이 문서는 LLM 기반 에이전트의 신원을 표현하고 검증하기 위한 OpenID Connect의 표준 확장을 제안합니다. 검증, 증명, 위임 체인에 대한 상세한 프레임워크와 핵심 제안을 통합합니다.
\n\nOpenID Connect for Agents (OIDC-A) 1.0은 OAuth 2.0 생태계 내에서 LLM 기반 에이전트를 표현하고, 인증하며, 권한을 부여하기 위한 프레임워크를 제공하는 OpenID Connect Core 1.0의 확장입니다. 이 명세는 에이전트 신원 확립, 에이전트 증명 검증, 위임 체인 표현, 에이전트 속성 기반의 세밀한 권한 부여를 가능하게 하는 표준 클레임, 엔드포인트 및 프로토콜을 정의합니다.
\n\nLLM 기반 에이전트가 디지털 생태계에서 점점 더 보편화됨에 따라, 이들의 신원을 표현하고 권한을 관리하기 위한 표준화된 방법에 대한 필요성이 증가하고 있습니다. 전통적인 OAuth 2.0 및 OpenID Connect 프로토콜은 주로 인간 사용자와 기존 애플리케이션을 위해 설계되었으며, 다음과 같은 자율 에이전트의 고유한 특성을 표현하는 데 필요한 구조가 부족합니다:
\n\n이 명세는 에이전트 신원 및 권한 부여를 위한 포괄적인 프레임워크를 제공하도록 OpenID Connect를 확장하여 이러한 격차를 해결합니다.
\n\n이 명세는 OAuth 2.0 [RFC6749], OpenID Connect Core 1.0에 정의된 용어와 다음의 추가 용어를 사용합니다:
\n\nOIDC-A는 다음을 통해 OpenID Connect를 확장합니다:
\n\n다음 클레임은 에이전트에게 또는 에이전트에 대해 발급된 ID 토큰에 반드시 또는 포함되어야 합니다:
\n\n| 클레임 | \n타입 | \n설명 | \n요구사항 | \n
|---|---|---|---|
agent_type | \n string | \n에이전트의 유형/클래스 식별 (예: \"assistant\", \"retrieval\", \"coding\") | \nREQUIRED | \n
agent_model | \n string | \n특정 모델 식별 (예: \"gpt-4\", \"claude-3-opus\", \"gemini-pro\") | \nREQUIRED | \n
agent_version | \n string | \n에이전트 모델의 버전 식별자 | \nRECOMMENDED | \n
agent_provider | \n string | \n에이전트를 제공/호스팅하는 조직 (예: \"openai.com\", \"anthropic.com\") | \nREQUIRED | \n
agent_instance_id | \n string | \n이 특정 에이전트 인스턴스의 고유 식별자 | \nREQUIRED | \n
| 클레임 | \n타입 | \n설명 | \n요구사항 | \n
|---|---|---|---|
delegator_sub | \n string | \n이 에이전트에게 가장 최근에 권한을 위임한 엔티티의 주체 식별자 | \nREQUIRED | \n
delegation_chain | \n array | \n위임 단계의 순서 배열 (섹션 2.4.2 참조) | \nOPTIONAL | \n
delegation_purpose | \n string | \n권한이 위임된 목적/의도에 대한 설명 | \nRECOMMENDED | \n
delegation_constraints | \n object | \n위임자가 에이전트에 부과한 제약 조건 | \nOPTIONAL | \n
| 클레임 | \n타입 | \n설명 | \n요구사항 | \n
|---|---|---|---|
agent_capabilities | \n array | \n에이전트가 수행할 수 있는 작업을 나타내는 기능 식별자 배열 | \nRECOMMENDED | \n
agent_trust_level | \n string | \n에이전트의 신뢰 분류 (예: \"verified\", \"experimental\") | \nOPTIONAL | \n
agent_attestation | \n object | \n증명 증거 또는 참조 (섹션 2.4.4 참조) | \nRECOMMENDED | \n
agent_context_id | \n string | \n대화/작업 컨텍스트의 식별자 | \nRECOMMENDED | \n
agent_type정의된 에이전트 유형 집합의 문자열 값. 구현자는 해당되는 경우 다음 값 중 하나를 사용해야 합니다:
\nassistant: 범용 어시스턴트 에이전트retrieval: 정보 검색 전문 에이전트coding: 코드 생성 또는 분석 전문 에이전트domain_specific: 특정 도메인 전문 에이전트autonomous: 높은 수준의 자율성을 가진 에이전트supervised: 주요 작업에 대해 인간 감독이 필요한 에이전트사용자 정의 유형을 사용할 수 있지만 vendor:type 형식을 따라야 합니다 (예: acme:financial_advisor).
