Este documento propone una extensión estándar a OpenID Connect para representar y verificar la identidad de agentes basados en LLM. Integra la propuesta central con marcos detallados para verificación, atestación y cadenas de delegación.
\n\nOpenID Connect para Agentes (OIDC-A) 1.0 es una extensión de OpenID Connect Core 1.0 que proporciona un marco para representar, autenticar y autorizar agentes basados en LLM dentro del ecosistema OAuth 2.0. Esta especificación define claims estándar, endpoints y protocolos para establecer la identidad del agente, verificar la atestación del agente, representar cadenas de delegación y habilitar autorización granular basada en atributos del agente.
\n\nA medida que los agentes basados en LLM se vuelven cada vez más prevalentes en los ecosistemas digitales, existe una necesidad creciente de métodos estandarizados para representar su identidad y gestionar su autorización. Los protocolos tradicionales OAuth 2.0 y OpenID Connect fueron diseñados principalmente para usuarios humanos y aplicaciones convencionales, careciendo de las construcciones necesarias para representar las características únicas de los agentes autónomos, tales como:
\n\nEsta especificación aborda estas brechas extendiendo OpenID Connect para proporcionar un marco integral para la identidad y autorización de agentes.
\n\nEsta especificación utiliza los términos definidos en OAuth 2.0 [RFC6749], OpenID Connect Core 1.0, y los siguientes términos adicionales:
\n\nOIDC-A extiende OpenID Connect mediante:
\n\nLos siguientes claims DEBEN o DEBERÍAN incluirse en ID Tokens emitidos a o sobre agentes:
\n\n| Claim | \nTipo | \nDescripción | \nRequisito | \n
|---|---|---|---|
agent_type | \n string | \nIdentifica el tipo/clase de agente (por ejemplo, \"assistant\", \"retrieval\", \"coding\") | \nREQUERIDO | \n
agent_model | \n string | \nIdentifica el modelo específico (por ejemplo, \"gpt-4\", \"claude-3-opus\", \"gemini-pro\") | \nREQUERIDO | \n
agent_version | \n string | \nIdentificador de versión del modelo del agente | \nRECOMENDADO | \n
agent_provider | \n string | \nOrganización que proporciona/aloja el agente (por ejemplo, \"openai.com\", \"anthropic.com\") | \nREQUERIDO | \n
agent_instance_id | \n string | \nIdentificador único para esta instancia específica del agente | \nREQUERIDO | \n
| Claim | \nTipo | \nDescripción | \nRequisito | \n
|---|---|---|---|
delegator_sub | \n string | \nIdentificador de sujeto de la entidad que más recientemente delegó autoridad a este agente | \nREQUERIDO | \n
delegation_chain | \n array | \nArray ordenado de pasos de delegación (ver Sección 2.4.2) | \nOPCIONAL | \n
delegation_purpose | \n string | \nDescripción del propósito/intención para el cual se delegó la autoridad | \nRECOMENDADO | \n
delegation_constraints | \n object | \nRestricciones impuestas al agente por el delegador | \nOPCIONAL | \n
| Claim | \nTipo | \nDescripción | \nRequisito | \n
|---|---|---|---|
agent_capabilities | \n array | \nArray de identificadores de capacidad que representan lo que el agente puede hacer | \nRECOMENDADO | \n
agent_trust_level | \n string | \nClasificación de confianza del agente (por ejemplo, \"verified\", \"experimental\") | \nOPCIONAL | \n
agent_attestation | \n object | \nEvidencia de atestación o referencia (ver Sección 2.4.4) | \nRECOMENDADO | \n
agent_context_id | \n string | \nIdentificador para el contexto de conversación/tarea | \nRECOMENDADO | \n
agent_typeValor de cadena de un conjunto definido de tipos de agente. Los implementadores DEBERÍAN usar uno de los siguientes valores cuando sea aplicable:
\nassistant: Agente asistente de propósito generalretrieval: Agente especializado en recuperación de informacióncoding: Agente especializado en generación o análisis de códigodomain_specific: Agente especializado para un dominio particularautonomous: Agente con alto grado de autonomíasupervised: Agente que requiere supervisión humana para acciones clavePUEDEN usarse tipos personalizados pero DEBERÍAN seguir el formato vendor:type (por ejemplo, acme:financial_advisor).
