Gemini API への認証の最も簡単な方法は、 Gemini API クイックスタートの説明に従って API キーを構成することです。より厳格なアクセス制御が必要な場合は、代わりに OAuth を使用できます。このガイドでは、OAuth を使用して認証を設定する方法について説明します。
このガイドでは、テスト環境に適した簡素化された認証方法を使用します。本番環境の場合は、アプリに適したアクセス認証情報を選択する前に、認証と認可について学習してください。
目標
- OAuth 用にクラウド プロジェクトを設定する
- アプリケーションのデフォルト認証情報を設定する
gcloud authを使用する代わりに、プログラムで認証情報を管理する
前提条件
このクイックスタートを実行するには、次のものが必要です。
クラウド プロジェクトを設定する
このクイックスタートを完了するには、まず Cloud プロジェクトを設定する必要があります。
1. API を有効にする
Google API を使用する前に、Google Cloud プロジェクトで API を有効にする必要があります。
Google Cloud コンソールで、Google Generative Language API を有効にします。
2. OAuth 同意画面を構成する
次に、プロジェクトの OAuth 同意画面を構成し、テストユーザーとして自分を追加します。Cloud プロジェクトでこの手順をすでに完了している場合は、次のセクションに進んでください。
Google Cloud コンソールで、メニュー > Google Auth Platform > [概要] に移動します。
プロジェクト構成フォームに記入し、[対象ユーザー] セクションでユーザータイプを [外部] に設定します。
フォームの残りの部分を入力し、ユーザーデータに関するポリシーの条項に同意して、[作成] をクリックします。
ここでは、スコープの追加をスキップして、[保存して次へ] をクリックします。今後、Google Workspace 組織外で使用するアプリを作成する場合は、アプリに必要な認可スコープを追加して確認する必要があります。
テストユーザーを追加します。
- Google Auth Platform の [対象ユーザー] ページに移動します。
- [テストユーザー] で [ユーザーを追加] をクリックします。
- メールアドレスと他の承認済みテストユーザーを入力し、[保存] をクリックします。
3. デスクトップ アプリケーションの認証情報を承認する
エンドユーザーとして認証を行い、アプリ内でユーザーデータにアクセスするには、1 つ以上の OAuth 2.0 クライアント ID を作成する必要があります。クライアント ID は、Google の OAuth サーバーで個々のアプリを識別するために使用します。アプリが複数のプラットフォームで実行される場合は、プラットフォームごとに個別のクライアント ID を作成する必要があります。
Google Cloud コンソールで、メニュー > Google Auth Platform > [クライアント] に移動します。
[クライアントの作成] をクリックします。
[アプリケーション タイプ] > [デスクトップ アプリ] をクリックします。
[名前] フィールドに、認証情報の名前を入力します。この名前は Google Cloud コンソールにのみ表示されます。
[作成] をクリックします。[OAuth クライアントを作成しました] 画面が表示され、新しいクライアント ID とクライアント シークレットが表示されます。
[OK] をクリックします。新しく作成した認証情報が [OAuth 2.0 クライアント ID] に表示されます。
ダウンロード ボタンをクリックして JSON ファイルを保存します。
client_secret_<identifier>.jsonとして保存されます。名前をclient_secret.jsonに変更して、作業ディレクトリに移動します。
アプリケーションのデフォルト認証情報を設定する
client_secret.json ファイルを使用可能な認証情報に変換するには、その場所を gcloud auth application-default login コマンドの --client-id-file 引数に渡します。
gcloud auth application-default login \
--client-id-file=client_secret.json \
--scopes='https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/generative-language.retriever'このチュートリアルの簡素化されたプロジェクト設定では、["Google はこのアプリを確認していません"] ダイアログが表示されます。これは正常です、[続行]を選択します。
これにより、結果のトークンが既知の場所に配置され、gcloud またはクライアント ライブラリからアクセスできるようになります。
gcloud auth application-default login
--no-browser
--client-id-file=client_secret.json
--scopes='https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/generative-language.retriever'
アプリケーションのデフォルト認証情報(ADC)を設定すると、ほとんどの言語のクライアント ライブラリは、最小限の操作で認証情報を検索できます。
Curl
これが機能していることをテストする最も簡単な方法は、curl を使用して REST API にアクセスすることです。
access_token=$(gcloud auth application-default print-access-token) project_id=<MY PROJECT ID>curl -X GET https://generativelanguage.googleapis.com/v1/models \ -H 'Content-Type: application/json' \ -H "Authorization: Bearer ${access_token}" \ -H "x-goog-user-project: ${project_id}" | grep '"name"'
Python
Python では、クライアント ライブラリが自動的に検索します。
pip install google-genai
テスト用の最小限のスクリプトは次のとおりです。
from google import genai
client = genai.Client()
print('Available base models:', [m.name for m in client.models.list()])
次のステップ
これが機能したら、テキストデータで セマンティック検索を試すことができます。
認証情報を自分で管理する [Python]
多くの場合、クライアント ID(client_secret.json)からアクセス トークンを作成するために gcloud コマンドを使用できません。Google は、アプリ内でそのプロセスを管理できるように、多くの言語でライブラリを提供しています。このセクションでは、Python でのプロセスについて説明します。他の言語での同様の手順の例については、
Drive API のドキュメントをご覧ください。
1. 必要なライブラリをインストールする
Python 用の Google クライアント ライブラリと Gemini クライアント ライブラリをインストールします。
pip install --upgrade -q google-api-python-client google-auth-httplib2 google-auth-oauthlibpip install google-genai
2. 認証情報マネージャーを作成する
認証画面を何度もクリックする必要がないように、作業ディレクトリに load_creds.py というファイルを作成します。このファイルは、後で再利用できる token.json ファイルをキャッシュします。有効期限が切れた場合は更新されます。
次のコードから始めて、client_secret.json ファイルを genai.configure で使用できるトークンに変換します。
import os.path
from google.auth.transport.requests import Request
from google.oauth2.credentials import Credentials
from google_auth_oauthlib.flow import InstalledAppFlow
SCOPES = ['https://www.googleapis.com/auth/generative-language.retriever']
def load_creds():
"""Converts `client_secret.json` to a credential object.
This function caches the generated tokens to minimize the use of the
consent screen.
"""
creds = None
# The file token.json stores the user's access and refresh tokens, and is
# created automatically when the authorization flow completes for the first
# time.
if os.path.exists('token.json'):
creds = Credentials.from_authorized_user_file('token.json', SCOPES)
# If there are no (valid) credentials available, let the user log in.
if not creds or not creds.valid:
if creds and creds.expired and creds.refresh_token:
creds.refresh(Request())
else:
flow = InstalledAppFlow.from_client_secrets_file(
'client_secret.json', SCOPES)
creds = flow.run_local_server(port=0)
# Save the credentials for the next run
with open('token.json', 'w') as token:
token.write(creds.to_json())
return creds
3. プログラムを作成する
次に、script.py を作成します。
import pprint
from google import genai
from load_creds import load_creds
creds = load_creds()
client = genai.Client(credentials=creds)
print()
print('Available base models:', [m.name for m in client.models.list()])
4. プログラムを実行する
作業ディレクトリで、サンプルを実行します。
python script.pyスクリプトを初めて実行すると、ブラウザ ウィンドウが開き、アクセス権の承認を求められます。
Google アカウントにログインしていない場合は、ログインを求められます。複数のアカウントにログインしている場合は、プロジェクトの構成時に [テスト アカウント] として設定したアカウントを選択してください。
認可情報はファイル システムに保存されるため、次回サンプルコードを実行するときに認可を求められることはありません。
認証の設定が完了しました。