Para permitir que seus agentes se autentiquem em ferramentas externas, como as APIs do Google Maps ou do clima, configure a autenticação de saída usando provedores de autenticação de chave de API no gerenciador de autenticação de identidade do agente.
Os provedores de autenticação de chaves de API gerenciam suas chaves criptográficas. Com esse recurso, não é mais necessário codificar chaves no código do agente nem gerenciá-las manualmente.
Fluxo de trabalho da chave de API
Os provedores de autenticação de chave de API usam a identidade do agente e não exigem o consentimento do usuário. O Google toma medidas para ajudar a proteger a chave de API durante o armazenamento. Quando você usa o Kit de Desenvolvimento de Agente (ADK), ele recupera e injeta automaticamente a chave de API nos cabeçalhos de invocação da ferramenta.
Antes de começar
- Verifique se você escolheu o método de autenticação correto.
Ative a API Agent Identity Connector.
Funções necessárias para ativar APIs
Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (
roles/serviceusage.serviceUsageAdmin), que contém a permissãoserviceusage.services.enable. Saiba como conceder papéis.Receba uma chave de API do serviço de terceiros a que você quer se conectar.
Verifique se você tem os papéis necessários para concluir esta tarefa.
Funções exigidas
Para receber as permissões necessárias para criar e usar um provedor de autenticação de chave de API, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
-
Para criar provedores de autenticação:
- Administrador do conector do IAM (
roles/iamconnectors.admin) - Editor do conector do IAM (
roles/iamconnectors.editor)
- Administrador do conector do IAM (
-
Para usar provedores de autenticação:
- Usuário do conector do IAM (
roles/iamconnectors.user) - Usuário da Vertex AI (
roles/aiplatform.user) - Consumidor do Service Usage (
roles/serviceusage.serviceUsageConsumer)
- Usuário do conector do IAM (
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para criar e usar um provedor de autenticação de chave de API. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para criar e usar um provedor de autenticação de chave de API:
-
Para criar provedores de autenticação:
iamconnectors.connectors.create -
Para usar provedores de autenticação:
-
iamconnectors.connectors.retrieveCredentials -
aiplatform.endpoints.predict -
aiplatform.sessions.create
-
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Receber uma chave de API do serviço de terceiros
Antes de criar um provedor de autenticação, obtenha uma chave de API do serviço de terceiros a que você quer que seu agente se conecte.
Se você estiver se conectando a um serviço de terceiros fora do Google Cloud, extraia a chave de API do portal para desenvolvedores desse serviço e pule as etapas desta seção.
Se você estiver se conectando a serviços Google Cloud (como o Cloud Translation ou o Google Maps), gere e configure uma chave de API seguindo estas etapas:
-
No console do Google Cloud , ative os serviços de API necessários para seu projeto:
- No console do Google Cloud , acesse a página APIs e serviços >Biblioteca.
- Pesquise e ative as APIs usadas pelo seu agente, como a API Cloud Translation ou a API Google Maps Weather.
- Copie a string da chave de API gerada.
Configure sua chave de API:
- No console Google Cloud , acesse a página APIs e serviços >Credenciais.
- Clique em Criar credenciais >Chave de API.
- Na caixa de diálogo Criar chave de API, faça o seguinte:
- Insira um nome exclusivo para a chave de API.
- Para restringir a chave às APIs específicas que você ativou, selecione essas APIs na lista Selecionar restrições de API.
- Opcional: na seção Restrinja sua chave para reduzir os riscos de segurança, selecione um tipo de aplicativo para restringir o acesso.
- Clique em Criar.
-
Valide sua chave de API enviando uma solicitação de teste para o endpoint do serviço.
-
Para verificar uma chave API Cloud Translation, execute o seguinte comando:
curl -X POST \ -H "Content-Type: application/json" \ -H "X-goog-api-key:
YOUR_API_KEY" \ -d '{"q": "Hello world", "target": "es"}' \ "https://translation.googleapis.com/language/translate/v2"Substitua
YOUR_API_KEYpela chave de API que você gerou. -
Para verificar uma chave da API Google Maps Weather, execute o seguinte comando:
curl -X GET \ "https://weather.googleapis.com/v1/currentConditions:lookup?key=
YOUR_API_KEY&location.latitude=37.4220&location.longitude=-122.0841"Substitua
YOUR_API_KEYpela chave de API que você gerou.
Se a chave de API for válida e estiver configurada corretamente, o serviço vai retornar os dados solicitados.
