Dieses Dokument schlägt eine Standarderweiterung für OpenID Connect vor, um die Identität von LLM-basierten Agenten darzustellen und zu verifizieren. Es integriert den Kernvorschlag mit detaillierten Frameworks für Verifizierung, Attestierung und Delegationsketten.
\n\nOpenID Connect für Agenten (OIDC-A) 1.0 ist eine Erweiterung von OpenID Connect Core 1.0, die ein Framework für die Darstellung, Authentifizierung und Autorisierung von LLM-basierten Agenten innerhalb des OAuth 2.0-Ökosystems bereitstellt. Diese Spezifikation definiert Standard-Claims, Endpunkte und Protokolle zur Etablierung der Agentenidentität, Verifizierung der Agenten-Attestierung, Darstellung von Delegationsketten und Ermöglichung einer feingranularen Autorisierung basierend auf Agentenattributen.
\n\nDa LLM-basierte Agenten in digitalen Ökosystemen zunehmend verbreitet sind, besteht ein wachsender Bedarf an standardisierten Methoden zur Darstellung ihrer Identität und Verwaltung ihrer Autorisierung. Traditionelle OAuth 2.0- und OpenID Connect-Protokolle wurden primär für menschliche Benutzer und konventionelle Anwendungen entwickelt und verfügen nicht über die notwendigen Konstrukte zur Darstellung der einzigartigen Eigenschaften autonomer Agenten, wie:
\n\nDiese Spezifikation adressiert diese Lücken durch Erweiterung von OpenID Connect, um ein umfassendes Framework für Agentenidentität und -autorisierung bereitzustellen.
\n\nDiese Spezifikation verwendet die in OAuth 2.0 [RFC6749], OpenID Connect Core 1.0 definierten Begriffe sowie die folgenden zusätzlichen Begriffe:
\n\nOIDC-A erweitert OpenID Connect durch:
\n\nDie folgenden Claims MÜSSEN oder SOLLTEN in ID Tokens enthalten sein, die an oder über Agenten ausgestellt werden:
\n\n| Claim | \nTyp | \nBeschreibung | \nAnforderung | \n
|---|---|---|---|
agent_type | \n string | \nIdentifiziert den Typ/die Klasse des Agenten (z.B. \"assistant\", \"retrieval\", \"coding\") | \nREQUIRED | \n
agent_model | \n string | \nIdentifiziert das spezifische Modell (z.B. \"gpt-4\", \"claude-3-opus\", \"gemini-pro\") | \nREQUIRED | \n
agent_version | \n string | \nVersionskennung des Agentenmodells | \nRECOMMENDED | \n
agent_provider | \n string | \nOrganisation, die den Agenten bereitstellt/hostet (z.B. \"openai.com\", \"anthropic.com\") | \nREQUIRED | \n
agent_instance_id | \n string | \nEindeutige Kennung für diese spezifische Instanz des Agenten | \nREQUIRED | \n
| Claim | \nTyp | \nBeschreibung | \nAnforderung | \n
|---|---|---|---|
delegator_sub | \n string | \nSubject-Identifikator der Entität, die diesem Agenten zuletzt Befugnis delegiert hat | \nREQUIRED | \n
delegation_chain | \n array | \nGeordnetes Array von Delegationsschritten (siehe Abschnitt 2.4.2) | \nOPTIONAL | \n
delegation_purpose | \n string | \nBeschreibung des Zwecks/der Absicht, für die Befugnis delegiert wurde | \nRECOMMENDED | \n
delegation_constraints | \n object | \nEinschränkungen, die dem Agenten vom Delegator auferlegt wurden | \nOPTIONAL | \n
| Claim | \nTyp | \nBeschreibung | \nAnforderung | \n
|---|---|---|---|
agent_capabilities | \n array | \nArray von Fähigkeitskennungen, die darstellen, was der Agent tun kann | \nRECOMMENDED | \n
agent_trust_level | \n string | \nVertrauensklassifizierung des Agenten (z.B. \"verified\", \"experimental\") | \nOPTIONAL | \n
agent_attestation | \n object | \nAttestierungsnachweis oder Referenz (siehe Abschnitt 2.4.4) | \nRECOMMENDED | \n
agent_context_id | \n string | \nKennung für den Konversations-/Aufgabenkontext | \nRECOMMENDED | \n
agent_typeString-Wert aus einem definierten Satz von Agententypen. Implementierer SOLLTEN einen der folgenden Werte verwenden, wenn zutreffend:
\nassistant: Allzweck-Assistenten-Agentretrieval: Agent spezialisiert auf Informationsabrufcoding: Agent spezialisiert auf Code-Generierung oder -Analysedomain_specific: Agent spezialisiert für eine bestimmte Domäneautonomous: Agent mit hohem Autonomiegradsupervised: Agent, der menschliche Aufsicht für Schlüsselaktionen benötigtBenutzerdefinierte Typen KÖNNEN verwendet werden, SOLLTEN aber dem Format vendor:type folgen (z.B. acme:financial_advisor).
