本文書は、LLMベースのエージェントのアイデンティティを表現および検証するための標準拡張をOpenID Connectに提案するものです。検証、証明、委任チェーンのための詳細なフレームワークとコア提案を統合しています。
\n\nOpenID Connect for Agents (OIDC-A) 1.0は、OAuth 2.0エコシステム内でLLMベースのエージェントを表現、認証、認可するためのフレームワークを提供するOpenID Connect Core 1.0の拡張です。本仕様は、エージェントのアイデンティティの確立、エージェント証明の検証、委任チェーンの表現、エージェント属性に基づくきめ細かい認可を可能にするための標準クレーム、エンドポイント、プロトコルを定義します。
\n\nLLMベースのエージェントがデジタルエコシステムでますます普及するにつれて、それらのアイデンティティを表現し、認可を管理するための標準化された方法の必要性が高まっています。従来のOAuth 2.0およびOpenID Connectプロトコルは、主に人間のユーザーと従来のアプリケーション向けに設計されており、以下のような自律的エージェントの固有の特性を表現するために必要な構造が欠けています:
\n\n本仕様は、エージェントのアイデンティティと認可のための包括的なフレームワークを提供するためにOpenID Connectを拡張することで、これらのギャップに対処します。
\n\n本仕様では、OAuth 2.0 [RFC6749]、OpenID Connect Core 1.0で定義された用語、および以下の追加用語を使用します:
\n\nOIDC-Aは以下によってOpenID Connectを拡張します:
\n\n以下のクレームは、エージェントに対して、またはエージェントについて発行されるIDトークンに含まれなければならない(MUST)、または含まれるべき(SHOULD)です:
\n\n| クレーム | \n型 | \n説明 | \n要件 | \n
|---|---|---|---|
agent_type | \n string | \nエージェントのタイプ/クラスを識別(例:\"assistant\"、\"retrieval\"、\"coding\") | \nREQUIRED | \n
agent_model | \n string | \n特定のモデルを識別(例:\"gpt-4\"、\"claude-3-opus\"、\"gemini-pro\") | \nREQUIRED | \n
agent_version | \n string | \nエージェントモデルのバージョン識別子 | \nRECOMMENDED | \n
agent_provider | \n string | \nエージェントを提供/ホストする組織(例:\"openai.com\"、\"anthropic.com\") | \nREQUIRED | \n
agent_instance_id | \n string | \nこのエージェントの特定のインスタンスの一意の識別子 | \nREQUIRED | \n
| クレーム | \n型 | \n説明 | \n要件 | \n
|---|---|---|---|
delegator_sub | \n string | \nこのエージェントに最も最近権限を委任したエンティティのサブジェクト識別子 | \nREQUIRED | \n
delegation_chain | \n array | \n委任ステップの順序付き配列(セクション2.4.2を参照) | \nOPTIONAL | \n
delegation_purpose | \n string | \n権限が委任された目的/意図の説明 | \nRECOMMENDED | \n
delegation_constraints | \n object | \n委任者によってエージェントに課される制約 | \nOPTIONAL | \n
| クレーム | \n型 | \n説明 | \n要件 | \n
|---|---|---|---|
agent_capabilities | \n array | \nエージェントができることを表す能力識別子の配列 | \nRECOMMENDED | \n
agent_trust_level | \n string | \nエージェントの信頼分類(例:\"verified\"、\"experimental\") | \nOPTIONAL | \n
agent_attestation | \n object | \n証明エビデンスまたはその参照(セクション2.4.4を参照) | \nRECOMMENDED | \n
agent_context_id | \n string | \n会話/タスクコンテキストの識別子 | \nRECOMMENDED | \n
agent_type定義されたエージェントタイプのセットからの文字列値。実装者は、該当する場合、以下の値のいずれかを使用すべき(SHOULD)です:
\nassistant: 汎用アシスタントエージェントretrieval: 情報検索に特化したエージェントcoding: コード生成または分析に特化したエージェントdomain_specific: 特定のドメインに特化したエージェントautonomous: 高度な自律性を持つエージェントsupervised: 主要なアクションに人間の監督を必要とするエージェントカスタムタイプを使用してもよい(MAY)が、vendor:typeの形式に従うべき(SHOULD)です(例:acme:financial_advisor)。
delegation_chain元のユーザーから現在のエージェントまでの委任チェーンの各ステップを表すオブジェクトを含むJSON配列。各オブジェクトには以下が含まれなければならない(MUST):