-
Criar um provedor de autenticação de chave de API
Crie um provedor de autenticação para definir a configuração e as credenciais de aplicativos de terceiros.
Para criar um provedor de autenticação de chave de API, use o console Google Cloud ou a Google Cloud CLI.
Console
- No console Google Cloud , acesse a página Registro de agentes.
- Clique no nome do agente para o qual você quer criar um provedor de autenticação.
- Clique em Identidade.
- Na seção Provedores de autenticação, clique em Adicionar provedor de autenticação.
-
No painel Adicionar provedor de autenticação, insira um nome e uma descrição.
O nome só pode conter letras minúsculas, números ou hifens, não pode terminar com um hífen e precisa começar com uma letra minúscula.
- Na lista Tipo de OAuth, selecione Chave de API .
- Clique em Criar e continuar.
- Para conceder à identidade do agente permissão para usar o provedor de autenticação, clique em Conceder acesso.
Isso atribui automaticamente a função Usuário do conector (
roles/iamconnectors.user) à identidade do agente no recurso do provedor de autenticação. - Na seção Credenciais do provedor de autenticação, insira a chave de API.
- Clique em Adicionar configuração de provedor.
O provedor de autenticação recém-criado aparece na lista Provedores de autenticação.
CLI do Google Cloud
-
Crie o provedor de autenticação:
gcloud alpha agent-identity connectors create
AUTH_PROVIDER_NAME\ --project="PROJECT_ID" \ --location="LOCATION" \ --api-key="API_KEY" - Verifique se o provedor de autenticação aparece na lista e se o estado dele é
ENABLED:gcloud alpha agent-identity connectors list \ --project="
PROJECT_ID" \ --location="LOCATION" -
Conceda permissões de acesso para permitir que seu agente e o ambiente de desenvolvimento local recuperem credenciais do provedor de autenticação. Para permitir que o agente implantado e sua conta de usuário pessoal acessem o provedor de autenticação, conceda o papel Usuário do conector (
roles/iamconnectors.user) no recurso do provedor de autenticação:-
Conceda acesso ao ID do SPIFFE do seu agente implantado (identidade do agente):
gcloud alpha agent-identity connectors add-iam-policy-binding
AUTH_PROVIDER_NAME\ --project="PROJECT_ID" \ --location="LOCATION" \ --role="roles/iamconnectors.user" \ --member="principal://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/ENGINE_ID" -
Conceda acesso à sua conta de usuário pessoal para desenvolvimento e testes locais (
adk web):gcloud alpha agent-identity connectors add-iam-policy-binding
AUTH_PROVIDER_NAME\ --project="PROJECT_ID" \ --location="LOCATION" \ --role="roles/iamconnectors.user" \ --member="user:USER_EMAIL"
-
Substitua:
PROJECT_ID: o ID do projeto do Google Cloud .LOCATION: o local em que seu provedor de autenticação e agente estão implantados (por exemplo,us-west1).AUTH_PROVIDER_NAME: o nome do provedor de autenticação (por exemplo,bigquery-mcp-3lo-authprovider).AUTHORIZATION_URL: o URL do servidor de autorização (por exemplo,https://accounts.google.com/o/oauth2/v2/auth).TOKEN_URL: o URL do servidor de token (por exemplo,https://oauth2.googleapis.com/token).CLIENT_ID: o ID do cliente OAuth gerado pelo serviço de terceiros.CLIENT_SECRET: a chave secreta do cliente OAuth gerada pelo serviço de terceiros.ORGANIZATION_ID: o ID da sua organização Google Cloud .PROJECT_NUMBER: o número do projeto do Google Cloud .ENGINE_ID: o ID do agente do mecanismo de raciocínio implantado.USER_EMAIL: o endereço de e-mail da sua conta de usuário pessoal.
Fazer a autenticação no código do agente
Para autenticar seu agente, use o ADK.
