2023年12月21日木曜日

GoogleのGemini APIをOracle APEXから呼び出す

最近GoogleからリリースされたGemini APIを、Oracle APEXから呼び出してみます。

本記事の主な内容は、API呼び出しのために使用するWeb資格証明の作成手順になります。

Gemini APIとしては同じみたいですが、2通りの呼び出し方法があるようです。Googleの以下のページに、Google AI Gemini APIGoogle Cloud Vertex AI Gemini APIの違いが説明されています。

Google AI の Gemini から Vertex AI に移行する

Google AI Gemini APIの認証はAPIキーVertex AI Gemini APIではGoogle Cloudサービスアカウントによる認証が必要になります。その他、無料枠の設定があるのはGoogle AI Gemini APIのみ、エンタープライズ・サポートがあるのはVertex AIのみとなっています。特に、データ プライバシーのコミットメントはVertex AIのみなので、Gemini APIを企業で利用する場合は、Vertex AIを呼び出すことになると思われます。

最初に、Google AI Gemini APIを呼び出すためのWeb資格証明を作成します。

Google側の準備から始めます。プロジェクトは作成済みとします。

APIとサービスの画面を開き、APIとサービスの有効化をクリックします。


Gemini APIは、APIライブラリとしてはGenerative Language APIという名前になっています。Generative Language APIを検索し、選択します。


Generative Language API有効にします。


Generative Language APIが有効になります。認証情報を作成します。


Googleの以下のドキュメントから手順を確認します。

APIキーを取得する

API を使用するには API キーが必要です。Google AI Studio でワンクリックで鍵を作成できます。と記載されていて、実際にGoogle AI Studioからワンクリックで鍵を作成できます。

本記事の目的はAPEXからGemini APIを呼び出すことなのでGoogle AI Studioは使わず、Google CloudのコンソールからAPIキーを作成します。

APIとサービス認証情報の画面を開き、認証情報の作成をクリックします。メニューが開くのでAPIキーを選択します。


APIキーが作成されます。コピーしてすぐに使用することもできますが、ダイアログを閉じて、APIキーに制限を加えます。


APIキー1をクリックして、編集画面を開きます。


名前Generative Language API Keyに変更します。APIの制限としてキーを制限を選択し、制限するAPIとしてGenerative Language APIを選択します。

APIキーをコピーし、保存をクリックします。


APIキーの準備ができたので、APEXでWeb資格証明を作成します。

ワークスペース・ユーティリティからWeb資格証明を開きます。

作成済みのWeb資格証明の一覧より、作成をクリックします。


作成するWeb資格証明の名前Google Gemini API Keyとします。静的IDGOOGLE_GEMINI_API_KEY認証タイプとしてHTTPヘッダーを選択します。

資格証明名としてx-goog-api-key資格証明シークレットとして先ほどGoogle側で作成したAPIキーを設定します。認証タイプとしてURL問合せ文字列を選択し、資格証明名keyとしてAPIキーを渡すこともできます。呼び出し時のURLにkey=APIキーが付加されますが、APEX_WEBSERVICE_LOGにWeb資格証明が記載されることはありません。


Web資格証明としてGoogle Gemini API Keyが作成されます。


確認のためにSQLワークショップSQLコマンドから、以下のコードを実行します。引数p_credential_static_idに先ほど作成したGOOGLE_GEMINI_API_KEYを渡します。

declare
l_url varchar2(400);
l_request clob;
l_response clob;
e_api_call_failed exception;
begin
l_url := 'https://generativelanguage.googleapis.com/v1beta/models/gemini-pro:generateContent';
l_request := q'~{"contents":[{"parts":[{"text":"Write a story about a magic backpack"}]}]}~';
-- dbms_output.put_line(l_request);
apex_web_service.clear_request_headers();
apex_web_service.set_request_headers('Content-Type','application/json',p_reset => false);
l_response := apex_web_service.make_rest_request(
p_url => l_url
,p_http_method => 'POST'
,p_body => l_request
,p_credential_static_id => 'GOOGLE_GEMINI_API_KEY'
);
if apex_web_service.g_status_code <> 200 then
raise e_api_call_failed;
end if;
dbms_output.put_line(l_response);
end;
view raw gemini-test-1.sql hosted with ❤ by GitHub
正常にレスポンスを受け取れるため、APIの認証は正しいことが確認できます。