delegation_chain원래 사용자로부터 현재 에이전트까지 위임 체인의 각 단계를 나타내는 객체를 포함하는 JSON 배열. 각 객체는 다음을 포함해야 합니다:
\niss: REQUIRED. 이 위임 단계를 발급/검증한 인증 서버 또는 엔티티를 식별하는 문자열.sub: REQUIRED. 위임자(권한을 부여하는 엔티티)를 식별하는 문자열.aud: REQUIRED. 피위임자(권한을 받는 에이전트)를 식별하는 문자열.delegated_at: REQUIRED. 위임이 발생한 시간을 나타내는 NumericDate.scope: REQUIRED. 이 위임 단계에서 부여된 권한을 나타내는 공백으로 구분된 OAuth 스코프 문자열. 위임자(sub)가 보유한 스코프의 하위 집합이어야 합니다.purpose: OPTIONAL. 이 위임 단계의 의도된 목적을 설명하는 문자열.constraints: OPTIONAL. 위임에 대한 제약 조건을 지정하는 JSON 객체 (예: {\"max_duration\": 3600, \"allowed_resources\": [\"/data/abc\"]}).jti: OPTIONAL. 이 특정 위임 단계의 고유 식별자로, 취소 또는 추적에 유용합니다.배열은 시간순으로 정렬되어야 합니다.
\n\ndelegation_chain에 대한 검증 규칙 (Relying Party가 수행):
delegated_at을 기반으로 시간순 순서 확인.iss가 신뢰할 수 있는지 확인.aud가 N+1 단계의 sub와 일치하는지 확인.scope가 위임자의 사용 가능한 스코프의 하위 집합/동일한지 확인.constraints 준수 확인.agent_capabilities에이전트의 기능을 나타내는 문자열 식별자 배열. 구현자는 사용 가능한 경우 잘 정의된 분류법의 기능 식별자를 사용해야 합니다. 사용자 정의 기능은 vendor:capability 형식을 따라야 합니다 (예: acme:financial_analysis).
agent_attestation증명 증거 또는 이에 대한 참조를 포함하는 JSON 객체. 증거 유형을 나타내는 format 필드를 포함해야 합니다.
권장 형식: JWT 기반, IETF RATS Entity Attestation Token (EAT)과 호환 가능.
\n\n예시:
\n\"agent_attestation\": {\n \"format\": \"urn:ietf:params:oauth:token-type:eat\",\n \"token\": \"eyJhbGciOiJFUzI1NiIsInR5cCI6ImVhdCtqd3QifQ...\"\n}\n다른 형식 (예: \"format\": \"TPM2-Quote\", \"format\": \"SGX-Quote\")을 사용할 수 있습니다.
OIDC-A 인증 흐름은 표준 OpenID Connect 인증 흐름을 확장합니다:
\n\nagent 스코프와 잠재적으로 delegation_context를 포함해야 합니다.에이전트에게 권한이 위임될 때:
\n\ndelegator_sub, delegation_chain(업데이트됨), delegation_purpose 및 제한된 scope를 포함하는 새 ID 토큰을 에이전트에게 발급합니다.에이전트의 증명을 검증하려면:
\n\nagent_attestation 클레임을 포함하거나 증거를 별도로 제공합니다.format을 기반으로 증거를 검증합니다:\nagent_attestation_endpoint 사용.verified: true/false).OAuth 2.0 Dynamic Client Registration [RFC7591]을 확장합니다:
\n\n| 매개변수 | \n타입 | \n설명 | \n
|---|---|---|
agent_provider | \n string | \n에이전트 제공자의 식별자 | \n
agent_models_supported | \n array | \n지원되는 에이전트 모델 목록 | \n
agent_capabilities | \n array | \n에이전트 기능 목록 | \n
attestation_formats_supported | \n array | \n지원되는 증명 형식 목록 | \n
delegation_methods_supported | \n array | \n지원되는 위임 방법 목록 | \n
OpenID Connect Discovery 1.0을 확장합니다:
\n\n| 매개변수 | \n타입 | \n설명 | \n
|---|---|---|
agent_attestation_endpoint | \n string | \n증명 엔드포인트의 URL | \n
agent_capabilities_endpoint | \n string | \n기능 발견 엔드포인트의 URL | \n
agent_claims_supported | \n array | \n지원되는 에이전트 클레임 목록 | \n
agent_types_supported | \n array | \n지원되는 에이전트 유형 목록 | \n
delegation_methods_supported | \n array | \n지원되는 위임 방법 목록 | \n
attestation_formats_supported | \n array | \n지원되는 증명 형식 목록 | \n
attestation_verification_keys_endpoint | \n string | \n증명 서명 검증을 위한 공개 키를 검색하는 URL | \n
에이전트에 대한 증명 정보를 반환하거나 제공된 증거의 검증을 지원하는 OAuth 2.0 보호 리소스. URL은 agent_attestation_endpoint 발견 매개변수를 통해 광고됩니다.