delegation_chainArray JSON que contiene objetos que representan cada paso en la cadena de delegación, desde el usuario original hasta el agente actual. Cada objeto DEBE contener:
\niss: REQUERIDO. Cadena que identifica el Authorization Server o entidad que emitió/validó este paso de delegación.sub: REQUERIDO. Cadena que identifica al delegador (la entidad que otorga permiso).aud: REQUERIDO. Cadena que identifica al delegado (el agente que recibe permiso).delegated_at: REQUERIDO. NumericDate que representa el momento en que ocurrió la delegación.scope: REQUERIDO. Cadena separada por espacios de scopes OAuth que representan los permisos otorgados en este paso de delegación. DEBE ser un subconjunto de los scopes mantenidos por el delegador (sub).purpose: OPCIONAL. Cadena que describe el propósito previsto de este paso de delegación.constraints: OPCIONAL. Objeto JSON que especifica restricciones en la delegación (por ejemplo, {\"max_duration\": 3600, \"allowed_resources\": [\"/data/abc\"]}).jti: OPCIONAL. Un identificador único para este paso de delegación específico, útil para revocación o seguimiento.El array DEBE estar ordenado cronológicamente.
\n\nReglas de Validación para delegation_chain (realizadas por Relying Party):
delegated_at.iss sea confiable.aud del paso N coincida con sub del paso N+1.scope en cada paso sea un subconjunto de/igual a los scopes disponibles del delegador.constraints.agent_capabilitiesArray de identificadores de cadena que representan las capacidades del agente. Los implementadores DEBERÍAN usar identificadores de capacidad de una taxonomía bien definida cuando esté disponible. Las capacidades personalizadas DEBERÍAN seguir el formato vendor:capability (por ejemplo, acme:financial_analysis).
agent_attestationObjeto JSON que contiene evidencia de atestación o una referencia a ella. DEBE incluir un campo format que indique el tipo de evidencia.
Formato Recomendado: Basado en JWT, potencialmente compatible con IETF RATS Entity Attestation Token (EAT).
\n\nEjemplo:
\n\"agent_attestation\": {\n \"format\": \"urn:ietf:params:oauth:token-type:eat\",\n \"token\": \"eyJhbGciOiJFUzI1NiIsInR5cCI6ImVhdCtqd3QifQ...\"\n}\nPUEDEN usarse otros formatos (por ejemplo, \"format\": \"TPM2-Quote\", \"format\": \"SGX-Quote\").
El flujo de autenticación OIDC-A extiende el flujo de Autenticación estándar de OpenID Connect:
\n\nagent y potencialmente delegation_context.Cuando se delega autoridad a un agente:
\n\ndelegator_sub, delegation_chain (actualizado), delegation_purpose y scope restringido.Para verificar la atestación de un agente:
\n\nagent_attestation en su ID Token o proporciona evidencia por separado.format especificado:\nagent_attestation_endpoint para asistencia en validación.verified: true/false).Extiende OAuth 2.0 Dynamic Client Registration [RFC7591]:
\n\n| Parámetro | \nTipo | \nDescripción | \n
|---|---|---|
agent_provider | \n string | \nIdentificador del proveedor del agente | \n
agent_models_supported | \n array | \nLista de modelos de agente soportados | \n
agent_capabilities | \n array | \nLista de capacidades del agente | \n
attestation_formats_supported | \n array | \nLista de formatos de atestación soportados | \n
delegation_methods_supported | \n array | \nLista de métodos de delegación soportados | \n
Extiende OpenID Connect Discovery 1.0:
\n\n| Parámetro | \nTipo | \nDescripción | \n
|---|---|---|
agent_attestation_endpoint | \n string | \nURL del endpoint de atestación | \n
agent_capabilities_endpoint | \n string | \nURL del endpoint de descubrimiento de capacidades | \n
agent_claims_supported | \n array | \nLista de claims de agente soportados | \n
agent_types_supported | \n array | \nLista de tipos de agente soportados | \n
delegation_methods_supported | \n array | \nLista de métodos de delegación soportados | \n
attestation_formats_supported | \n array | \nLista de formatos de atestación soportados | \n
attestation_verification_keys_endpoint | \n string | \nURL para recuperar claves públicas para verificar firmas de atestación | \n
Un recurso protegido OAuth 2.0 que devuelve información de atestación sobre un agente o asiste en validar evidencia proporcionada. URL anunciada vía parámetro de descubrimiento agent_attestation_endpoint.