次に、Vertex AI Gemini APIを呼び出すためのWeb資格証明を作成します。

以前の記事「GoogleのDocument AIのAPIを呼び出してOCRを実行する」と同じ手順で、認証情報のサービスアカウントを作成します。

サービスアカウント名mygeminiとしました。P12形式の秘密鍵のダウンロードまでを実施します。

PKCS#12の秘密鍵をPEMフォーマットに変換します。

openssl pkcs12 -in ダウンロードされたファイル -nocerts -nodes -out 出力ファイル

Enter Import Password:には秘密鍵のパスワードを入力します。

以下の例では、秘密鍵をmy-gemini-api.keyというファイルに出力しています。

% openssl pkcs12 -in my-gemini-project-8a3056725154.p12 -nocerts -nodes -out my-gemini-api.key

Enter Import Password: ********

MAC verified OK

% 


以前の記事ではUTIL_GOOGLE_APIというパッケージを作成し、それを使ってWeb資格証明を作っていました。今回はこのパッケージを少し改変しUTL_CRED_GOOGLEというパッケージを作成しました。APEXのWeb資格証明の作成と更新を行うプロシージャCREATE_OR_UPDATE_APEX_CREDENTIALを追加しています。

記事の最後に添付しているパッケージUTL_CRED_GOOGLEのコードを実行し、パッケージUTL_CRED_GOOGLEを作成しておきます。

作成したサービスアカウントメールをコピーしておきます。Web資格証明を作成するときに使用します。



以下のコードを実行し、Web資格証明GOOGLE_GEMINI_API_TOKENを作成します。C_RSA_APIの内容はPEM形式の秘密鍵に置き換えます。その他、サービスアカウントのメールも置き換えます。

プロシージャcreate_or_update_apex_credentialの引数p_credential_static_idとして、作成または更新するWeb資格証明の静的IDを指定します。指定した静的IDのWeb資格証明が無い場合は、Web資格証明が新規に作成されます。引数p_workspace_nameにWeb資格証明を作成するAPEXのワークスペース名を指定します。デフォルトで現在のワークスペースが選択されるため、APEXのアプリケーションやSQLコマンドから呼び出す場合は、p_workspace_nameを指定する必要はありません。

set serveroutput on
declare
C_RSA_KEY constant varchar2(32767) := q'~
-----BEGIN PRIVATE KEY-----
サービスアカウントの秘密鍵
-----END PRIVATE KEY-----
~';
l_jwt varchar2(32767);
l_token varchar2(32767);
begin
l_jwt := utl_cred_google.generate_jwt(
p_secret => C_RSA_KEY
,p_iss => 'サービスアカウントのメール'
);
dbms_output.put_line(l_jwt);
utl_cred_google.create_or_update_apex_credential(
p_jwt => l_jwt
,p_credential_static_id => 'GOOGLE_GEMINI_API_TOKEN'
,p_workspace_name => 'APEXDEV' -- ワークスペースに合わせて変更
,p_token => l_token
);
dbms_output.put_line(l_token);
commit;
end;
/
view raw create_apex_credential_for_gemini.sql hosted with ❤ by GitHub
APEXの画面から、新規に作成されたWeb資格証明を確認できます。