GET /agent/attestation?agent_id=123&nonce=abc\nAuthorization: Bearer <token>\n{\n \"verified\": true,\n \"provider\": \"openai.com\",\n \"model\": \"gpt-4\",\n \"version\": \"2025-03\",\n \"attestation_timestamp\": 1714348800,\n \"attestation_signature\": \"...\"\n}\n에이전트의 기능에 대한 정보를 제공합니다. URL은 agent_capabilities_endpoint 발견 매개변수를 통해 광고됩니다.
GET /.well-known/agent-capabilities\n{\n \"capabilities\": [\n {\"id\": \"text_generation\", \"description\": \"...\"},\n {\"id\": \"code_generation\", \"description\": \"...\"}\n ],\n \"supported_constraints\": [\"max_tokens\", \"allowed_tools\"]\n}\n에이전트는 증명과 결합된 강력한 비대칭 방법(JWT Client Auth [RFC7523], mTLS [RFC8705])을 사용해야 합니다. 공유 비밀은 권장되지 않습니다.
\n\n시스템은 전체 위임 체인을 검증하고, 스코프 축소를 시행하며, 동의 메커니즘을 구현하고, 시간 제한을 고려해야 합니다. 정책은 체인 길이를 제한할 수 있습니다. 강력한 취소 메커니즘이 필요합니다.
\n\n서명 키의 안전한 관리, 강력한 nonce 처리, 신뢰할 수 있는 알려진 양호한 측정값, 안전한 엔드포인트, 재생 공격에 대한 보호가 필요합니다. 증명 증거는 개인정보 보호에 영향을 미칠 수 있습니다.
\n\n에이전트 클레임이 있는 ID 토큰은 암호화되어야 합니다. 액세스 토큰은 제한된 수명을 가져야 합니다. 에이전트를 위한 리프레시 토큰은 신중한 고려가 필요합니다.
\n\n구현은 에이전트 신원의 잠재적 상관관계, 위임 체인의 개인정보 보호 영향, 사용자 동의 요구사항, 클레임의 데이터 최소화를 고려해야 합니다.
\n\nOIDC-A 1.0은 OAuth 2.0 [RFC6749], OIDC Core 1.0, JWT [RFC7519] 및 관련 RFC와의 호환성을 위해 설계되었습니다. 향후 버전은 하위 호환성을 목표로 합니다.
\n\n{\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"agent_instance_789\",\n \"aud\": \"client_123\",\n \"exp\": 1714435200,\n \"iat\": 1714348800,\n \"auth_time\": 1714348800,\n \"nonce\": \"n-0S6_WzA2Mj\",\n \"agent_type\": \"assistant\",\n \"agent_model\": \"gpt-4\",\n \"agent_version\": \"2025-03\",\n \"agent_provider\": \"openai.com\",\n \"agent_instance_id\": \"agent_instance_789\",\n \"delegator_sub\": \"user_456\",\n \"delegation_purpose\": \"Email management assistant\",\n \"agent_capabilities\": [\"email:read\", \"email:draft\", \"calendar:view\"],\n \"agent_trust_level\": \"verified\",\n \"agent_context_id\": \"conversation_123\",\n \"agent_attestation\": {\n \"format\": \"urn:ietf:params:oauth:token-type:eat\",\n \"token\": \"eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...\",\n \"timestamp\": 1714348800\n },\n \"delegation_chain\": [\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"user_456\",\n \"aud\": \"agent_instance_789\",\n \"delegated_at\": 1714348700,\n \"scope\": \"email profile calendar\"\n }\n ]\n}\n\"delegation_chain\": [\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"user_456\",\n \"aud\": \"agent_instance_789\",\n \"delegated_at\": 1714348800,\n \"scope\": \"email calendar\",\n \"purpose\": \"Manage my emails and calendar\"\n },\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"agent_instance_789\",\n \"aud\": \"agent_instance_101\",\n \"delegated_at\": 1714348830,\n \"scope\": \"calendar:view\",\n \"purpose\": \"Analyze available time slots\"\n }\n]\n