Probleme mit der Authentifizierung der Agent-Identität beheben

In diesem Dokument wird beschrieben, wie Sie häufige Fehler bei der Authentifizierung mit der Agent-Identität mit dem Auth Manager beheben.

Nicht übereinstimmender Weiterleitungs-URI

Wenn Sie während des OAuth-Ablaufs einen redirect URI mismatch-Fehler von der Drittanbieteranwendung erhalten, prüfen Sie, ob der im Drittanbieter-Entwicklerportal registrierte Weiterleitungs-URI genau mit dem vom Auth Manager generierten URI übereinstimmt.

Den generierten Weiterleitungs-URI finden Sie in den Details des Auth-Anbieters in der Google Cloud Console oder indem Sie den folgenden gcloud Befehl ausführen:

gcloud alpha agent-identity connectors describe AUTH_PROVIDER_NAME \
    --location="LOCATION"

Fehlende Nutzerrolle

Wenn Ihr Agent den Authentifizierungsanbieter nicht verwenden kann, prüfen Sie, ob die Agent-Identität die Rolle roles/iamconnectors.user für die Authentifizierungsanbieterressource hat.

Probleme mit dem Ausstellerendpunkt

Prüfen Sie bei OIDC-Anbietern, ob der Ausstellerendpunkt öffentlich zugänglich ist und das Discovery-Dokument .well-known/openid-configuration unterstützt.

Wenn Sie die OIDC-Metadaten oder JWKS nicht abrufen können, prüfen Sie, ob sich der Endpunkt hinter einer Firewall oder in einem eingeschränkten Netzwerk befindet. Google Cloud

Fehler 401 UNAUTHENTICATED

Wenn sich Ihr Agent nicht authentifizieren kann und der folgende Fehler angezeigt wird, kann dies an einer von Google verwalteten Richtlinie für den kontextsensitiven Zugriff liegen, die die mTLS-Bindung und kryptografische DPoP-Nachweise erzwingt:

{
  "error": {
    "code": 401,
    "message": "Request had invalid authentication credentials. Expected OAuth 2 access token, login cookie or other valid authentication credential. See https://developers.google.com/identity/sign-in/web/devconsole-project.",
    "status": "UNAUTHENTICATED"
  }
}

Sie können diese Standardrichtlinie für den kontextsensitiven Zugriff deaktivieren, wenn Sie bestimmte Anforderungen an die Tokenfreigabe haben oder das Token direkt in den Header einfügen müssen. Setzen Sie dazu beim Bereitstellen des Agents die folgende Umgebungsvariable wenn Sie Ihren Agenten bereitstellen:

config={
  "env_vars": {
    "GOOGLE_API_PREVENT_AGENT_TOKEN_SHARING_FOR_GCP_SERVICES": False,
  }
}

Nächste Schritte

• Übersicht über die Agent-Identität
• Mit dreibeinigem OAuth und dem Auth Manager authentifizieren
• Mit zweibeinigem OAuth und dem Auth Manager authentifizieren
• Mit einem API-Schlüssel und dem Auth Manager authentifizieren
• Authentifizierungsanbieter für die Agent-Identität verwalten