APIリファレンスの以下のページに記載されているGemini APIのサンプルを実行し、Vertex AI Gemini APIを呼び出せることを確認します。

Gemini API

declare
l_url varchar2(400);
l_request clob;
l_response clob;
e_api_call_failed exception;
begin
l_url := 'https://us-central1-aiplatform.googleapis.com/v1beta1/projects/my-gemini-project/locations/us-central1/publishers/google/models/gemini-pro:streamGenerateContent';
l_request := q'~{
"contents": {
"role": "user",
"parts": {
"text": "Give me a recipe for banana bread."
},
},
"safety_settings": {
"category": "HARM_CATEGORY_SEXUALLY_EXPLICIT",
"threshold": "BLOCK_LOW_AND_ABOVE"
},
"generation_config": {
"temperature": 0.2,
"topP": 0.8,
"topK": 40,
"maxOutputTokens": 200,
"stopSequences": [".", "?", "!"]
}
}~';
-- dbms_output.put_line(l_request);
apex_web_service.clear_request_headers();
apex_web_service.set_request_headers('Content-Type','application/json',p_reset => false);
l_response := apex_web_service.make_rest_request(
p_url => l_url
,p_http_method => 'POST'
,p_body => l_request
,p_credential_static_id => 'GOOGLE_GEMINI_API_TOKEN'
);
if apex_web_service.g_status_code <> 200 then
dbms_output.put_line('Status = ' || apex_web_service.g_status_code);
dbms_output.put_line(l_response);
-- raise e_api_call_failed;
end if;
dbms_output.put_line(l_response);
end;
view raw google-gemeni-api-test.sql hosted with ❤ by GitHub
正常にレスポンスを受け取れるため、APIの認証は正しいことが確認できます。


以上でGoogle AI Gemini APIおよびVertex AI Gemini APIの両方ともに、Oracle APEXから呼び出せることが確認できました。

ちなみにVertex AIをAPIキーで呼び出すと、以下のようなレスポンスが返されます。
[{
  "error": {
    "code": 401,
    "message": "API keys are not supported by this API. Expected OAuth2 access token or other authentication credentials that assert a principal. See https://cloud.google.com/docs/authentication",
    "status": "UNAUTHENTICATED",
    "details": [
      {
        "@type": "type.googleapis.com/google.rpc.ErrorInfo",
        "reason": "CREDENTIALS_MISSING",
        "domain": "googleapis.com",
        "metadata": {
          "method": "google.cloud.aiplatform.v1beta1.PredictionService.StreamGenerateContent",
          "service": "aiplatform.googleapis.com"
        }
      }
    ]
  }
}
]
Oracle APEXのアプリケーション作成の参考になれば幸いです。



