME\ --project="PROJECT_ID" \ --location="LOCATION" \ --api-key="API_KEY" - Verifica che il provider di autenticazione sia visualizzato nell'elenco e che il suo stato sia
ENABLED:gcloud alpha agent-identity connectors list \ --project="
PROJECT_ID" \ --location="LOCATION" -
Concedi le autorizzazioni di accesso per consentire all'agente e all'ambiente di sviluppo locale di recuperare le credenziali dal provider di autenticazione. Per consentire all'agente di cui hai eseguito il deployment e al tuo account utente personale di accedere al provider di autenticazione, concedi il ruolo Utente connettore (
roles/iamconnectors.user) nella risorsa del provider di autenticazione:-
Concedi l'accesso all'ID SPIFFE dell'agente di cui hai eseguito il deployment (Agent Identity):
gcloud alpha agent-identity connectors add-iam-policy-binding
AUTH_PROVIDER_NAME\ --project="PROJECT_ID" \ --location="LOCATION" \ --role="roles/iamconnectors.user" \ --member="principal://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/ENGINE_ID" -
Concedi l'accesso al tuo account utente personale per lo sviluppo e il test locali (
adk web):gcloud alpha agent-identity connectors add-iam-policy-binding
AUTH_PROVIDER_NAME\ --project="PROJECT_ID" \ --location="LOCATION" \ --role="roles/iamconnectors.user" \ --member="user:USER_EMAIL"
-
Sostituisci quanto segue:
PROJECT_ID: l' Google Cloud ID progetto.LOCATION: la località in cui sono stati eseguiti il deployment del provider di autenticazione e dell'agente (ad esempio,us-west1).AUTH_PROVIDER_NAME: il nome del provider di autenticazione (ad esempio,bigquery-mcp-3lo-authprovider).AUTHORIZATION_URL: l'URL del server di autorizzazione (ad esempio,https://accounts.google.com/o/oauth2/v2/auth).TOKEN_URL: l'URL del server token (ad esempio,https://oauth2.googleapis.com/token).CLIENT_ID: l'ID client OAuth generato dal servizio di terze parti.CLIENT_SECRET: il client secret OAuth generato dal servizio di terze parti.ORGANIZATION_ID: l' Google Cloud ID organizzazione.PROJECT_NUMBER: il Google Cloud numero del progetto.ENGINE_ID: l'ID dell'agente del motore di ragionamento di cui hai eseguito il deployment.USER_EMAIL: l'indirizzo email del tuo account utente personale.
Autenticarsi nel codice dell'agente
Per autenticare l'agente, puoi utilizzare ADK.
ADK
Fai riferimento al provider di autenticazione nel codice dell'agente utilizzando il set di strumenti MCP in ADK.
from google.adk.agents.llm_agent import LlmAgent from google.adk.auth.credential_manager import CredentialManager from google.adk.integrations.agent_identity import GcpAuthProvider, GcpAuthProviderScheme from google.adk.tools.mcp_tool.mcp_session_manager import StreamableHTTPConnectionParams from google.adk.tools.mcp_tool.mcp_toolset import McpToolset from google.adk.auth.auth_tool import AuthConfig # Register the Google Cloud auth provider so the CredentialManager can use it. CredentialManager.register_auth_provider(GcpAuthProvider()) # Create the Google Cloud auth provider scheme using the auth provider's full resource name. auth_scheme = GcpAuthProviderScheme( name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME" ) # Configure an MCP tool with the authentication scheme. toolset = McpToolset( connection_params=StreamableHTTPConnectionParams(url="https://YOUR_MCP_SERVER_URL"), auth_scheme=auth_scheme, ) # Initialize the agent with the authenticated tools. agent = LlmAgent( name="AGENT_NAME", model="gemini-2.5-flash", instruction="AGENT_INSTRUCTIONS", tools=[toolset], )
Esempio: connessione a Google Maps MCP
L'esempio seguente mostra una configurazione agent.py che connette un agente a un server MCP di Google Maps:
