Produto · Identidade e NHI
Dê a cada agente a sua própria identidade — e saiba quando não a tem
Uma conta de serviço partilhada torna «que agente fez isto?» uma pergunta sem resposta. A Olivares associa um agente a uma identidade não humana, emite uma NHI dedicada por agente e expõe os agentes que estão a partilhar uma — a diferença entre atribuir o acesso de forma firme e apenas de forma aproximada. Uma identidade que não consegue resolver nunca é silenciosamente tratada como uma identidade real.
No produto
A consola de identidade
Uma captura de ecrã genuína, com dados de exemplo. Separadores para a lista de NHI, autenticação MCP, o grafo WIF, a postura de chaves e residência e os inícios de sessão privilegiados. O separador SSO/SCIM é franco quanto à sua própria costura: o endpoint do backend ainda não está ativo, por isso não mostra nada em vez de o inventar.
O que governa
De uma conta partilhada a uma identidade por agente
A identidade é o eixo sobre o qual o mapa de acessos faz a atribuição. Uma NHI dedicada por agente transforma «aproximadamente» em «firmemente»; tudo o que se segue é honesto sobre até onde consegue chegar.
Associar ou emitir uma NHI
Associe um agente a uma identidade não humana existente ou emita uma NHI dedicada por agente. Uma NHI dedicada é o que permite ao mapa de acessos atribuir o acesso de forma firme a um único agente — não de forma aproximada a um conjunto.
Deteção de identidade partilhada
Quando mais do que um agente partilha a mesma conta, a atribuição por agente é genuinamente ambígua. A Olivares expõe isso como uma deteção e di-lo claramente — não divide a diferença nem simula saber qual o agente que atuou.
Grafo WIF apenas de leitura
Um grafo de federação de identidades de carga de trabalho mapeia as suas identidades por agente para o seu IdP. É apresentado apenas de leitura a partir das regras de federação que declara — uma vista do que afirmou, não uma verificação em tempo real da confiança na rede.
O desconhecido honesto
Uma identidade que a Olivares não consegue resolver é desenhada como desconhecida e sinalizada — nunca promovida silenciosamente a uma NHI nomeada. A ausência de sinal de identidade significa ausência de atribuição, dito claramente.
Como funciona
Federar uma identidade por agente com o seu IdP
Cada agente recebe uma identidade por agente — uma credencial SPIFFE/WIF — que federa com o seu fornecedor de identidade. Um agente sem identidade que se consiga resolver não é integrado numa identidade real: é desenhado à parte e sinalizado.
O que é real
A associação de NHI e o grafo WIF estão ativos; a federação em tempo real e a elevação de nível AAL3 não estão
Somos precisos quanto a isto, porque a diferença é a essência de uma superfície de identidade:
- Ativo: associar um agente a uma NHI, emitir uma NHI dedicada por agente, a deteção de identidade partilhada e o grafo WIF apenas de leitura. O grafo reflete as regras de federação que declara — não é uma imagem verificada em tempo real da federação na rede.
- Roadmap: federação em tempo real face aos registos de identidade de agentes GA dos hyperscalers — Microsoft Entra Agent ID, AWS AgentCore, Google Agent Identity. Hoje apresentamos as regras declaradas e não reivindicamos verificação em tempo real antes de a lançarmos.
- Por construir: elevação de nível WebAuthn AAL3 / PIV-CAC. Não está implementado e hoje falha em modo fechado para AAL1 — dizemos AAL1, não o nível de garantia que não conquistámos. Algumas fontes de identidade em tempo real (LDAP, IdP, gestores de segredos) e os Grupos SCIM ainda não estão ligados, e o separador SSO/SCIM é franco quanto a isso: backend pendente, nada a mostrar, nunca fabricado.
Identidade e NHI — perguntas
A Olivares federa hoje em tempo real com o Entra Agent ID, o AWS AgentCore ou o Google Agent Identity?
Não — não em tempo real. O grafo WIF é apenas de leitura e é apresentado a partir das regras de federação que declara, por isso mostra o que afirmou, não uma relação de confiança verificada em tempo real na rede. A federação em tempo real face a esses registos de identidade de agentes GA dos hyperscalers está no roadmap, e não a reivindicamos antes de a lançarmos.
Dois agentes partilham uma conta de serviço. Qual deles é que a Olivares diz que atuou?
Nenhum, com firmeza. Uma identidade partilhada torna a atribuição por agente genuinamente ambígua, por isso a Olivares levanta uma deteção de identidade partilhada e atribui o acesso apenas de forma aproximada — não fabrica certezas sobre qual o agente que atuou. Emita uma NHI dedicada por agente e o mapa de acessos passa a poder atribuir esse agente de forma firme.
Suportam a elevação de nível WebAuthn AAL3 ou PIV-CAC para inícios de sessão privilegiados?
Ainda não. A elevação de nível AAL3 via WebAuthn ou PIV-CAC não está construída; hoje o caminho falha em modo fechado para AAL1, e é exatamente assim que o rotulamos — não apresentamos um nível de garantia que não conquistámos. O separador de inícios de sessão privilegiados mostra o que está efetivamente em vigor agora.
Porque é que o separador SSO/SCIM está vazio?
Porque o endpoint do backend para ele ainda não está ativo, por isso não há genuinamente nada a mostrar — e o produto di-lo em vez de o preencher com dados fictícios plausíveis. O mesmo se aplica a fontes de identidade em tempo real como LDAP, IdP e gestores de segredos, e aos Grupos SCIM: ainda não estão ligados, mostrados como honestamente vazios.
Dê aos seus agentes identidades que pode atribuir
Implemente a Olivares na sua própria infraestrutura, emita uma NHI dedicada por agente e transforme «aproximadamente» em «firmemente» no seu mapa de acessos.