delegation_chainJSON-Array mit Objekten, die jeden Schritt in der Delegationskette darstellen, vom ursprünglichen Benutzer bis zum aktuellen Agenten. Jedes Objekt MUSS enthalten:
\niss: REQUIRED. String, der den Authorization Server oder die Entität identifiziert, die diesen Delegationsschritt ausgestellt/validiert hat.sub: REQUIRED. String, der den Delegator identifiziert (die Entität, die Berechtigung erteilt).aud: REQUIRED. String, der den Delegatee identifiziert (der Agent, der Berechtigung erhält).delegated_at: REQUIRED. NumericDate, das den Zeitpunkt der Delegation darstellt.scope: REQUIRED. Leerzeichengetrennter String von OAuth-Scopes, die die in diesem Delegationsschritt erteilten Berechtigungen darstellen. MUSS eine Teilmenge der vom Delegator (sub) gehaltenen Scopes sein.purpose: OPTIONAL. String, der den beabsichtigten Zweck dieses Delegationsschritts beschreibt.constraints: OPTIONAL. JSON-Objekt, das Einschränkungen für die Delegation spezifiziert (z.B. {\"max_duration\": 3600, \"allowed_resources\": [\"/data/abc\"]}).jti: OPTIONAL. Eine eindeutige Kennung für diesen spezifischen Delegationsschritt, nützlich für Widerruf oder Nachverfolgung.Das Array MUSS chronologisch geordnet sein.
\n\nValidierungsregeln für delegation_chain (durchgeführt von Relying Party):
delegated_at bestätigen.iss vertrauenswürdig ist.aud von Schritt N mit sub von Schritt N+1 übereinstimmt.scope in jedem Schritt eine Teilmenge der/gleich den verfügbaren Scopes des Delegators ist.constraints sicherstellen.agent_capabilitiesArray von String-Kennungen, die die Fähigkeiten des Agenten darstellen. Implementierer SOLLTEN Fähigkeitskennungen aus einer gut definierten Taxonomie verwenden, wenn verfügbar. Benutzerdefinierte Fähigkeiten SOLLTEN dem Format vendor:capability folgen (z.B. acme:financial_analysis).
agent_attestationJSON-Objekt, das Attestierungsnachweise oder eine Referenz darauf enthält. MUSS ein format-Feld enthalten, das den Typ des Nachweises angibt.
Empfohlenes Format: JWT-basiert, potenziell kompatibel mit IETF RATS Entity Attestation Token (EAT).
\n\nBeispiel:
\n\"agent_attestation\": {\n \"format\": \"urn:ietf:params:oauth:token-type:eat\",\n \"token\": \"eyJhbGciOiJFUzI1NiIsInR5cCI6ImVhdCtqd3QifQ...\"\n}\nAndere Formate (z.B. \"format\": \"TPM2-Quote\", \"format\": \"SGX-Quote\") KÖNNEN verwendet werden.
Der OIDC-A-Authentifizierungsablauf erweitert den Standard-OpenID Connect-Authentifizierungsablauf:
\n\nagent-Scope und potenziell delegation_context einschließen.Wenn einem Agenten Befugnis delegiert wird:
\n\ndelegator_sub, delegation_chain (aktualisiert), delegation_purpose und eingeschränktem scope.Um die Attestierung eines Agenten zu verifizieren:
\n\nagent_attestation-Claim in seinem ID Token ein oder stellt Nachweise separat bereit.format:\nagent_attestation_endpoint für Validierungsunterstützung verwenden.verified: true/false).Erweitert OAuth 2.0 Dynamic Client Registration [RFC7591]:
\n\n| Parameter | \nTyp | \nBeschreibung | \n
|---|---|---|
agent_provider | \n string | \nKennung des Agent Providers | \n
agent_models_supported | \n array | \nListe unterstützter Agentenmodelle | \n
agent_capabilities | \n array | \nListe der Agentenfähigkeiten | \n
attestation_formats_supported | \n array | \nListe unterstützter Attestierungsformate | \n
delegation_methods_supported | \n array | \nListe unterstützter Delegationsmethoden | \n
Erweitert OpenID Connect Discovery 1.0:
\n\n| Parameter | \nTyp | \nBeschreibung | \n
|---|---|---|
agent_attestation_endpoint | \n string | \nURL des Attestierungs-Endpunkts | \n
agent_capabilities_endpoint | \n string | \nURL des Fähigkeiten-Discovery-Endpunkts | \n
agent_claims_supported | \n array | \nListe unterstützter Agenten-Claims | \n
agent_types_supported | \n array | \nListe unterstützter Agententypen | \n
delegation_methods_supported | \n array | \nListe unterstützter Delegationsmethoden | \n
attestation_formats_supported | \n array | \nListe unterstützter Attestierungsformate | \n
attestation_verification_keys_endpoint | \n string | \nURL zum Abrufen öffentlicher Schlüssel zur Verifizierung von Attestierungssignaturen | \n
Eine OAuth 2.0-geschützte Ressource, die Attestierungsinformationen über einen Agenten zurückgibt oder bei der Validierung bereitgestellter Nachweise unterstützt. URL wird über den agent_attestation_endpoint-Discovery-Parameter bekanntgegeben.
