产品内部
身份控制台
真实截图,示例数据。各标签页分别对应 NHI 名册、MCP 鉴权、WIF 关系图、密钥与驻留态势以及特权登录。SSO/SCIM 标签页坦诚面对自身的接缝:后端端点尚未上线,因此它选择不显示任何内容,而非凭空捏造。
您所治理的对象
从共用账号到每个代理的专属身份
身份是访问地图进行归因所依据的轴心。为每个代理分配专属 NHI,可将“大致”变为“确凿”;以下各项都坦诚说明各自能做到何种程度。
绑定或铸造 NHI
将代理绑定到现有的非人类身份,或为每个代理铸造专属 NHI。专属 NHI 才能让访问地图把访问确凿归因到某一个代理——而非大致归因到一个资源池。
共用身份发现项
当不止一个代理共用同一账号时,逐代理归因就确实存在歧义。Olivares 会将其作为一项发现呈现并如实说明——它不会折中处理、假装自己知道是哪个代理在行动。
只读 WIF 关系图
工作负载身份联邦关系图将您逐代理的身份映射到您的 IdP。它根据您声明的联邦规则以只读方式呈现——展示的是您所陈述的内容,而非对链路上信任关系的实时验证。
诚实面对未知
Olivares 无法解析的身份会被绘制为未知并加以标记——绝不会被悄悄提升为某个具名 NHI。没有身份信号就意味着无法归因,这一点会被明确说明。
运作方式
将逐代理身份联邦至您的 IdP
每个代理都会获得一份逐代理身份——一份 SPIFFE/WIF 凭据——联邦至您的身份提供方。没有可解析身份的代理不会被并入某个真实身份:它会被单独绘出并加以标记。
哪些已成真
NHI 绑定与 WIF 关系图已上线;实时联邦与 AAL3 升级验证尚未上线
我们对此精确说明,因为这一区别正是身份界面的全部意义所在:
- 已上线:将代理绑定到 NHI、为每个代理铸造专属 NHI、共用身份发现项,以及只读 WIF 关系图。该关系图反映的是您所声明的联邦规则——它并非对链路上联邦关系经实时验证后的真实呈现。
- 路线图:对照已正式发布(GA)的超大规模云厂商代理身份注册表进行实时联邦——Microsoft Entra Agent ID、AWS AgentCore、Google Agent Identity。我们今天呈现的是已声明的规则,在其交付之前绝不声称已完成实时验证。
- 尚未构建:WebAuthn AAL3 / PIV-CAC 升级验证。它尚未实现,目前会安全失败回落至 AAL1——我们如实标注为 AAL1,而不会标注我们尚未达到的保证级别。部分实时身份来源(LDAP、IdP、密钥管理器)以及 SCIM Groups 也尚未接入,SSO/SCIM 标签页对此坦诚相告:后端待上线,暂无内容可显示,绝不伪造。
身份与 NHI——常见问题
Olivares 如今能否与 Entra Agent ID、AWS AgentCore 或 Google Agent Identity 进行实时联邦?
不能——尚非实时。WIF 关系图是只读的,根据您声明的联邦规则呈现,因此它展示的是您所陈述的内容,而非链路上经实时验证的信任关系。对照那些已正式发布(GA)的超大规模云厂商代理身份注册表进行实时联邦已列入路线图,在其交付之前我们绝不会声称已实现。
两个代理共用一个服务账号。Olivares 会说是哪一个在行动?
都不会确凿指认。共用身份会让逐代理归因确实存在歧义,因此 Olivares 会提出一项共用身份发现项,并仅以大致方式归因访问——它不会凭空捏造关于哪个代理在行动的确定性。为每个代理铸造专属 NHI,访问地图便可对该代理进行确凿归因。
你们是否支持针对特权登录的 WebAuthn AAL3 或 PIV-CAC 升级验证?
尚未支持。通过 WebAuthn 或 PIV-CAC 进行的 AAL3 升级验证尚未构建;目前该路径会安全失败回落至 AAL1,我们也正是如此标注——我们不会展示一个我们尚未达到的保证级别。特权登录标签页展示的是当前实际强制执行的内容。
为什么 SSO/SCIM 标签页是空的?
因为它的后端端点尚未上线,因此确实没有任何内容可以展示——产品对此如实说明,而非用看似合理的数据来填充。LDAP、IdP、密钥管理器等实时身份来源以及 SCIM Groups 也是如此:尚未接入,因而诚实地显示为空。