Naar inhoud

Product · Identity & NHI

Geef elke agent een eigen identiteit — en weet wanneer dat niet zo is

Een gedeeld serviceaccount maakt "welke agent heeft dit gedaan?" onbeantwoordbaar. Olivares koppelt een agent aan een non-human identity, geeft een eigen NHI per agent uit en brengt de agents in beeld die er één delen — het verschil tussen toegang stevig toewijzen en slechts bij benadering. Een identiteit die het niet kan herleiden, wordt nooit stilzwijgend als een echte beschouwd.

Begin self-hosted Hoe federatie werkt

In het product

De identiteitsconsole

Een echte schermafbeelding, met voorbeelddata. Tabbladen voor de NHI-roster, MCP-auth, de WIF-graaf, de key- en residency-houding en geprivilegieerde aanmeldingen. Het SSO/SCIM-tabblad is eerlijk over zijn eigen naad: het backend-endpoint is nog niet live, dus het toont niets in plaats van iets te verzinnen.

Echte screenshot
Olivares-identiteitsconsole: tabbladen voor NHI-roster, MCP-auth, WIF-graaf, key- en residency-houding, geprivilegieerde aanmeldingen en SSO/SCIM; het SSO/SCIM-tabblad toont een melding dat de backend in afwachting is in plaats van verzonnen data.

Wat u bestuurt

Van een gedeeld account naar een identiteit per agent

Identiteit is de as waarlangs de toegangskaart toewijst. Een eigen NHI per agent verandert "bij benadering" in "stevig"; alles hieronder is eerlijk over hoe ver het komt.

Een NHI koppelen of uitgeven

Koppel een agent aan een bestaande non-human identity of geef een eigen NHI per agent uit. Een eigen NHI is wat de toegangskaart toegang stevig aan één agent laat toewijzen — niet bij benadering aan een pool.

Bevinding gedeelde identiteit

Wanneer meer dan één agent op hetzelfde account meelift, is toewijzing per agent oprecht dubbelzinnig. Olivares brengt dat als bevinding in beeld en zegt het ook — het splitst het verschil niet en doet niet alsof het weet welke agent handelde.

Alleen-lezen WIF-graaf

Een workload-identity-federation-graaf brengt uw identiteiten per agent in kaart tegen uw IdP. Hij wordt alleen-lezen weergegeven op basis van de federatieregels die u opgeeft — een weergave van wat u verklaarde, geen live verificatie van het vertrouwen op de lijn.

Het eerlijke onbekende

Een identiteit die Olivares niet kan herleiden, wordt als onbekend getekend en gemarkeerd — nooit stilzwijgend gepromoveerd tot een benoemde NHI. Geen identiteitssignaal betekent geen toewijzing, helder gesteld.

Hoe het werkt

Een identiteit per agent federeren naar uw IdP

Elke agent krijgt een eigen identiteit — een SPIFFE/WIF-credential — die federeert naar uw identity provider. Een agent zonder herleidbare identiteit wordt niet opgenomen in een echte: hij wordt apart getekend en gemarkeerd.

Diagram: agents verwijzen naar een identiteit per agent (SPIFFE/WIF) die federeert naar Entra ID, AWS IAM en Google Cloud; één agent heeft geen identiteit en wordt gestippeld getekend en gemarkeerd "geen identiteit".
De onbekende agent wordt gestippeld getekend en gemarkeerd "geen identiteit" — nooit opgenomen in een echte NHI. De getoonde federatie weerspiegelt de regels die u opgeeft.

Wat echt is

NHI-koppeling en de WIF-graaf zijn live; live federatie en AAL3-step-up zijn niet

Hierin zijn we precies, want het verschil is juist waar het bij een identiteitsoppervlak om draait:

  • Live: een agent aan een NHI koppelen, een eigen NHI per agent uitgeven, de bevinding gedeelde identiteit en de alleen-lezen WIF-graaf. De graaf weerspiegelt de federatieregels die u opgeeft — het is geen live geverifieerd beeld van de federatie op de lijn.
  • Roadmap: live federatie tegen de algemeen beschikbare hyperscaler-registers voor agent-identiteit — Microsoft Entra Agent ID, AWS AgentCore, Google Agent Identity. We geven vandaag verklaarde regels weer en claimen geen live verificatie voordat het beschikbaar is.
  • Niet gebouwd: WebAuthn AAL3 / PIV-CAC-step-up. Het is niet geïmplementeerd en valt vandaag veilig terug naar AAL1 — we zeggen AAL1, niet het assurance-niveau dat we niet hebben verdiend. Sommige live identiteitsbronnen (LDAP, IdP, secret managers) en SCIM Groups zijn nog niet aangesloten, en het SSO/SCIM-tabblad is daar eerlijk over: backend in afwachting, niets te tonen, nooit verzonnen.

Identity & NHI — vragen

Federeert Olivares vandaag live met Entra Agent ID, AWS AgentCore of Google Agent Identity?

Nee — niet live. De WIF-graaf is alleen-lezen en wordt weergegeven op basis van de federatieregels die u opgeeft, dus hij toont wat u verklaarde, geen live geverifieerde vertrouwensrelatie op de lijn. Live federatie tegen die algemeen beschikbare hyperscaler-registers voor agent-identiteit staat op de roadmap, en we claimen het niet voordat het er is.

Twee agents delen één serviceaccount. Welke zegt Olivares dat er handelde?

Geen van beide, stevig. Een gedeelde identiteit maakt toewijzing per agent oprecht dubbelzinnig, dus Olivares meldt een bevinding gedeelde identiteit en wijst toegang slechts bij benadering toe — het verzint geen zekerheid over welke agent handelde. Geef een eigen NHI per agent uit en de toegangskaart kan die agent vervolgens stevig toewijzen.

Ondersteunt u WebAuthn AAL3 of PIV-CAC-step-up voor geprivilegieerde aanmeldingen?

Nog niet. AAL3-step-up via WebAuthn of PIV-CAC is niet gebouwd; vandaag valt het pad veilig terug naar AAL1, en precies zo benoemen we het — we tonen geen assurance-niveau dat we niet hebben verdiend. Het tabblad voor geprivilegieerde aanmeldingen toont wat nu daadwerkelijk wordt afgedwongen.

Waarom is het SSO/SCIM-tabblad leeg?

Omdat het backend-endpoint ervoor nog niet live is, dus er valt oprecht niets te tonen — en het product zegt dat ook, in plaats van het te vullen met geloofwaardig ogende data. Hetzelfde geldt voor live identiteitsbronnen als LDAP, IdP en secret managers, en SCIM Groups: nog niet aangesloten, eerlijk-leeg getoond.

Geef uw agents identiteiten die u kunt toewijzen

Zet Olivares uit op uw eigen infrastructuur, geef een eigen NHI per agent uit en verander "bij benadering" in "stevig" op uw toegangskaart.

Begin self-hosted Bekijk de toegangskaart