GET /agent/attestation?agent_id=123&nonce=abc\nAuthorization: Bearer <token>\n{\n \"verified\": true,\n \"provider\": \"openai.com\",\n \"model\": \"gpt-4\",\n \"version\": \"2025-03\",\n \"attestation_timestamp\": 1714348800,\n \"attestation_signature\": \"...\"\n}\nStellt Informationen über die Fähigkeiten eines Agenten bereit. URL wird über den agent_capabilities_endpoint-Discovery-Parameter bekanntgegeben.
GET /.well-known/agent-capabilities\n{\n \"capabilities\": [\n {\"id\": \"text_generation\", \"description\": \"...\"},\n {\"id\": \"code_generation\", \"description\": \"...\"}\n ],\n \"supported_constraints\": [\"max_tokens\", \"allowed_tools\"]\n}\nAgenten SOLLTEN starke, asymmetrische Methoden verwenden (JWT Client Auth [RFC7523], mTLS [RFC8705]), potenziell kombiniert mit Attestierung. Gemeinsame Geheimnisse werden NICHT EMPFOHLEN.
\n\nSysteme MÜSSEN die gesamte Delegationskette validieren, Scope-Reduktion durchsetzen, Zustimmungsmechanismen implementieren und zeitliche Begrenzung in Betracht ziehen. Richtlinien können die Kettenlänge begrenzen. Robuste Widerrufsmechanismen sind erforderlich.
\n\nErfordert sichere Verwaltung von Signaturschlüsseln, robuste Nonce-Handhabung, vertrauenswürdige bekannte gute Messungen, sichere Endpunkte und Schutz vor Replay-Angriffen. Attestierungsnachweise können Datenschutzimplikationen haben.
\n\nID Tokens mit Agenten-Claims SOLLTEN verschlüsselt werden. Access Tokens SOLLTEN begrenzte Lebensdauern haben. Refresh Tokens für Agenten erfordern sorgfältige Überlegung.
\n\nImplementierungen MÜSSEN potenzielle Korrelation der Agentenidentität, Datenschutzimplikationen von Delegationsketten, Anforderungen an Benutzerzustimmung und Datenminimierung in Claims berücksichtigen.
\n\nOIDC-A 1.0 ist für Kompatibilität mit OAuth 2.0 [RFC6749], OIDC Core 1.0, JWT [RFC7519] und verwandten RFCs konzipiert. Zukünftige Versionen werden Abwärtskompatibilität anstreben.
\n\n{\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"agent_instance_789\",\n \"aud\": \"client_123\",\n \"exp\": 1714435200,\n \"iat\": 1714348800,\n \"auth_time\": 1714348800,\n \"nonce\": \"n-0S6_WzA2Mj\",\n \"agent_type\": \"assistant\",\n \"agent_model\": \"gpt-4\",\n \"agent_version\": \"2025-03\",\n \"agent_provider\": \"openai.com\",\n \"agent_instance_id\": \"agent_instance_789\",\n \"delegator_sub\": \"user_456\",\n \"delegation_purpose\": \"Email management assistant\",\n \"agent_capabilities\": [\"email:read\", \"email:draft\", \"calendar:view\"],\n \"agent_trust_level\": \"verified\",\n \"agent_context_id\": \"conversation_123\",\n \"agent_attestation\": {\n \"format\": \"urn:ietf:params:oauth:token-type:eat\",\n \"token\": \"eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...\",\n \"timestamp\": 1714348800\n },\n \"delegation_chain\": [\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"user_456\",\n \"aud\": \"agent_instance_789\",\n \"delegated_at\": 1714348700,\n \"scope\": \"email profile calendar\"\n }\n ]\n}\n\"delegation_chain\": [\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"user_456\",\n \"aud\": \"agent_instance_789\",\n \"delegated_at\": 1714348800,\n \"scope\": \"email calendar\",\n \"purpose\": \"Manage my emails and calendar\"\n },\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"agent_instance_789\",\n \"aud\": \"agent_instance_101\",\n \"delegated_at\": 1714348830,\n \"scope\": \"calendar:view\",\n \"purpose\": \"Analyze available time slots\"\n }\n]\n