このドキュメントでは、auth manager を使用したエージェント ID による認証で発生する一般的な エラーの解決方法について説明します。
リダイレクト URI の不一致
OAuth フロー中にサードパーティ アプリケーションから redirect URI mismatch エラーが表示された場合は、サードパーティ デベロッパー ポータルに登録されているリダイレクト URI が、auth manager によって生成された URI と完全に一致していることを確認してください。
生成されたリダイレクト URI を確認するには、
Google Cloud コンソールで認証プロバイダの詳細を表示するか、次の gcloud コマンドを実行します。
gcloud alpha agent-identity connectors describeAUTH_PROVIDER_NAME\ --location="LOCATION"
ユーザーロールが割り当てられていない
エージェントが認証プロバイダを使用できない場合は、エージェント ID に認証プロバイダ リソースに対する roles/iamconnectors.user ロールがあることを確認します。
発行元エンドポイントの問題
OIDC プロバイダの場合は、発行元エンドポイントが一般公開されており、.well-known/openid-configuration ディスカバリ ドキュメントをサポートしていることを確認します。
が OIDC メタデータまたは JWKS を取得できない場合は、 エンドポイントがファイアウォールまたは制限付きネットワークの背後にないことを確認します。 Google Cloud
401 UNAUTHENTICATED エラー
エージェントが認証できず、次のエラーが表示される場合は、mTLS バインディングと DPoP 暗号証明を適用する Google マネージド コンテキストアウェア アクセス ポリシーが原因である可能性があります。
{
"error": {
"code": 401,
"message": "Request had invalid authentication credentials. Expected OAuth 2 access token, login cookie or other valid authentication credential. See https://developers.google.com/identity/sign-in/web/devconsole-project.",
"status": "UNAUTHENTICATED"
}
}
特定の トークン共有要件がある場合や、 ヘッダーにトークンを直接挿入する必要がある場合は、このデフォルトのコンテキストアウェア アクセス ポリシーをオプトアウトできます。オプトアウトするには、エージェントのデプロイ時に次の環境変数 を 設定します:
config={ "env_vars": { "GOOGLE_API_PREVENT_AGENT_TOKEN_SHARING_FOR_GCP_SERVICES": False, } }
次のステップ
- エージェント ID の概要
- auth manager で 3-legged OAuth を使用して認証する
- auth manager で 2-legged OAuth を使用して認証する
- auth manager で API キーを使用して認証する
- エージェント ID 認証プロバイダを管理する