ADK
Faça referência ao provedor de autenticação no código do seu agente usando o conjunto de ferramentas do MCP no ADK.
from google.adk.agents.llm_agent import LlmAgent from google.adk.auth.credential_manager import CredentialManager from google.adk.integrations.agent_identity import GcpAuthProvider, GcpAuthProviderScheme from google.adk.tools.mcp_tool.mcp_session_manager import StreamableHTTPConnectionParams from google.adk.tools.mcp_tool.mcp_toolset import McpToolset from google.adk.auth.auth_tool import AuthConfig # Register the Google Cloud auth provider so the CredentialManager can use it. CredentialManager.register_auth_provider(GcpAuthProvider()) # Create the Google Cloud auth provider scheme using the auth provider's full resource name. auth_scheme = GcpAuthProviderScheme( name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME" ) # Configure an MCP tool with the authentication scheme. toolset = McpToolset( connection_params=StreamableHTTPConnectionParams(url="https://YOUR_MCP_SERVER_URL"), auth_scheme=auth_scheme, ) # Initialize the agent with the authenticated tools. agent = LlmAgent( name="AGENT_NAME", model="gemini-2.5-flash", instruction="AGENT_INSTRUCTIONS", tools=[toolset], )
Exemplo: conexão com o MCP do Google Maps
O exemplo a seguir demonstra uma configuração agent.py que conecta um agente a um servidor do MCP do Google Maps:
import os from google.adk.agents import Agent from google.adk.apps import App from google.adk.auth.credential_manager import CredentialManager from google.adk.integrations.agent_identity import GcpAuthProvider, GcpAuthProviderScheme from google.adk.models import Gemini from google.adk.tools.mcp_tool.mcp_session_manager import StreamableHTTPConnectionParams from google.adk.tools.mcp_tool.mcp_toolset import McpToolset os.environ["GOOGLE_CLOUD_PROJECT"] = "PROJECT_ID" os.environ["GOOGLE_GENAI_USE_VERTEXAI"] = "True" # Register GCP auth provider for Agent Identity Credentials service CredentialManager.register_auth_provider(GcpAuthProvider()) maps_auth_scheme = GcpAuthProviderScheme( name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME" ) maps_tools = McpToolset( connection_params=StreamableHTTPConnectionParams(url="https://mapstools.googleapis.com/mcp"), auth_scheme=maps_auth_scheme, errlog=None, ) root_agent = Agent( name="root_agent", model=Gemini(model="gemini-2.5-flash"), instruction="You are a helpful AI assistant designed to provide accurate and useful information. You can also use your Google Maps tools to look up locations and directions.", tools=[maps_tools], ) app = App( root_agent=root_agent, name="AGENT_NAME", )
ADK
Faça referência ao provedor de autenticação no código do agente usando uma ferramenta de função autenticada no ADK.
import httpx from google.adk.agents.llm_agent import LlmAgent from google.adk.auth.credential_manager import CredentialManager from google.adk.integrations.agent_identity import GcpAuthProvider from google.adk.integrations.agent_identity import GcpAuthProviderScheme from google.adk.apps import App from google.adk.auth.auth_credential import AuthCredential from google.adk.auth.auth_tool import AuthConfig from google.adk.tools.authenticated_function_tool import AuthenticatedFunctionTool from vertexai import agent_engines # First, register Google Cloud auth provider CredentialManager.register_auth_provider(GcpAuthProvider()) # Create Auth Config spotify_auth_config = AuthConfig( auth_scheme=GcpAuthProviderScheme( name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME" ) ) # Use the Auth Config in Authenticated Function Tool spotify_search_track_tool = AuthenticatedFunctionTool( func=spotify_search_track, auth_config=spotify_auth_config ) # Sample function tool async def spotify_search_track(credential: AuthCredential, query: str) -> str | list: token = None if credential.http and credential.http.credentials: token = credential.http.credentials.token if not token: return "Error: No authentication token available." async with httpx.AsyncClient() as client: response = await client.get( "https://api.spotify.com/v1/search", headers={"Authorization": f"Bearer {token}"}, params={"q": query, "type": "track", "limit": 1}, ) # Add your own logic here agent = LlmAgent( name="AGENT_NAME", model="gemini-2.5-flash", instruction="AGENT_INSTRUCTIONS", tools=[spotify_search_track_tool], ) app = App( name="APP_NAME", root_agent=agent, ) vertex_app = agent_engines.AdkApp(app_name=app)
Exemplo: como se conectar à API Weather do Google Maps
O exemplo a seguir demonstra uma configuração agent.py que conecta um agente à API Google Maps Weather usando uma ferramenta de função autenticada:
