コンテンツへスキップ

プロダクト · アイデンティティと NHI

すべてのエージェントに固有のアイデンティティを — そして、それが無いときも把握できます

サービスアカウントを共有していると、「どのエージェントがこれを実行したのか」に答えられなくなります。Olivares はエージェントを非人間アイデンティティに紐づけ、エージェント専用の NHI を発行し、1つを共有しているエージェントを可視化します — これがアクセスを確実に帰属させるか、おおよそにとどまるかの違いです。解決できないアイデンティティが、本物のアイデンティティとして黙って扱われることは決してありません。

セルフホストで始める フェデレーションの仕組み

プロダクト内

アイデンティティコンソール

実際のスクリーンショット、サンプルデータです。NHI ロスター、MCP 認証、WIF グラフ、鍵とデータ所在地のポスチャー、特権ログインのタブを備えています。SSO/SCIM タブは、自身の継ぎ目について正直です。バックエンドのエンドポイントがまだ稼働していないため、内容をでっち上げるのではなく何も表示しません。

実際のスクリーンショット
Olivares アイデンティティコンソール:NHI ロスター、MCP 認証、WIF グラフ、鍵とデータ所在地のポスチャー、特権ログイン、SSO/SCIM のタブ。SSO/SCIM タブは、捏造したデータの代わりにバックエンド未対応の通知を表示しています。

ガバナンスの対象

共有アカウントから、エージェントごとのアイデンティティへ

アイデンティティは、アクセスマップが帰属の基準とする軸です。エージェントごとの専用 NHI は「おおよそ」を「確実」に変えます。以下に挙げるものはすべて、どこまで到達できるかについて正直です。

NHI を紐づける、または発行する

エージェントを既存の非人間アイデンティティに紐づけるか、エージェント専用の NHI を発行します。専用の NHI があってこそ、アクセスマップはアクセスを1つのエージェントに確実に帰属させられます — プールにおおよそ割り当てるのではなく。

アイデンティティ共有の検出

複数のエージェントが同じアカウントを使用している場合、エージェントごとの帰属は本質的に曖昧になります。Olivares はそれを検出事項として可視化し、その旨を明言します — 折衷案を取って、どのエージェントが動作したかを知っているふりはしません。

読み取り専用の WIF グラフ

ワークロードアイデンティティフェデレーションのグラフは、エージェントごとのアイデンティティをお使いの IdP にマッピングします。これはお客様が宣言したフェデレーションルールから読み取り専用で描画されます — 宣言した内容のビューであり、通信経路上の信頼関係をライブで検証したものではありません。

正直な「不明」

Olivares が解決できないアイデンティティは「不明」として描画され、フラグが付けられます — 決して名前付きの NHI へ黙って昇格させることはありません。アイデンティティのシグナルが無ければ帰属も無い、とはっきり明言します。

仕組み

エージェントごとのアイデンティティを、お使いの IdP にフェデレーションする

各エージェントには、お使いのアイデンティティプロバイダーにフェデレーションされる、エージェントごとのアイデンティティ(SPIFFE/WIF クレデンシャル)が付与されます。解決可能なアイデンティティを持たないエージェントは、本物のアイデンティティに組み込まれることはありません。離して描画され、フラグが付けられます。

図:エージェントが、Entra ID、AWS IAM、Google Cloud にフェデレーションされるエージェントごとのアイデンティティ(SPIFFE/WIF)にマッピングされる。1つのエージェントはアイデンティティを持たず、破線で描画されて「アイデンティティなし」とフラグが付けられている。
不明なエージェントは破線で描画され、「アイデンティティなし」とフラグが付けられます — 決して本物の NHI に組み込まれることはありません。表示されるフェデレーションは、お客様が宣言したルールを反映しています。

実際に提供しているもの

NHI の紐づけと WIF グラフは稼働中、ライブフェデレーションと AAL3 ステップアップは未提供

この点については正確を期します。なぜなら、その違いこそがアイデンティティ基盤の核心だからです。

  • 稼働中:エージェントの NHI への紐づけ、エージェント専用 NHI の発行、アイデンティティ共有の検出、読み取り専用の WIF グラフ。グラフはお客様が宣言したフェデレーションルールを反映します — 通信経路上のフェデレーションをライブ検証した画像ではありません。
  • ロードマップ:GA 済みのハイパースケーラー型エージェントアイデンティティレジストリ — Microsoft Entra Agent ID、AWS AgentCore、Google Agent Identity — に対するライブフェデレーション。現在は宣言されたルールを描画しており、提供開始前にライブ検証を謳うことはありません。
  • 未実装:WebAuthn AAL3 / PIV-CAC ステップアップ。実装されておらず、現在は AAL1 へフェイルクローズします — 獲得していない保証レベルではなく、AAL1 と明示します。一部のライブアイデンティティソース(LDAP、IdP、シークレットマネージャー)と SCIM Groups はまだ接続されておらず、SSO/SCIM タブはその点について正直です。バックエンド未対応、表示するものは無く、捏造することは決してありません。

アイデンティティと NHI — よくある質問

Olivares は現在、Entra Agent ID、AWS AgentCore、Google Agent Identity とライブでフェデレーションしますか?

いいえ — ライブではありません。WIF グラフは読み取り専用で、お客様が宣言したフェデレーションルールから描画されるため、宣言した内容を表示するものであり、通信経路上の信頼関係をライブ検証したものではありません。これら GA 済みのハイパースケーラー型エージェントアイデンティティレジストリに対するライブフェデレーションはロードマップ上にあり、提供開始前に謳うことはありません。

2つのエージェントが1つのサービスアカウントを共有しています。Olivares はどちらが動作したと判断しますか?

どちらでもありません、確実に。アイデンティティの共有はエージェントごとの帰属を本質的に曖昧にするため、Olivares はアイデンティティ共有の検出事項を提起し、アクセスをおおよそにとどめて帰属させます — どのエージェントが動作したかについて確実性を捏造することはありません。エージェント専用の NHI を発行すれば、アクセスマップはそのエージェントを確実に帰属させられるようになります。

特権ログインに対して WebAuthn AAL3 や PIV-CAC ステップアップをサポートしていますか?

まだです。WebAuthn または PIV-CAC による AAL3 ステップアップは未実装です。現在、この経路は AAL1 へフェイルクローズし、私たちはそれをそのまま AAL1 と表示します — 獲得していない保証レベルを表示することはありません。特権ログインタブには、現時点で実際に適用されている内容が表示されます。

SSO/SCIM タブが空なのはなぜですか?

そのためのバックエンドのエンドポイントがまだ稼働しておらず、本当に表示するものが何も無いからです — そしてプロダクトは、もっともらしく見えるデータを埋め込むのではなく、その旨を明示します。LDAP、IdP、シークレットマネージャーといったライブアイデンティティソースや SCIM Groups も同様で、まだ接続されておらず、正直に空のまま表示されます。

帰属できるアイデンティティをエージェントに付与しましょう

Olivares をお客様自身のインフラにデプロイし、エージェントごとに専用の NHI を発行して、アクセスマップ上の「おおよそ」を「確実」に変えましょう。

セルフホストで始める アクセスマップを見る