create or replace package utl_cred_google
as
C_TOKEN_URL constant varchar2(160) :=
'https://oauth2.googleapis.com/token?grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer';
C_SCOPE constant varchar2(80) :=
'https://www.googleapis.com/auth/cloud-platform';
C_AUD constant varchar2(80) :=
'https://oauth2.googleapis.com/token';
C_OCI_SECRET_ENDPOINT constant varchar2(160) :=
'https://secrets.vaults.<REGION>.oci.oraclecloud.com/20190301/secretbundles/<SECRET_ID>';
/**
* リージョンとシークレットIDを指定して、OCI Vaultから鍵を取り出す。
*
* @param p_secret_id Google Service Accountの認証情報を保存しているシーレットのOCID
* @param p_region OCI VaultがあるOCIのリージョン
* @param p_credential_static_id OCI Vault/SecretのAPIを呼び出す際に使用するWeb資格証明の静的ID
* @param p_principal シークレットから取り出したGoogle Service Accountのメールアドレス
* @param p_secret_data シークレットから取り出したキーの情報
*/
procedure get_secret_from_vault(
p_secret_id in varchar2
,p_region in varchar2 default 'us-ashburn-1'
,p_credential_static_id in varchar2
,p_principal out varchar2
,p_scope out varchar2
,p_secret_data out varchar2
);
/**
* Googleのプロジェクトに登録したサービス・アカウントのキーより
* JWTを生成する。
*/
function generate_jwt(
p_secret in varchar2
,p_iss in varchar2
,p_sub in varchar2 default null
,p_scope in varchar2 default C_SCOPE
,p_aud in varchar2 default C_AUD
,p_iat in timestamp default current_timestamp
,p_duration in number default 3600 -- 秒で指定する
)
return varchar2;
/**
* JWTをWeb資格証明として保存する。
*/
procedure create_or_update_jwt_credential(
p_jwt in varchar2
,p_jwt_credential_static_id in varchar2
,p_workspace_name in varchar2 default null
,p_credential_name in varchar2 default null
);
/**
* Bearerトークンを取得する。
* JWTかJWTを保存したWeb資格証明の静的IDのどちらかは必ず指定する。
*/
function get_token(
p_jwt in varchar2 default null
,p_jwt_credential_static_id in varchar2 default null
,p_credential_static_id in varchar2 default null
)
return varchar2;
/**
* BearerトークンをAPEXのWeb資格証明として保存する。
* Web資格証明として保存しているJWTか、または、JWTそのもののデータのどちらかを引数に
* 与える。
*/
procedure create_or_update_apex_credential(
p_jwt in varchar2 default null
,p_jwt_credential_static_id in varchar2 default null
,p_credential_static_id in varchar2
,p_workspace_name in varchar2 default null
,p_credential_name in varchar2 default null
);
/**
* デバッグ用
*/
procedure create_or_update_apex_credential(
p_jwt in varchar2 default null
,p_jwt_credential_static_id in varchar2 default null
,p_credential_static_id in varchar2
,p_workspace_name in varchar2 default null
,p_credential_name in varchar2 default null
,p_token out varchar2
);
end utl_cred_google;
/
create or replace package body utl_cred_google
as
/*
* OracleのTIMESTAMP型のデータをUNIX時間に変換する。
*/
function unixtime(p_timestamp in timestamp)
return pls_integer
is
l_date date;
l_epoc number;
begin
l_date := sys_extract_utc(p_timestamp);
l_epoc := l_date - date'1970-01-01';
return l_epoc * 24 * 60 * 60;
end unixtime;
/* BASE64のデコード */
function from_base64(t in varchar2) return varchar2 is
begin
return utl_raw.cast_to_varchar2(utl_encode.base64_decode(utl_raw.cast_to_raw(t)));
end from_base64;
/* BASE64へのエンコード - RAWより */
function to_base64_from_raw(t in raw) return varchar2 is
l_base64 varchar2(32767);
begin
l_base64 := utl_raw.cast_to_varchar2(utl_encode.base64_encode(t));
l_base64 := replace(l_base64, chr(13)||chr(10), '');
return l_base64;
end to_base64_from_raw;
/* BASE64へのエンコード - VARCHAR2 */
function to_base64(t in varchar2) return varchar2 is
begin
return to_base64_from_raw(utl_raw.cast_to_raw(t));
end to_base64;
/* 秘密鍵を一行にする。 */
function convert_to_single_line(
p_string in varchar2
)
return varchar2
as
begin
return regexp_replace(
p_string
,'(-+((BEGIN|END) (RSA )?(PUBLIC|PRIVATE) KEY)-+\s?|\s)'
,''
);
end convert_to_single_line;
/* ワークスペースを設定する。 */
procedure set_workspace(
p_workspace_name in varchar2
)
as
l_workspace_id number;
e_set_workspace_failed exception;
begin
if p_workspace_name is not null then
/* ワークスペースIDを取得する. */
l_workspace_id := apex_util.find_security_group_id(