import os import httpx from google.adk.agents import Agent from google.adk.apps import App from google.adk.auth.auth_credential import AuthCredential from google.adk.auth.auth_tool import AuthConfig from google.adk.auth.credential_manager import CredentialManager from google.adk.integrations.agent_identity import GcpAuthProvider, GcpAuthProviderScheme from google.adk.models import Gemini from google.adk.tools.authenticated_function_tool import AuthenticatedFunctionTool os.environ["GOOGLE_CLOUD_PROJECT"] = "PROJECT_ID" os.environ["GOOGLE_GENAI_USE_VERTEXAI"] = "True" # Register GCP auth provider for Agent Identity Credentials service CredentialManager.register_auth_provider(GcpAuthProvider()) weather_auth_config = AuthConfig( auth_scheme=GcpAuthProviderScheme( name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME" ) ) async def get_weather(credential: AuthCredential, latitude: float, longitude: float) -> str | dict: """Gets the current weather conditions for a location using latitude and longitude.""" api_key = None if http := credential.http: if http.additional_headers and "X-GOOG-API-KEY" in http.additional_headers: api_key = http.additional_headers["X-GOOG-API-KEY"] elif http.credentials and http.credentials.token: api_key = http.credentials.token if not api_key: return "Error: No API key available from the auth provider." params = {"location.latitude": latitude, "location.longitude": longitude, "key": api_key} async with httpx.AsyncClient() as client: response = await client.get( "https://weather.googleapis.com/v1/currentConditions:lookup", params=params, ) if response.status_code != 200: return f"Error from Weather API: {response.status_code} - {response.text}" return response.json() get_weather_tool = AuthenticatedFunctionTool( func=get_weather, auth_config=weather_auth_config ) root_agent = Agent( name="root_agent", model=Gemini(model="gemini-2.5-flash"), instruction="You are a helpful AI assistant. You will use your weather tool to look up current conditions.", tools=[get_weather_tool], ) app = App( root_agent=root_agent, name="AGENT_NAME", )
ADK
Faça referência ao provedor de autenticação no código do agente usando o conjunto de ferramentas MCP do registro de agentes no ADK.
from google.adk.agents.llm_agent import LlmAgent from google.adk.auth.credential_manager import CredentialManager from google.adk.integrations.agent_identity import GcpAuthProvider from google.adk.integrations.agent_identity import GcpAuthProviderScheme from google.adk.tools.mcp_tool.mcp_session_manager import StreamableHTTPConnectionParams from google.adk.tools.mcp_tool.mcp_toolset import McpToolset from google.adk.auth.auth_tool import AuthConfig from google.adk.integrations.agent_registry import AgentRegistry # First, register Google Cloud auth provider CredentialManager.register_auth_provider(GcpAuthProvider()) # Create Google Cloud auth provider scheme by providing Auth Provider full resource name auth_scheme = GcpAuthProviderScheme( name="projects/PROJECT_ID/locations/LOCATION/connectors/AUTH_PROVIDER_NAME" ) # Set Agent Registry registry = AgentRegistry(project_id="PROJECT_ID", location="global") toolset = registry.get_mcp_toolset(mcp_server_name="projects/PROJECT_ID/locations/global/mcpServers/agentregistry-00000000-0000-0000-0000-000000000000", auth_scheme=auth_scheme) # Example MCP tool toolset = McpToolset( connection_params=StreamableHTTPConnectionParams(url="MCP_URL"), auth_scheme=auth_scheme, ) agent = LlmAgent( name="AGENT_NAME", model="MODEL_NAME", instruction="AGENT_INSTRUCTIONS", tools=[toolset], )
Implantar o agente
Ao implantar o agente no Google Cloud, verifique se a identidade do agente está ativada.
Se você estiver implantando no
Agent Runtime na Gemini Enterprise Agent Platform
, use a flag identity_type=AGENT_IDENTITY:
import vertexai
from vertexai import types
from vertexai.agent_engines import AdkApp
# Initialize the Vertex AI client with v1beta1 API for Agent Identity support
client = vertexai.Client(
project="PROJECT_ID",
location="LOCATION",
http_options=dict(api_version="v1beta1")
)
# Use the proper wrapper class for your Agent Framework (e.g., AdkApp)
app = AdkApp(agent=agent)
# Deploy the agent with Agent Identity enabled
remote_app = client.agent_engines.create(
agent=app,
config={
"identity_type": types.IdentityType.AGENT_IDENTITY,
"requirements": ["google-cloud-aiplatform[agent_engines,adk]", "google-adk[agent-identity]"],
},
)
A seguir
- Resolver problemas de autenticação de identidade do agente
- Visão geral da identidade do agente
- Autenticar usando o OAuth de três etapas com o gerenciador de autenticação
- Autenticar usando o OAuth de duas etapas com o gerenciador de autenticação
- Gerenciar provedores de autenticação de identidade do agente