import os from google.adk.agents import Agent from google.adk.apps import App from google.adk.auth.credential_manager import CredentialManager from google.adk.integrations.agent_identity import GcpAuthProvider, GcpAuthProviderScheme from google.adk.models import Gemini from google.adk.tools.mcp_tool.mcp_session_manager import StreamableHTTPConnectionParams from google.adk.tools.mcp_tool.mcp_toolset import McpToolset os.environ["GOOGLE_CLOUD_PROJECT"] = "PROJECT_ID" os.environ["GOOGLE_GENAI_USE_VERTEXAI"] = "True" # Register GCP auth provider for Agent Identity Credentials service CredentialManager.register_auth_provider(GcpAuthProvider()) maps_auth_scheme = GcpAuthProviderScheme( name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME" ) maps_tools = McpToolset( connection_params=StreamableHTTPConnectionParams(url="https://mapstools.googleapis.com/mcp"), auth_scheme=maps_auth_scheme, errlog=None, ) root_agent = Agent( name="root_agent", model=Gemini(model="gemini-2.5-flash"), instruction="You are a helpful AI assistant designed to provide accurate and useful information. You can also use your Google Maps tools to look up locations and directions.", tools=[maps_tools], ) app = App( root_agent=root_agent, name="AGENT_NAME", )
ADK
Fai riferimento al provider di autenticazione nel codice dell'agente utilizzando uno strumento di funzione autenticata in ADK.
import httpx from google.adk.agents.llm_agent import LlmAgent from google.adk.auth.credential_manager import CredentialManager from google.adk.integrations.agent_identity import GcpAuthProvider from google.adk.integrations.agent_identity import GcpAuthProviderScheme from google.adk.apps import App from google.adk.auth.auth_credential import AuthCredential from google.adk.auth.auth_tool import AuthConfig from google.adk.tools.authenticated_function_tool import AuthenticatedFunctionTool from vertexai import agent_engines # First, register Google Cloud auth provider CredentialManager.register_auth_provider(GcpAuthProvider()) # Create Auth Config spotify_auth_config = AuthConfig( auth_scheme=GcpAuthProviderScheme( name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME" ) ) # Use the Auth Config in Authenticated Function Tool spotify_search_track_tool = AuthenticatedFunctionTool( func=spotify_search_track, auth_config=spotify_auth_config ) # Sample function tool async def spotify_search_track(credential: AuthCredential, query: str) -> str | list: token = None if credential.http and credential.http.credentials: token = credential.http.credentials.token if not token: return "Error: No authentication token available." async with httpx.AsyncClient() as client: response = await client.get( "https://api.spotify.com/v1/search", headers={"Authorization": f"Bearer {token}"}, params={"q": query, "type": "track", "limit": 1}, ) # Add your own logic here agent = LlmAgent( name="AGENT_NAME", model="gemini-2.5-flash", instruction="AGENT_INSTRUCTIONS", tools=[spotify_search_track_tool], ) app = App( name="APP_NAME", root_agent=agent, ) vertex_app = agent_engines.AdkApp(app_name=app)
Esempio: connessione all'API Weather di Google Maps
L'esempio seguente mostra una configurazione agent.py che connette un agente all'API Weather di Google Maps utilizzando uno strumento di funzione autenticata:
import os import httpx from google.adk.agents import Agent from google.adk.apps import App from google.adk.auth.auth_credential import AuthCredential from google.adk.auth.auth_tool import AuthConfig from google.adk.auth.credential_manager import CredentialManager from google.adk.integrations.agent_identity import GcpAuthProvider, GcpAuthProviderScheme from google.adk.models import Gemini from google.adk.tools.authenticated_function_tool import AuthenticatedFunctionTool os.environ["GOOGLE_CLOUD_PROJECT"] = "PROJECT_ID" os.environ["GOOGLE_GENAI_USE_VERTEXAI"] = "True" # Register GCP auth provider for Agent Identity Credentials service CredentialManager.register_auth_provider(GcpAuthProvider()) weather_auth_config = AuthConfig( auth_scheme=GcpAuthProviderScheme( name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME" ) ) async def get_weather(credential: AuthCredential, latitude: float, longitude: float) -> str | dict: """Gets the current weather conditions for a location using latitude and longitude.""" api_key = None if http := credential.http: if http.additional_headers and "X-GOOG-API-KEY" in http.additional_headers: api_key = http.additional_headers["X-GOOG-API-KEY"] elif http.credentials and http.credentials.token: api_key = http.credentials.token if not api_key: return "Error: No API key available from the auth provider." params = {"location.latitude": latitude, "location.longitude": longitude, "key": api_key} async with httpx.AsyncClient() as client: response = await client.get( "https://weather.googleapis.com/v1/currentConditions:lookup", params=params, ) if response.status_code != 200: return f"Error from Weather API: {response.status_code} - {response.text}" return response.json() get_weather_tool = AuthenticatedFunctionTool( func=get_weather, auth_config=weather_auth_config ) root_agent = Agent( name="root_agent", model=Gemini(model="gemini-2.5-flash"), instruction="You are a helpful AI assistant. You will use your weather tool to look up current conditions.", tools=[get_weather_tool], ) app = App( root_agent=root_agent, name="AGENT_NAME", )
ADK
Fai riferimento al provider di autenticazione nel codice dell'agente utilizzando il set di strumenti MCP del Registro agenti in ADK.
from google.adk.agents.llm_agent import LlmAgent from google.adk.auth.credential_manager import CredentialManager from google.adk.integrations.agent_identity import GcpAuthProvider from google.adk.integrations.agent_identity import GcpAuthProviderScheme from google.adk.tools.mcp_tool.mcp_session_manager import StreamableHTTPConnectionParams from google.adk.tools.mcp_tool.mcp_toolset import McpToolset from google.adk.auth.auth_tool import AuthConfig from google.adk.integrations.agent_registry import AgentRegistry # First, register Google Cloud auth provider CredentialManager.register_auth_provider(GcpAuthProvider()) # Create Google Cloud auth provider scheme by providing Auth Provider full resource name auth_scheme = GcpAuthProviderScheme( name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME" ) # Set Agent Registry registry = AgentRegistry(project_id="PROJECT_ID", location="global") toolset = registry.get_mcp_toolset(mcp_server_name="projects/PROJECT_ID/locations/global/mcpServers/agentregistry-00000000-0000-0000-0000-000000000000", auth_scheme=auth_scheme) # Example MCP tool toolset = McpToolset( connection_params=StreamableHTTPConnectionParams(url="MCP_URL"), auth_scheme=auth_scheme, ) agent = LlmAgent( name="AGENT_NAME", model="MODEL_NAME", instruction="AGENT_INSTRUCTIONS", tools=[toolset], )
Eseguire il deployment dell'agente
Quando esegui il deployment dell'agente in Google Cloud, assicurati che Agent Identity sia abilitato.
Se esegui il deployment in
Agent Runtime su Gemini Enterprise Agent Platform
, utilizza il identity_type=AGENT_IDENTITY
flag:
import vertexai
from vertexai import types
from vertexai.agent_engines import AdkApp
# Initialize the Vertex AI client with v1beta1 API for Agent Identity support
client = vertexai.Client(
project="PROJECT_ID",
location="LOCATION",
http_options=dict(api_version="v1beta1")
)
# Use the proper wrapper class for your Agent Framework (e.g., AdkApp)
app = AdkApp(agent=agent)
# Deploy the agent with Agent Identity enabled
remote_app = client.agent_engines.create(
agent=app,
config={
"identity_type": types.IdentityType.AGENT_IDENTITY,
"requirements": ["google-cloud-aiplatform[agent_engines,adk]", "google-adk[agent-identity]"],
},
)
Passaggi successivi
- Risolvere i problemi di autenticazione di Agent Identity
- Panoramica di Agent Identity
- Autenticarsi utilizzando OAuth a tre vie con il gestore di autenticazione
- Autenticarsi utilizzando OAuth a due vie con il gestore di autenticazione
- Gestire i provider di autenticazione di Agent Identity