p_workspace => p_workspace_name
);
if l_workspace_id is null then
raise e_set_workspace_failed;
end if;
/* 対象ワークスペースを設定する */
apex_util.set_security_group_id(
p_security_group_id => l_workspace_id
);
end if;
end set_workspace;
/* デフォルトのクリデンシャル名を決める */
function set_credential_name(
p_credential_static_id in varchar2
,p_credential_name in varchar2
) return varchar2
as
begin
if p_credential_name is not null then
return p_credential_name;
else
/* Web資格証明の名前が設定されていない */
return 'Created by UTL_CRED_GOOGLE for ' || p_credential_static_id;
end if;
end set_credential_name;
/**
* リージョンとシークレットIDを指定して、OCI Vaultから鍵を取り出す。
*/
procedure get_secret_from_vault(
p_secret_id in varchar2
,p_region in varchar2
,p_credential_static_id in varchar2
,p_principal out varchar2
,p_scope out varchar2
,p_secret_data out varchar2
)
as
l_url varchar2(400);
l_response clob;
l_response_json json_object_t;
l_secret_content json_object_t;
l_content clob;
l_blob blob;
l_json json_object_t;
e_api_call_failed exception;
begin
l_url := replace(C_OCI_SECRET_ENDPOINT, '<REGION>', p_region);
l_url := replace(l_url, '<SECRET_ID>', p_secret_id);
apex_web_service.clear_request_headers();
apex_web_service.set_request_headers('Content-Type', 'application/json', p_reset => false);
l_response := apex_web_service.make_rest_request(
p_url => l_url
,p_http_method => 'GET'
,p_credential_static_id => p_credential_static_id
);
if apex_web_service.g_status_code <> 200 then
raise e_api_call_failed;
end if;
/*
dbms_output.put_line(l_response);
return;
*/
l_response_json := json_object_t(l_response);
l_secret_content := l_response_json.get_object('secretBundleContent');
l_content := l_secret_content.get_clob('content'); -- base64
l_blob := apex_web_service.clobbase642blob(l_content);
l_json := json_object_t(l_blob);
p_principal := l_json.get_string('principal');
p_scope := l_json.get_string('scope');
p_secret_data := l_json.get_string('secret_data');
end get_secret_from_vault;
/* JWTを生成する実装 */
function generate_jwt(
p_secret in varchar2
,p_iss in varchar2
,p_sub in varchar2
,p_scope in varchar2
,p_aud in varchar2
,p_iat in timestamp
,p_duration in number -- second
)
return varchar2
as
l_iat pls_integer;
l_exp pls_integer;
l_header_json json_object_t;
l_header_str varchar2(32767);
l_header_base64 varchar2(32767); -- 1st part of JWT
l_payload_json json_object_t;
l_payload_str varchar2(32767);
l_payload_base64 varchar2(32767); -- 2nd part of JWT
l_data varchar2(32767);
l_hmac_raw raw(32767);
l_hmac varchar2(32767); -- 3rd part of JWT
l_jwt varchar2(32767);
begin
/* iatとexpとなる値を求める。 */
l_iat := unixtime(p_iat);
l_exp := l_iat + p_duration;
/* ヘッダーを手作業で作成し、BASE64でエンコードする。 */
l_header_json := json_object_t();
l_header_json.put('alg','RS256');
l_header_json.put('typ','JWT');
l_header_str := l_header_json.to_string();
l_header_base64 := to_base64(l_header_str); -- ヘッダー
/* ペイロードを手作業で作成し、BASE64でエンコードする。 */
l_payload_json := json_object_t();
if p_iss is not null then
l_payload_json.put('iss', p_iss);
end if;
if p_sub is not null then
l_payload_json.put('sub', p_sub);
end if;
if p_scope is not null then
l_payload_json.put('scope', p_scope);
end if;
if p_aud is not null then
l_payload_json.put('aud', p_aud);
end if;
l_payload_json.put('iat', l_iat);
l_payload_json.put('exp', l_exp);
l_payload_str := l_payload_json.to_string();
l_payload_base64 := to_base64(l_payload_str); -- ペイロード
-- シグネチャを手作業で作成する。
l_data := l_header_base64 || '.' || l_payload_base64;
l_hmac_raw := dbms_crypto.sign(
src => utl_i18n.string_to_raw(l_data,'AL32UTF8'),
prv_key => utl_i18n.string_to_raw(convert_to_single_line(p_secret),'AL32UTF8'),
pubkey_alg => DBMS_CRYPTO.KEY_TYPE_RSA,
sign_alg => DBMS_CRYPTO.SIGN_SHA256_RSA
);
l_hmac := to_base64_from_raw(l_hmac_raw);
l_hmac := trim(translate(l_hmac, '+/=', '-_ ')); -- HMAC
/* JSON Web Tokenを返す。 */
l_jwt := l_header_base64 || '.' || l_payload_base64 || '.' || l_hmac;
return l_jwt;
end generate_jwt;
