Produkt · Tożsamość i NHI
Nadaj każdemu agentowi własną tożsamość — i wiedz, kiedy jej nie ma
Współdzielone konto usługowe sprawia, że na pytanie „który agent to zrobił?” nie da się odpowiedzieć. Olivares wiąże agenta z tożsamością nieosobową, tworzy dedykowane NHI dla pojedynczego agenta i ujawnia agentów, którzy współdzielą jedno konto — to różnica między przypisywaniem dostępu w sposób pewny a jedynie przybliżony. Tożsamość, której nie da się rozpoznać, nigdy nie jest po cichu traktowana jak rzeczywista.
W produkcie
Konsola tożsamości
Autentyczny zrzut ekranu, dane przykładowe. Karty dla rejestru NHI, uwierzytelniania MCP, grafu WIF, stanu kluczy i rezydencji danych oraz logowań uprzywilejowanych. Karta SSO/SCIM otwarcie wskazuje własne ograniczenie: punkt końcowy backendu nie jest jeszcze aktywny, więc nie pokazuje niczego, zamiast to zmyślać.
Czym Państwo zarządzają
Od współdzielonego konta do tożsamości dla pojedynczego agenta
Tożsamość to oś, względem której mapa dostępu przypisuje działania. Dedykowane NHI dla każdego agenta zamienia „przybliżenie” w „pewność”; wszystko poniżej uczciwie informuje, jak daleko może to sięgnąć.
Powiąż lub utwórz NHI
Powiąż agenta z istniejącą tożsamością nieosobową lub utwórz dedykowane NHI dla pojedynczego agenta. To właśnie dedykowane NHI pozwala mapie dostępu przypisać dostęp w sposób pewny do jednego agenta — a nie przybliżony do puli.
Wykrycie współdzielonej tożsamości
Gdy więcej niż jeden agent korzysta z tego samego konta, przypisanie działań do konkretnego agenta jest faktycznie niejednoznaczne. Olivares ujawnia to jako wykrycie i mówi o tym wprost — nie idzie na kompromis i nie udaje, że wie, który agent działał.
Graf WIF tylko do odczytu
Graf federacji tożsamości obciążeń odwzorowuje tożsamości poszczególnych agentów na Państwa IdP. Jest renderowany w trybie tylko do odczytu na podstawie zadeklarowanych przez Państwa reguł federacji — to widok tego, co Państwo zadeklarowali, a nie weryfikacja zaufania na żywo w warstwie sieciowej.
Uczciwe „nieznane”
Tożsamość, której Olivares nie potrafi rozpoznać, jest przedstawiana jako nieznana i oznaczana — nigdy nie zostaje po cichu awansowana do nazwanego NHI. Brak sygnału tożsamości oznacza brak przypisania, co stwierdza się wprost.
Jak to działa
Federacja tożsamości pojedynczego agenta z Państwa IdP
Każdy agent otrzymuje własną tożsamość — poświadczenie SPIFFE/WIF — która federuje z Państwa dostawcą tożsamości. Agent bez możliwej do rozpoznania tożsamości nie zostaje włączony do rzeczywistej: jest przedstawiany osobno i oznaczany.
Co jest rzeczywiste
Wiązanie NHI i graf WIF są aktywne; federacja na żywo oraz podniesienie do AAL3 nie są
Jesteśmy w tej kwestii precyzyjni, ponieważ ta różnica to istota całej warstwy tożsamości:
- Aktywne: wiązanie agenta z NHI, tworzenie dedykowanego NHI dla pojedynczego agenta, wykrycie współdzielonej tożsamości oraz graf WIF tylko do odczytu. Graf odzwierciedla zadeklarowane przez Państwa reguły federacji — nie jest zweryfikowanym na żywo obrazem federacji w warstwie sieciowej.
- Plan rozwoju: federacja na żywo z dostępnymi w wersji GA rejestrami tożsamości agentów u głównych dostawców chmury — Microsoft Entra Agent ID, AWS AgentCore, Google Agent Identity. Dziś renderujemy zadeklarowane reguły i nie deklarujemy weryfikacji na żywo, zanim ta funkcja zostanie wdrożona.
- Niezbudowane: podniesienie poziomu uwierzytelnienia do WebAuthn AAL3 / PIV-CAC. Nie jest zaimplementowane i dziś domyślnie przechodzi w stan bezpieczny na AAL1 — podajemy AAL1, a nie poziom pewności, na który nie zapracowaliśmy. Niektóre źródła tożsamości na żywo (LDAP, IdP, menedżery sekretów) oraz grupy SCIM nie są jeszcze podłączone, a karta SSO/SCIM otwarcie o tym informuje: backend w przygotowaniu, nie ma czego pokazać, nigdy nie zmyślamy.
Tożsamość i NHI — pytania
Czy Olivares federuje dziś na żywo z Entra Agent ID, AWS AgentCore lub Google Agent Identity?
Nie — nie na żywo. Graf WIF jest tylko do odczytu i renderowany na podstawie zadeklarowanych przez Państwa reguł federacji, więc pokazuje to, co Państwo zadeklarowali, a nie zweryfikowaną na żywo relację zaufania w warstwie sieciowej. Federacja na żywo z tymi dostępnymi w wersji GA rejestrami tożsamości agentów u głównych dostawców chmury jest w planie rozwoju i nie deklarujemy jej, zanim zostanie wdrożona.
Dwóch agentów współdzieli jedno konto usługowe. O którym z nich Olivares powie, że działał?
O żadnym z całą pewnością. Współdzielona tożsamość sprawia, że przypisanie działań do konkretnego agenta jest faktycznie niejednoznaczne, więc Olivares zgłasza wykrycie współdzielonej tożsamości i przypisuje dostęp jedynie w sposób przybliżony — nie będzie z całą pewnością twierdził, że działał konkretny agent. Utwórz dedykowane NHI dla pojedynczego agenta, a mapa dostępu będzie mogła przypisać działania temu agentowi w sposób pewny.
Czy obsługują Państwo podniesienie poziomu uwierzytelnienia do WebAuthn AAL3 lub PIV-CAC przy logowaniach uprzywilejowanych?
Jeszcze nie. Podniesienie do AAL3 przez WebAuthn lub PIV-CAC nie jest zbudowane; dziś ta ścieżka domyślnie przechodzi w stan bezpieczny na AAL1 i dokładnie tak ją oznaczamy — nie wyświetlamy poziomu pewności, na który nie zapracowaliśmy. Karta logowań uprzywilejowanych pokazuje, co jest faktycznie egzekwowane teraz.
Dlaczego karta SSO/SCIM jest pusta?
Ponieważ punkt końcowy backendu dla niej nie jest jeszcze aktywny, więc naprawdę nie ma czego pokazać — a produkt mówi to wprost, zamiast wypełniać ją prawdopodobnie wyglądającymi danymi. To samo dotyczy źródeł tożsamości na żywo, takich jak LDAP, IdP i menedżery sekretów, oraz grup SCIM: jeszcze nie podłączone, pokazywane jako uczciwie puste.
Nadaj swoim agentom tożsamości, które możesz przypisać
Wdróż Olivares na własnej infrastrukturze, utwórz dedykowane NHI dla każdego agenta i zamień „przybliżenie” w „pewność” na swojej mapie dostępu.