Ce document propose une extension standard à OpenID Connect pour représenter et vérifier l'identité des agents basés sur les LLM. Il intègre la proposition principale avec des cadres détaillés pour la vérification, l'attestation et les chaînes de délégation.
\n\nOpenID Connect pour les Agents (OIDC-A) 1.0 est une extension d'OpenID Connect Core 1.0 qui fournit un cadre pour représenter, authentifier et autoriser les agents basés sur les LLM au sein de l'écosystème OAuth 2.0. Cette spécification définit des revendications standard, des points de terminaison et des protocoles pour établir l'identité des agents, vérifier l'attestation des agents, représenter les chaînes de délégation et permettre une autorisation fine basée sur les attributs des agents.
\n\nAlors que les agents basés sur les LLM deviennent de plus en plus répandus dans les écosystèmes numériques, il existe un besoin croissant de méthodes standardisées pour représenter leur identité et gérer leur autorisation. Les protocoles traditionnels OAuth 2.0 et OpenID Connect ont été conçus principalement pour les utilisateurs humains et les applications conventionnelles, manquant des constructions nécessaires pour représenter les caractéristiques uniques des agents autonomes, telles que :
\n\nCette spécification comble ces lacunes en étendant OpenID Connect pour fournir un cadre complet pour l'identité et l'autorisation des agents.
\n\nCette spécification utilise les termes définis dans OAuth 2.0 [RFC6749], OpenID Connect Core 1.0, et les termes supplémentaires suivants :
\n\nOIDC-A étend OpenID Connect en :
\n\nLes revendications suivantes DOIVENT ou DEVRAIENT être incluses dans les jetons d'identité émis pour ou concernant les agents :
\n\n| Revendication | \nType | \nDescription | \nExigence | \n
|---|---|---|---|
agent_type | \n string | \nIdentifie le type/classe d'agent (par exemple, \"assistant\", \"retrieval\", \"coding\") | \nOBLIGATOIRE | \n
agent_model | \n string | \nIdentifie le modèle spécifique (par exemple, \"gpt-4\", \"claude-3-opus\", \"gemini-pro\") | \nOBLIGATOIRE | \n
agent_version | \n string | \nIdentifiant de version du modèle d'agent | \nRECOMMANDÉ | \n
agent_provider | \n string | \nOrganisation qui fournit/héberge l'agent (par exemple, \"openai.com\", \"anthropic.com\") | \nOBLIGATOIRE | \n
agent_instance_id | \n string | \nIdentifiant unique pour cette instance spécifique de l'agent | \nOBLIGATOIRE | \n
| Revendication | \nType | \nDescription | \nExigence | \n
|---|---|---|---|
delegator_sub | \n string | \nIdentifiant de sujet de l'entité qui a le plus récemment délégué l'autorité à cet agent | \nOBLIGATOIRE | \n
delegation_chain | \n array | \nTableau ordonné des étapes de délégation (voir Section 2.4.2) | \nOPTIONNEL | \n
delegation_purpose | \n string | \nDescription de l'objectif/intention pour lequel l'autorité a été déléguée | \nRECOMMANDÉ | \n
delegation_constraints | \n object | \nContraintes placées sur l'agent par le délégant | \nOPTIONNEL | \n
| Revendication | \nType | \nDescription | \nExigence | \n
|---|---|---|---|
agent_capabilities | \n array | \nTableau d'identifiants de capacités représentant ce que l'agent peut faire | \nRECOMMANDÉ | \n
agent_trust_level | \n string | \nClassification de confiance de l'agent (par exemple, \"verified\", \"experimental\") | \nOPTIONNEL | \n
agent_attestation | \n object | \nPreuve d'attestation ou référence (voir Section 2.4.4) | \nRECOMMANDÉ | \n
agent_context_id | \n string | \nIdentifiant pour le contexte de conversation/tâche | \nRECOMMANDÉ | \n
agent_typeValeur de chaîne provenant d'un ensemble défini de types d'agents. Les implémenteurs DEVRAIENT utiliser l'une des valeurs suivantes le cas échéant :
\nassistant : Agent assistant à usage généralretrieval : Agent spécialisé dans la récupération d'informationscoding : Agent spécialisé dans la génération ou l'analyse de codedomain_specific : Agent spécialisé pour un domaine particulierautonomous : Agent avec un haut degré d'autonomiesupervised : Agent nécessitant une supervision humaine pour les actions clésDes types personnalisés PEUVENT être utilisés mais DEVRAIENT suivre le format vendor:type (par exemple, acme:financial_advisor).
