본문으로 건너뛰기

Product · Identity & NHI

모든 에이전트에 고유한 ID를 부여하십시오 — 그리고 그렇지 못할 때를 파악하십시오

공유 서비스 계정에서는 "어떤 에이전트가 이 일을 했는가?"라는 질문에 답할 수 없습니다. Olivares는 에이전트를 비인간 ID에 바인딩하고, 에이전트별 전용 NHI를 발급하며, 하나를 공유하는 에이전트를 드러냅니다 — 이것이 액세스를 대략이 아니라 확실하게 귀속하는 차이입니다. 해석할 수 없는 ID를 실제 ID인 것처럼 조용히 취급하는 일은 결코 없습니다.

셀프 호스팅으로 시작하기 페더레이션 동작 방식

제품 내

ID 콘솔

실제 스크린샷, 예시 데이터입니다. NHI 명단, MCP 인증, WIF 그래프, 키 및 레지던시 상태, 권한 로그인을 위한 탭이 있습니다. SSO/SCIM 탭은 자체 이음새에 대해 솔직합니다. 백엔드 엔드포인트가 아직 가동되지 않았기에, 데이터를 지어내는 대신 아무것도 표시하지 않습니다.

실제 스크린샷
Olivares ID 콘솔: NHI 명단, MCP 인증, WIF 그래프, 키 및 레지던시 상태, 권한 로그인, SSO/SCIM 탭. SSO/SCIM 탭은 조작된 데이터 대신 백엔드 대기 중 알림을 표시합니다.

거버넌스 대상

공유 계정에서 에이전트별 ID로

ID는 액세스 맵이 귀속을 수행하는 축입니다. 에이전트별 전용 NHI는 "대략"을 "확실하게"로 바꿉니다. 아래의 모든 내용은 어디까지 도달할 수 있는지에 대해 정직합니다.

NHI 바인딩 또는 발급

에이전트를 기존 비인간 ID에 바인딩하거나, 에이전트별 전용 NHI를 발급하십시오. 전용 NHI가 있어야 액세스 맵이 풀에 대해 대략이 아니라 하나의 에이전트에 액세스를 확실하게 귀속할 수 있습니다.

공유 ID 발견 항목

둘 이상의 에이전트가 같은 계정을 사용하면 에이전트별 귀속은 실제로 모호해집니다. Olivares는 이를 발견 항목으로 드러내고 그렇다고 명시합니다 — 차이를 절충하여 어떤 에이전트가 행동했는지 아는 척하지 않습니다.

읽기 전용 WIF 그래프

워크로드 ID 페더레이션 그래프는 에이전트별 ID를 IdP에 매핑합니다. 이 그래프는 사용자가 선언한 페더레이션 규칙을 바탕으로 읽기 전용으로 렌더링됩니다 — 회선상 신뢰의 실시간 검증이 아니라 사용자가 명시한 내용에 대한 뷰입니다.

정직한 미상

Olivares가 해석할 수 없는 ID는 미상으로 표시되고 플래그가 지정됩니다 — 결코 명명된 NHI로 조용히 승격되지 않습니다. ID 신호가 없으면 귀속도 없으며, 이를 분명하게 명시합니다.

동작 방식

에이전트별 ID를 IdP에 페더레이션

각 에이전트는 사용자의 ID 공급자에 페더레이션되는 에이전트별 ID — SPIFFE/WIF 자격 증명 — 를 받습니다. 해석 가능한 ID가 없는 에이전트는 실제 ID에 편입되지 않습니다. 별도로 표시되고 플래그가 지정됩니다.

다이어그램: 에이전트가 Entra ID, AWS IAM, Google Cloud에 페더레이션되는 에이전트별 ID(SPIFFE/WIF)에 매핑됩니다. 한 에이전트는 ID가 없어 점선으로 그려지고 "no identity"로 플래그가 지정됩니다.
미상 에이전트는 점선으로 그려지고 "no identity"로 플래그가 지정됩니다 — 결코 실제 NHI로 편입되지 않습니다. 표시된 페더레이션은 사용자가 선언한 규칙을 반영합니다.

