Risolvere i problemi di autenticazione dell'identità dell'agente

Questo documento descrive come risolvere gli errori comuni di autenticazione utilizzando l'identità dell'agente con il gestore dell'autenticazione.

Mancata corrispondenza dell'URI di reindirizzamento

Se ricevi un errore redirect URI mismatch dall'applicazione di terze parti durante il flusso OAuth, assicurati che l'URI di reindirizzamento registrato nel portale per sviluppatori di terze parti corrisponda esattamente all'URI generato dal gestore dell'autenticazione.

Per trovare l'URI di reindirizzamento generato, visualizza i dettagli del provider di autenticazione nella Google Cloud console o esegui il seguente gcloud comando:

gcloud alpha agent-identity connectors describe AUTH_PROVIDER_NAME \
    --location="LOCATION"

Ruolo utente mancante

Se l'agente non può utilizzare il provider di autenticazione, verifica che l'identità dell'agente abbia il ruolo roles/iamconnectors.user nella risorsa del provider di autenticazione.

Problemi relativi all'endpoint dell'emittente

Per i provider OIDC, verifica che l'endpoint dell'emittente sia accessibile pubblicamente e supporti il documento di rilevamento .well-known/openid-configuration.

Se non riesci a recuperare i metadati OIDC o JWKS, assicurati che l'endpoint non sia protetto da un firewall o da una rete con limitazioni. Google Cloud

Errore 401 UNAUTHENTICATED

Se l'agente non può eseguire l'autenticazione e visualizzi il seguente errore, potrebbe essere causato da un criterio di accesso sensibile al contesto gestito da Google che applica l'associazione mTLS e le prove crittografiche DPoP:

{
  "error": {
    "code": 401,
    "message": "Request had invalid authentication credentials. Expected OAuth 2 access token, login cookie or other valid authentication credential. See https://developers.google.com/identity/sign-in/web/devconsole-project.",
    "status": "UNAUTHENTICATED"
  }
}

Puoi disattivare questo criterio di accesso sensibile al contesto predefinito se hai requisiti specifici di condivisione dei token o se devi inserire il token direttamente nell' intestazione. Per disattivare, imposta la seguente variabile di ambiente quando esegui il deployment dell'agente:

config={
  "env_vars": {
    "GOOGLE_API_PREVENT_AGENT_TOKEN_SHARING_FOR_GCP_SERVICES": False,
  }
}

Passaggi successivi

• Panoramica dell'identità dell'agente
• Autenticazione utilizzando OAuth a tre vie con il gestore dell'autenticazione
• Autenticazione utilizzando OAuth a due vie con il gestore dell'autenticazione
• Autenticazione utilizzando la chiave API con il gestore dell'autenticazione
• Gestire i provider di autenticazione dell'identità dell'agente