Resolver problemas de autenticação de identidade do agente

Neste documento, descrevemos como resolver erros comuns de autenticação usando a identidade do agente com o gerenciador de autenticação.

Falha na correspondência do URI de redirecionamento

Se você receber um erro redirect URI mismatch do aplicativo de terceiros durante o fluxo do OAuth, verifique se o URI de redirecionamento registrado no portal do desenvolvedor de terceiros corresponde exatamente ao URI gerado pelo gerenciador de autenticação.

Para encontrar o URI de redirecionamento gerado, consulte os detalhes do provedor de autenticação no Google Cloud console ou execute o seguinte gcloud comando:

gcloud alpha agent-identity connectors describe AUTH_PROVIDER_NAME \
    --location="LOCATION"

Função do usuário ausente

Se o agente não puder usar o provedor de autenticação, verifique se a identidade do agente tem o papel roles/iamconnectors.user no recurso do provedor de autenticação.

Problemas com o endpoint do emissor

Para provedores OIDC, verifique se o endpoint do emissor é acessível publicamente e oferece suporte ao documento de descoberta .well-known/openid-configuration.

Se não for possível buscar os metadados do OIDC ou o JWKS, verifique se o endpoint não está atrás de um firewall ou rede restrita. Google Cloud

Erro 401 UNAUTHENTICATED

Se o agente não puder ser autenticado e você receber o seguinte erro, ele poderá ser causado por uma política de acesso baseado no contexto gerenciada pelo Google que aplica a vinculação mTLS e as provas criptográficas DPoP:

{
  "error": {
    "code": 401,
    "message": "Request had invalid authentication credentials. Expected OAuth 2 access token, login cookie or other valid authentication credential. See https://developers.google.com/identity/sign-in/web/devconsole-project.",
    "status": "UNAUTHENTICATED"
  }
}

Você pode desativar essa política de acesso baseado no contexto padrão se tiver requisitos específicos de compartilhamento de tokens ou se precisar injetar o token diretamente no cabeçalho. Para desativar, defina a seguinte variável de ambiente ao implantar o agente:

config={
  "env_vars": {
    "GOOGLE_API_PREVENT_AGENT_TOKEN_SHARING_FOR_GCP_SERVICES": False,
  }
}

A seguir

• Visão geral da identidade do agente
• Autenticar usando o OAuth de três etapas com o gerenciador de autenticação
• Autenticar usando o OAuth de duas etapas com o gerenciador de autenticação
• Autenticar usando a chave de API com o gerenciador de autenticação
• Gerenciar provedores de autenticação de identidade do agente