실제로 작동하는 것

NHI 바인딩과 WIF 그래프는 가동 중이며, 실시간 페더레이션과 AAL3 단계 상향은 아닙니다

이에 대해 정확하게 밝힙니다. 그 차이가 바로 ID 표면이 존재하는 이유 전부이기 때문입니다:

  • 가동 중: 에이전트를 NHI에 바인딩, 에이전트별 전용 NHI 발급, 공유 ID 발견 항목, 읽기 전용 WIF 그래프. 이 그래프는 사용자가 선언한 페더레이션 규칙을 반영합니다 — 회선상 페더레이션을 실시간으로 검증한 그림이 아닙니다.
  • 로드맵: GA 단계 하이퍼스케일러 에이전트 ID 레지스트리 — Microsoft Entra Agent ID, AWS AgentCore, Google Agent Identity — 를 기준으로 한 실시간 페더레이션. 현재는 선언된 규칙을 렌더링하며, 출시 전에는 실시간 검증을 주장하지 않습니다.
  • 미구현: WebAuthn AAL3 / PIV-CAC 단계 상향. 구현되어 있지 않으며 현재는 에러 발생 시 안전하게 차단(fail-closed)되어 AAL1로 떨어집니다 — 우리가 확보하지 못한 보증 수준이 아니라 AAL1이라고 말합니다. 일부 실시간 ID 소스(LDAP, IdP, 시크릿 관리자)와 SCIM Groups는 아직 연결되지 않았으며, SSO/SCIM 탭은 이에 대해 솔직합니다: 백엔드 대기 중, 보여줄 것 없음, 결코 조작하지 않음.

Identity & NHI — 질문

Olivares는 오늘 Entra Agent ID, AWS AgentCore 또는 Google Agent Identity와 실시간으로 페더레이션합니까?

아니요 — 실시간은 아닙니다. WIF 그래프는 읽기 전용이며 사용자가 선언한 페더레이션 규칙을 바탕으로 렌더링되므로, 회선상의 실시간 검증된 신뢰 관계가 아니라 사용자가 명시한 내용을 표시합니다. 해당 GA 단계 하이퍼스케일러 에이전트 ID 레지스트리를 기준으로 한 실시간 페더레이션은 로드맵에 있으며, 출시 전에는 이를 주장하지 않습니다.

두 에이전트가 하나의 서비스 계정을 공유합니다. Olivares는 어느 쪽이 행동했다고 말합니까?

어느 쪽도 확실하게 말하지 않습니다. 공유 ID는 에이전트별 귀속을 실제로 모호하게 만들기에, Olivares는 공유 ID 발견 항목을 제기하고 액세스를 대략으로만 귀속합니다 — 어떤 에이전트가 행동했는지에 대한 확신을 조작하지 않습니다. 에이전트별 전용 NHI를 발급하면 액세스 맵이 해당 에이전트를 확실하게 귀속할 수 있습니다.

권한 로그인에 대해 WebAuthn AAL3 또는 PIV-CAC 단계 상향을 지원합니까?

아직 아닙니다. WebAuthn 또는 PIV-CAC를 통한 AAL3 단계 상향은 구현되어 있지 않습니다. 현재 이 경로는 에러 발생 시 안전하게 차단(fail-closed)되어 AAL1로 떨어지며, 정확히 그렇게 표시합니다 — 확보하지 못한 보증 수준을 표시하지 않습니다. 권한 로그인 탭은 지금 실제로 시행되는 것을 보여 줍니다.

SSO/SCIM 탭은 왜 비어 있습니까?

해당 백엔드 엔드포인트가 아직 가동되지 않아 실제로 보여줄 것이 없기 때문입니다 — 그리고 제품은 그럴듯해 보이는 데이터로 채우는 대신 그렇다고 말합니다. LDAP, IdP, 시크릿 관리자 같은 실시간 ID 소스와 SCIM Groups도 마찬가지입니다: 아직 연결되지 않았으며 정직하게 비어 있는 상태로 표시됩니다.

귀속할 수 있는 ID를 에이전트에 부여하십시오

Olivares를 자체 인프라에 배포하고, 에이전트별 전용 NHI를 발급하여, 액세스 맵에서 "대략"을 "확실하게"로 바꾸십시오.

셀프 호스팅으로 시작하기 액세스 맵 보기