\niss: REQUIRED。この委任ステップを発行/検証した認可サーバーまたはエンティティを識別する文字列。sub: REQUIRED。委任者(権限を付与するエンティティ)を識別する文字列。aud: REQUIRED。被委任者(権限を受け取るエージェント)を識別する文字列。delegated_at: REQUIRED。委任が発生した時刻を表すNumericDate。scope: REQUIRED。この委任ステップで付与された権限を表すOAuthスコープのスペース区切り文字列。委任者(sub)が保持するスコープのサブセットでなければならない(MUST)。purpose: OPTIONAL。この委任ステップの意図された目的を説明する文字列。constraints: OPTIONAL。委任に対する制約を指定するJSONオブジェクト(例:{\"max_duration\": 3600, \"allowed_resources\": [\"/data/abc\"]})。jti: OPTIONAL。この特定の委任ステップの一意の識別子。取り消しや追跡に有用。配列は時系列順に並べられなければならない(MUST)。
\n\ndelegation_chainの検証ルール(リライングパーティによって実行):
delegated_atに基づいて時系列順を確認。issが信頼されていることを確認。audがステップN+1のsubと一致することを確認。scopeが委任者の利用可能なスコープのサブセット/同等であることを確認。constraintsへの準拠を確認。agent_capabilitiesエージェントの能力を表す文字列識別子の配列。実装者は、利用可能な場合、明確に定義された分類法からの能力識別子を使用すべき(SHOULD)です。カスタム能力はvendor:capabilityの形式に従うべき(SHOULD)です(例:acme:financial_analysis)。
agent_attestation証明エビデンスまたはその参照を含むJSONオブジェクト。エビデンスのタイプを示すformatフィールドを含まなければならない(MUST)。
推奨フォーマット: JWTベース、IETF RATS Entity Attestation Token (EAT)と互換性がある可能性があります。
\n\n例:
\n\"agent_attestation\": {\n \"format\": \"urn:ietf:params:oauth:token-type:eat\",\n \"token\": \"eyJhbGciOiJFUzI1NiIsInR5cCI6ImVhdCtqd3QifQ...\"\n}\n他のフォーマット(例:\"format\": \"TPM2-Quote\"、\"format\": \"SGX-Quote\")を使用してもよい(MAY)。
OIDC-A認証フローは、標準のOpenID Connect認証フローを拡張します:
\n\nagentスコープと潜在的にdelegation_contextを含めるべき(SHOULD)です。エージェントに権限が委任される場合:
\n\ndelegator_sub、delegation_chain(更新済み)、delegation_purpose、および制約されたscopeを含む新しいIDトークンをエージェントに発行します。エージェントの証明を検証するには:
\n\nagent_attestationクレームを含めるか、エビデンスを別途提供します。formatに基づいてエビデンスを検証します:\nagent_attestation_endpointを使用。verified: true/false)を組み込みます。OAuth 2.0 Dynamic Client Registration [RFC7591]を拡張:
\n\n| パラメータ | \n型 | \n説明 | \n
|---|---|---|
agent_provider | \n string | \nエージェントプロバイダーの識別子 | \n
agent_models_supported | \n array | \nサポートされるエージェントモデルのリスト | \n
agent_capabilities | \n array | \nエージェント能力のリスト | \n
attestation_formats_supported | \n array | \nサポートされる証明フォーマットのリスト | \n
delegation_methods_supported | \n array | \nサポートされる委任方法のリスト | \n
OpenID Connect Discovery 1.0を拡張:
\n\n| パラメータ | \n型 | \n説明 | \n
|---|---|---|
agent_attestation_endpoint | \n string | \n証明エンドポイントのURL | \n
agent_capabilities_endpoint | \n string | \n能力発見エンドポイントのURL | \n
agent_claims_supported | \n array | \nサポートされるエージェントクレームのリスト | \n
agent_types_supported | \n array | \nサポートされるエージェントタイプのリスト | \n
delegation_methods_supported | \n array | \nサポートされる委任方法のリスト | \n
attestation_formats_supported | \n array | \nサポートされる証明フォーマットのリスト | \n
attestation_verification_keys_endpoint | \n string | \n証明署名を検証するための公開鍵を取得するURL | \n
エージェントに関する証明情報を返すか、提供されたエビデンスの検証を支援するOAuth 2.0保護リソース。URLはagent_attestation_endpointディスカバリーパラメータを介して通知されます。