/* JWTをWeb資格証明として保存する。 */
procedure create_or_update_jwt_credential(
p_jwt in varchar2
,p_jwt_credential_static_id in varchar2
,p_workspace_name in varchar2
,p_credential_name in varchar2
)
as
begin
set_workspace(p_workspace_name); -- ワークスペースを指定する。
/*
* JWTを保存するWeb資格証明を作成する。
*/
apex_credential.create_credential(
p_credential_name => set_credential_name(p_jwt_credential_static_id, p_credential_name)
,p_credential_static_id => p_jwt_credential_static_id
,p_authentication_type => apex_credential.C_TYPE_HTTP_QUERY_STRING
);
/*
* JWTは引数assertionの値になる。
*/
apex_credential.set_persistent_credentials(
p_credential_static_id => p_jwt_credential_static_id
,p_username => 'assertion'
,p_password => p_jwt
);
end create_or_update_jwt_credential;
/* トークンを取得する実装 */
function get_token(
p_jwt in varchar2
,p_jwt_credential_static_id in varchar2
,p_credential_static_id in varchar2
)
return varchar2
as
l_token_clob clob;
l_token_json json_object_t;
l_token varchar2(32767);
e_update_credential_failed exception;
begin
apex_web_service.clear_request_headers;
apex_web_service.set_request_headers('Content-Length',0,p_reset => false);
if p_jwt_credential_static_id is not null then
/* Web資格証明を使う. */
l_token_clob := apex_web_service.make_rest_request(
p_url => C_TOKEN_URL
,p_http_method => 'POST'
,p_credential_static_id => p_jwt_credential_static_id
);
elsif p_jwt is not null then
/* JWTを使う. */
l_token_clob := apex_web_service.make_rest_request(
p_url => C_TOKEN_URL || chr(38) || 'assertion=' || p_jwt
,p_http_method => 'POST'
);
else
/* Web資格証明かJWTのどちらかは必須。 */
raise e_update_credential_failed;
end if;
l_token_json := json_object_t(l_token_clob);
l_token := l_token_json.get_string('token_type') || ' ' || l_token_json.get_string('access_token');
/*
* Web資格証明の静的IDが指定されている場合は、アップデートする。
*/
if p_credential_static_id is not null then
apex_credential.set_session_credentials(
p_credential_static_id => p_credential_static_id
,p_username => 'Authorization'
,p_password => l_token
);
end if;
return l_token;
end get_token;
/* Web資格証明の更新 */
procedure create_or_update_apex_credential(
p_jwt in varchar2
,p_jwt_credential_static_id in varchar2
,p_credential_static_id in varchar2
,p_workspace_name in varchar2
,p_credential_name in varchar2
,p_token out varchar2
)
as
l_workspace_id number;
l_token varchar2(32767);
e_update_credential_failed exception;
l_credential_name varchar2(4000);
begin
set_workspace(p_workspace_name); -- ワークスペースを指定する。
/*
* Bearerトークンを保存するWeb資格証明を作成する。
*/
apex_credential.create_credential(
p_credential_name => set_credential_name(p_credential_static_id, p_credential_name)
,p_credential_static_id => p_credential_static_id
,p_authentication_type => apex_credential.C_TYPE_HTTP_HEADER
);
/*
* トークンを取得する
*/
if p_jwt_credential_static_id is not null then
l_token := utl_cred_google.get_token(
p_jwt_credential_static_id => p_jwt_credential_static_id
);
elsif p_jwt is not null then
l_token := utl_cred_google.get_token(
p_jwt => p_jwt
);
else
raise e_update_credential_failed;
end if;
/*
* Web資格証明のアップデート
*/
apex_credential.set_persistent_credentials(
p_credential_static_id => p_credential_static_id
,p_username => 'Authorization'
,p_password => l_token
);
/* tokenを返す */
p_token := l_token;
end create_or_update_apex_credential;
/*
* p_tokenは無視する.
*/
procedure create_or_update_apex_credential(
p_jwt in varchar2
,p_jwt_credential_static_id in varchar2
,p_credential_static_id in varchar2
,p_workspace_name in varchar2
,p_credential_name in varchar2
)
as
l_token varchar2(4000);
begin
create_or_update_apex_credential(
p_jwt => p_jwt
,p_jwt_credential_static_id => p_jwt_credential_static_id
,p_credential_static_id => p_credential_static_id
,p_workspace_name => p_workspace_name
,p_credential_name => p_credential_name
,p_token => l_token
);
end create_or_update_apex_credential;
end utl_cred_google;
/
view raw utl_cred_google.sql hosted with ❤ by GitHub
投稿者 時刻:
ラベル: , ,