GET /agent/attestation?agent_id=123&nonce=abc\nAuthorization: Bearer <token>\n{\n \"verified\": true,\n \"provider\": \"openai.com\",\n \"model\": \"gpt-4\",\n \"version\": \"2025-03\",\n \"attestation_timestamp\": 1714348800,\n \"attestation_signature\": \"...\"\n}\nProporciona información sobre las capacidades de un agente. URL anunciada vía parámetro de descubrimiento agent_capabilities_endpoint.
GET /.well-known/agent-capabilities\n{\n \"capabilities\": [\n {\"id\": \"text_generation\", \"description\": \"...\"},\n {\"id\": \"code_generation\", \"description\": \"...\"}\n ],\n \"supported_constraints\": [\"max_tokens\", \"allowed_tools\"]\n}\nLos agentes DEBERÍAN usar métodos asimétricos fuertes (JWT Client Auth [RFC7523], mTLS [RFC8705]), potencialmente combinados con atestación. Los secretos compartidos NO son RECOMENDADOS.
\n\nLos sistemas DEBEN validar toda la cadena de delegación, aplicar reducción de scope, implementar mecanismos de consentimiento y considerar límites de tiempo. Las políticas pueden limitar la longitud de la cadena. Se necesitan mecanismos robustos de revocación.
\n\nRequiere gestión segura de claves de firma, manejo robusto de nonce, mediciones conocidas como buenas confiables, endpoints seguros y protección contra ataques de repetición. La evidencia de atestación puede tener implicaciones de privacidad.
\n\nLos ID Tokens con claims de agente DEBERÍAN estar encriptados. Los access tokens DEBERÍAN tener tiempos de vida limitados. Los refresh tokens para agentes requieren consideración cuidadosa.
\n\nLas implementaciones DEBEN considerar la correlación potencial de identidad del agente, implicaciones de privacidad de cadenas de delegación, requisitos de consentimiento del usuario y minimización de datos en claims.
\n\nOIDC-A 1.0 está diseñado para compatibilidad con OAuth 2.0 [RFC6749], OIDC Core 1.0, JWT [RFC7519] y RFCs relacionados. Las versiones futuras apuntarán a compatibilidad hacia atrás.
\n\n{\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"agent_instance_789\",\n \"aud\": \"client_123\",\n \"exp\": 1714435200,\n \"iat\": 1714348800,\n \"auth_time\": 1714348800,\n \"nonce\": \"n-0S6_WzA2Mj\",\n \"agent_type\": \"assistant\",\n \"agent_model\": \"gpt-4\",\n \"agent_version\": \"2025-03\",\n \"agent_provider\": \"openai.com\",\n \"agent_instance_id\": \"agent_instance_789\",\n \"delegator_sub\": \"user_456\",\n \"delegation_purpose\": \"Email management assistant\",\n \"agent_capabilities\": [\"email:read\", \"email:draft\", \"calendar:view\"],\n \"agent_trust_level\": \"verified\",\n \"agent_context_id\": \"conversation_123\",\n \"agent_attestation\": {\n \"format\": \"urn:ietf:params:oauth:token-type:eat\",\n \"token\": \"eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...\",\n \"timestamp\": 1714348800\n },\n \"delegation_chain\": [\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"user_456\",\n \"aud\": \"agent_instance_789\",\n \"delegated_at\": 1714348700,\n \"scope\": \"email profile calendar\"\n }\n ]\n}\n\"delegation_chain\": [\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"user_456\",\n \"aud\": \"agent_instance_789\",\n \"delegated_at\": 1714348800,\n \"scope\": \"email calendar\",\n \"purpose\": \"Manage my emails and calendar\"\n },\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"agent_instance_789\",\n \"aud\": \"agent_instance_101\",\n \"delegated_at\": 1714348830,\n \"scope\": \"calendar:view\",\n \"purpose\": \"Analyze available time slots\"\n }\n]\n