Soluciona problemas de autenticación de identidad del agente

En este documento, se describe cómo resolver errores comunes de autenticación con la identidad del agente con el administrador de autenticación.

Los URI de redireccionamiento no coinciden

Si recibes un error redirect URI mismatch de la aplicación de terceros durante el flujo de OAuth, asegúrate de que el URI de redireccionamiento registrado en el portal para desarrolladores de terceros coincida exactamente con el URI generado por el administrador de autenticación.

Para encontrar el URI de redireccionamiento generado, consulta los detalles del proveedor de autenticación en la Google Cloud consola o ejecuta el siguiente gcloud comando:

gcloud alpha agent-identity connectors describe AUTH_PROVIDER_NAME \
    --location="LOCATION"

Falta el rol del usuario

Si tu agente no puede usar el proveedor de autenticación, verifica que la identidad del agente tenga el rol roles/iamconnectors.user en el recurso del proveedor de autenticación.

Problemas con el extremo del emisor

En el caso de los proveedores de OIDC, verifica que se pueda acceder públicamente al extremo del emisor y que admita el documento de descubrimiento .well-known/openid-configuration.

Si no puedes recuperar los metadatos de OIDC o JWKS, asegúrate de que el extremo no esté detrás de un firewall o una red restringida. Google Cloud

Error 401 UNAUTHENTICATED

Si tu agente no puede autenticarse y ves el siguiente error, es posible que se deba a una política de Context-Aware Access administrada por Google que aplica la vinculación de mTLS y las pruebas criptográficas de DPoP:

{
  "error": {
    "code": 401,
    "message": "Request had invalid authentication credentials. Expected OAuth 2 access token, login cookie or other valid authentication credential. See https://developers.google.com/identity/sign-in/web/devconsole-project.",
    "status": "UNAUTHENTICATED"
  }
}

Puedes inhabilitar esta política predeterminada de Context-Aware Access si tienes requisitos específicos para compartir tokens o si necesitas insertar el token directamente en el encabezado. Para inhabilitarla, configura la siguiente variable de entorno cuando implementes tu agente:

config={
  "env_vars": {
    "GOOGLE_API_PREVENT_AGENT_TOKEN_SHARING_FOR_GCP_SERVICES": False,
  }
}

¿Qué sigue?

• Descripción general de la identidad del agente
• Autentica con OAuth de 3 segmentos con el administrador de autenticación
• Autentica con OAuth de 2 segmentos con el administrador de autenticación
• Autentica con la clave de API con el administrador de autenticación
• Administra proveedores de autenticación de identidad del agente