delegation_chainTableau JSON contenant des objets représentant chaque étape de la chaîne de délégation, de l'utilisateur d'origine à l'agent actuel. Chaque objet DOIT contenir :
\niss : OBLIGATOIRE. Chaîne identifiant le serveur d'autorisation ou l'entité qui a émis/validé cette étape de délégation.sub : OBLIGATOIRE. Chaîne identifiant le délégant (l'entité accordant la permission).aud : OBLIGATOIRE. Chaîne identifiant le délégataire (l'agent recevant la permission).delegated_at : OBLIGATOIRE. NumericDate représentant le moment où la délégation s'est produite.scope : OBLIGATOIRE. Chaîne séparée par des espaces de portées OAuth représentant les permissions accordées dans cette étape de délégation. DOIT être un sous-ensemble des portées détenues par le délégant (sub).purpose : OPTIONNEL. Chaîne décrivant l'objectif prévu de cette étape de délégation.constraints : OPTIONNEL. Objet JSON spécifiant les contraintes sur la délégation (par exemple, {\"max_duration\": 3600, \"allowed_resources\": [\"/data/abc\"]}).jti : OPTIONNEL. Un identifiant unique pour cette étape de délégation spécifique, utile pour la révocation ou le suivi.Le tableau DOIT être ordonné chronologiquement.
\n\nRègles de validation pour delegation_chain (effectuées par la Partie de Confiance) :
delegated_at.iss est de confiance.aud de l'étape N correspond à sub de l'étape N+1.scope dans chaque étape est un sous-ensemble de/égal aux portées disponibles du délégant.constraints.agent_capabilitiesTableau d'identifiants de chaîne représentant les capacités de l'agent. Les implémenteurs DEVRAIENT utiliser des identifiants de capacités provenant d'une taxonomie bien définie lorsqu'elle est disponible. Les capacités personnalisées DEVRAIENT suivre le format vendor:capability (par exemple, acme:financial_analysis).
agent_attestationObjet JSON contenant une preuve d'attestation ou une référence à celle-ci. DOIT inclure un champ format indiquant le type de preuve.
Format recommandé : Basé sur JWT, potentiellement compatible avec IETF RATS Entity Attestation Token (EAT).
\n\nExemple :
\n\"agent_attestation\": {\n \"format\": \"urn:ietf:params:oauth:token-type:eat\",\n \"token\": \"eyJhbGciOiJFUzI1NiIsInR5cCI6ImVhdCtqd3QifQ...\"\n}\nD'autres formats (par exemple, \"format\": \"TPM2-Quote\", \"format\": \"SGX-Quote\") PEUVENT être utilisés.
Le flux d'authentification OIDC-A étend le flux d'authentification OpenID Connect standard :
\n\nagent et potentiellement delegation_context.Lorsqu'une autorité est déléguée à un agent :
\n\ndelegator_sub, delegation_chain (mis à jour), delegation_purpose, et scope contraint.Pour vérifier l'attestation d'un agent :
\n\nagent_attestation dans son jeton d'identité ou fournit la preuve séparément.format spécifié :\nagent_attestation_endpoint pour l'assistance à la validation.verified: true/false).Étend OAuth 2.0 Dynamic Client Registration [RFC7591] :
\n\n| Paramètre | \nType | \nDescription | \n
|---|---|---|
agent_provider | \n string | \nIdentifiant du fournisseur d'agent | \n
agent_models_supported | \n array | \nListe des modèles d'agents pris en charge | \n
agent_capabilities | \n array | \nListe des capacités de l'agent | \n
attestation_formats_supported | \n array | \nListe des formats d'attestation pris en charge | \n
delegation_methods_supported | \n array | \nListe des méthodes de délégation prises en charge | \n
Étend OpenID Connect Discovery 1.0 :
\n\n| Paramètre | \nType | \nDescription | \n
|---|---|---|
agent_attestation_endpoint | \n string | \nURL du point de terminaison d'attestation | \n
agent_capabilities_endpoint | \n string | \nURL du point de terminaison de découverte des capacités | \n
agent_claims_supported | \n array | \nListe des revendications d'agents prises en charge | \n
agent_types_supported | \n array | \nListe des types d'agents pris en charge | \n
delegation_methods_supported | \n array | \nListe des méthodes de délégation prises en charge | \n
attestation_formats_supported | \n array | \nListe des formats d'attestation pris en charge | \n
attestation_verification_keys_endpoint | \n string | \nURL pour récupérer les clés publiques pour vérifier les signatures d'attestation | \n
Une ressource protégée OAuth 2.0 qui renvoie des informations d'attestation sur un agent ou aide à valider les preuves fournies. URL annoncée via le paramètre de découverte agent_attestation_endpoint.
