Продукт · Identity и NHI
Дайте каждому агенту собственную идентичность — и узнавайте, когда её нет
Общая сервисная учётная запись делает вопрос «какой агент это сделал?» безответным. Olivares привязывает агента к нечеловеческой идентичности, выпускает отдельную NHI для каждого агента и выявляет агентов, которые делят одну, — в этом и состоит разница между уверенной и лишь приблизительной атрибуцией доступа. Идентичность, которую система не может разрешить, никогда молча не выдаётся за настоящую.
В продукте
Консоль идентичностей
Настоящий скриншот, демонстрационные данные. Вкладки для реестра NHI, аутентификации MCP, графа WIF, состояния ключей и резидентности данных, а также привилегированных входов. Вкладка SSO/SCIM откровенна относительно собственного шва: серверный эндпоинт пока не работает, поэтому она ничего не показывает, а не выдумывает данные.
Чем вы управляете
От общей учётной записи к идентичности на каждого агента
Идентичность — это ось, по которой карта доступа атрибутирует действия. Отдельная NHI для каждого агента превращает «приблизительно» в «уверенно»; всё, что ниже, честно говорит о том, как далеко система может зайти.
Привяжите или выпустите NHI
Привяжите агента к существующей нечеловеческой идентичности или выпустите отдельную NHI для каждого агента. Отдельная NHI — это то, что позволяет карте доступа атрибутировать доступ уверенно одному агенту, а не приблизительно целому пулу.
Выявление общей идентичности
Когда одну учётную запись использует несколько агентов, атрибуция по каждому агенту действительно становится неоднозначной. Olivares выводит это как отдельную находку и прямо об этом сообщает — система не усредняет и не делает вид, будто знает, какой агент действовал.
Граф WIF только для чтения
Граф федерации идентичностей рабочих нагрузок сопоставляет идентичности ваших агентов с вашим IdP. Он строится только для чтения по объявленным вами правилам федерации — это отображение того, что вы заявили, а не живая проверка доверия на канале.
Честное «неизвестно»
Идентичность, которую Olivares не может разрешить, изображается как неизвестная и помечается — её никогда молча не повышают до именованной NHI. Нет сигнала об идентичности — нет атрибуции, сказано прямо.
Как это работает
Федерация идентичности агента с вашим IdP
Каждый агент получает собственную идентичность — учётные данные SPIFFE/WIF, — которая федерируется с вашим поставщиком идентичности. Агент без разрешимой идентичности не объединяется с настоящей: он изображается отдельно и помечается.
Что реально
Привязка NHI и граф WIF работают; живая федерация и повышение до AAL3 — нет
Мы точны в этом, потому что именно эта разница и есть весь смысл поверхности идентичности:
- Работает: привязка агента к NHI, выпуск отдельной NHI для каждого агента, выявление общей идентичности и граф WIF только для чтения. Граф отражает объявленные вами правила федерации — это не картина федерации, проверенная вживую на канале.
- В планах: живая федерация с GA-реестрами идентичностей агентов у гиперскейлеров — Microsoft Entra Agent ID, AWS AgentCore, Google Agent Identity. Сегодня мы отрисовываем объявленные правила и не заявляем о живой проверке, пока она не выйдет.
- Не реализовано: повышение до WebAuthn AAL3 / PIV-CAC. Оно не реализовано и сегодня fail-closed означает откат до AAL1 — мы пишем AAL1, а не тот уровень доверия, который мы не заслужили. Некоторые живые источники идентичности (LDAP, IdP, менеджеры секретов) и SCIM Groups пока не подключены, и вкладка SSO/SCIM откровенна об этом: серверная часть в ожидании, показывать нечего, ничего не сфабриковано.
Identity и NHI — вопросы
Выполняет ли Olivares сегодня живую федерацию с Entra Agent ID, AWS AgentCore или Google Agent Identity?
Нет — не вживую. Граф WIF доступен только для чтения и строится по объявленным вами правилам федерации, поэтому показывает то, что вы заявили, а не проверенное вживую доверительное отношение на канале. Живая федерация с этими GA-реестрами идентичностей агентов у гиперскейлеров — в планах, и мы не заявляем о ней, пока она не выйдет.
Два агента делят одну сервисную учётную запись. Какой из них, по версии Olivares, действовал?
Уверенно — ни один. Общая идентичность делает атрибуцию по каждому агенту действительно неоднозначной, поэтому Olivares регистрирует находку об общей идентичности и атрибутирует доступ лишь приблизительно — система не станет выдумывать уверенность в том, какой агент действовал. Выпустите отдельную NHI для каждого агента, и тогда карта доступа сможет уверенно атрибутировать действия этому агенту.
Поддерживаете ли вы повышение до WebAuthn AAL3 или PIV-CAC для привилегированных входов?
Пока нет. Повышение до AAL3 через WebAuthn или PIV-CAC не реализовано; сегодня этот путь fail-closed означает откат до AAL1, и именно так мы его и обозначаем — мы не отображаем уровень доверия, который не заслужили. Вкладка привилегированных входов показывает то, что реально применяется сейчас.
Почему вкладка SSO/SCIM пуста?
Потому что серверный эндпоинт для неё пока не работает, так что показывать действительно нечего — и продукт говорит об этом прямо, а не заполняет вкладку правдоподобно выглядящими данными. То же касается живых источников идентичности — LDAP, IdP и менеджеров секретов — и SCIM Groups: пока не подключены, показаны честно пустыми.
Дайте своим агентам идентичности, по которым можно атрибутировать действия
Разверните Olivares в собственной инфраструктуре, выпустите отдельную NHI для каждого агента и превратите «приблизительно» в «уверенно» на вашей карте доступа.