GET /agent/attestation?agent_id=123&nonce=abc\nAuthorization: Bearer <token>\n{\n \"verified\": true,\n \"provider\": \"openai.com\",\n \"model\": \"gpt-4\",\n \"version\": \"2025-03\",\n \"attestation_timestamp\": 1714348800,\n \"attestation_signature\": \"...\"\n}\nエージェントの能力に関する情報を提供します。URLはagent_capabilities_endpointディスカバリーパラメータを介して通知されます。
GET /.well-known/agent-capabilities\n{\n \"capabilities\": [\n {\"id\": \"text_generation\", \"description\": \"...\"},\n {\"id\": \"code_generation\", \"description\": \"...\"}\n ],\n \"supported_constraints\": [\"max_tokens\", \"allowed_tools\"]\n}\nエージェントは、証明と組み合わせた強力な非対称方式(JWT Client Auth [RFC7523]、mTLS [RFC8705])を使用すべき(SHOULD)です。共有シークレットは推奨されません(NOT RECOMMENDED)。
\n\nシステムは委任チェーン全体を検証し、スコープの縮小を適用し、同意メカニズムを実装し、時間制限を考慮しなければならない(MUST)。ポリシーはチェーンの長さを制限する場合があります。堅牢な取り消しメカニズムが必要です。
\n\n署名鍵の安全な管理、堅牢なnonce処理、信頼できる既知の正常測定値、安全なエンドポイント、リプレイ攻撃に対する保護が必要です。証明エビデンスにはプライバシーへの影響がある可能性があります。
\n\nエージェントクレームを含むIDトークンは暗号化されるべき(SHOULD)です。アクセストークンは限定された有効期間を持つべき(SHOULD)です。エージェント用のリフレッシュトークンには慎重な検討が必要です。
\n\n実装は、エージェントアイデンティティの潜在的な相関、委任チェーンのプライバシーへの影響、ユーザー同意の要件、クレームにおけるデータ最小化を考慮しなければならない(MUST)。
\n\nOIDC-A 1.0は、OAuth 2.0 [RFC6749]、OIDC Core 1.0、JWT [RFC7519]、および関連RFCとの互換性を考慮して設計されています。将来のバージョンは下位互換性を目指します。
\n\n{\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"agent_instance_789\",\n \"aud\": \"client_123\",\n \"exp\": 1714435200,\n \"iat\": 1714348800,\n \"auth_time\": 1714348800,\n \"nonce\": \"n-0S6_WzA2Mj\",\n \"agent_type\": \"assistant\",\n \"agent_model\": \"gpt-4\",\n \"agent_version\": \"2025-03\",\n \"agent_provider\": \"openai.com\",\n \"agent_instance_id\": \"agent_instance_789\",\n \"delegator_sub\": \"user_456\",\n \"delegation_purpose\": \"Email management assistant\",\n \"agent_capabilities\": [\"email:read\", \"email:draft\", \"calendar:view\"],\n \"agent_trust_level\": \"verified\",\n \"agent_context_id\": \"conversation_123\",\n \"agent_attestation\": {\n \"format\": \"urn:ietf:params:oauth:token-type:eat\",\n \"token\": \"eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...\",\n \"timestamp\": 1714348800\n },\n \"delegation_chain\": [\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"user_456\",\n \"aud\": \"agent_instance_789\",\n \"delegated_at\": 1714348700,\n \"scope\": \"email profile calendar\"\n }\n ]\n}\n\"delegation_chain\": [\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"user_456\",\n \"aud\": \"agent_instance_789\",\n \"delegated_at\": 1714348800,\n \"scope\": \"email calendar\",\n \"purpose\": \"Manage my emails and calendar\"\n },\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"agent_instance_789\",\n \"aud\": \"agent_instance_101\",\n \"delegated_at\": 1714348830,\n \"scope\": \"calendar:view\",\n \"purpose\": \"Analyze available time slots\"\n }\n]\n