GET /agent/attestation?agent_id=123&nonce=abc\nAuthorization: Bearer <token>\n{\n \"verified\": true,\n \"provider\": \"openai.com\",\n \"model\": \"gpt-4\",\n \"version\": \"2025-03\",\n \"attestation_timestamp\": 1714348800,\n \"attestation_signature\": \"...\"\n}\nFournit des informations sur les capacités d'un agent. URL annoncée via le paramètre de découverte agent_capabilities_endpoint.
GET /.well-known/agent-capabilities\n{\n \"capabilities\": [\n {\"id\": \"text_generation\", \"description\": \"...\"},\n {\"id\": \"code_generation\", \"description\": \"...\"}\n ],\n \"supported_constraints\": [\"max_tokens\", \"allowed_tools\"]\n}\nLes agents DEVRAIENT utiliser des méthodes asymétriques fortes (JWT Client Auth [RFC7523], mTLS [RFC8705]), potentiellement combinées avec l'attestation. Les secrets partagés ne sont PAS RECOMMANDÉS.
\n\nLes systèmes DOIVENT valider l'ensemble de la chaîne de délégation, appliquer la réduction de portée, mettre en œuvre des mécanismes de consentement et envisager une limitation temporelle. Les politiques peuvent limiter la longueur de la chaîne. Des mécanismes de révocation robustes sont nécessaires.
\n\nNécessite une gestion sécurisée des clés de signature, une gestion robuste des nonces, des mesures connues comme bonnes et fiables, des points de terminaison sécurisés et une protection contre les attaques par rejeu. Les preuves d'attestation peuvent avoir des implications en matière de confidentialité.
\n\nLes jetons d'identité avec des revendications d'agents DEVRAIENT être chiffrés. Les jetons d'accès DEVRAIENT avoir des durées de vie limitées. Les jetons de rafraîchissement pour les agents nécessitent une attention particulière.
\n\nLes implémentations DOIVENT considérer la corrélation potentielle de l'identité des agents, les implications de confidentialité des chaînes de délégation, les exigences de consentement des utilisateurs et la minimisation des données dans les revendications.
\n\nOIDC-A 1.0 est conçu pour la compatibilité avec OAuth 2.0 [RFC6749], OIDC Core 1.0, JWT [RFC7519] et les RFC associées. Les versions futures viseront la rétrocompatibilité.
\n\n{\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"agent_instance_789\",\n \"aud\": \"client_123\",\n \"exp\": 1714435200,\n \"iat\": 1714348800,\n \"auth_time\": 1714348800,\n \"nonce\": \"n-0S6_WzA2Mj\",\n \"agent_type\": \"assistant\",\n \"agent_model\": \"gpt-4\",\n \"agent_version\": \"2025-03\",\n \"agent_provider\": \"openai.com\",\n \"agent_instance_id\": \"agent_instance_789\",\n \"delegator_sub\": \"user_456\",\n \"delegation_purpose\": \"Email management assistant\",\n \"agent_capabilities\": [\"email:read\", \"email:draft\", \"calendar:view\"],\n \"agent_trust_level\": \"verified\",\n \"agent_context_id\": \"conversation_123\",\n \"agent_attestation\": {\n \"format\": \"urn:ietf:params:oauth:token-type:eat\",\n \"token\": \"eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...\",\n \"timestamp\": 1714348800\n },\n \"delegation_chain\": [\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"user_456\",\n \"aud\": \"agent_instance_789\",\n \"delegated_at\": 1714348700,\n \"scope\": \"email profile calendar\"\n }\n ]\n}\n\"delegation_chain\": [\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"user_456\",\n \"aud\": \"agent_instance_789\",\n \"delegated_at\": 1714348800,\n \"scope\": \"email calendar\",\n \"purpose\": \"Manage my emails and calendar\"\n },\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"agent_instance_789\",\n \"aud\": \"agent_instance_101\",\n \"delegated_at\": 1714348830,\n \"scope\": \"calendar:view\",\n \"purpose\": \"Analyze available time slots\"\n }\n]\n