Este documento propõe uma extensão padrão ao OpenID Connect para representar e verificar a identidade de agentes baseados em LLM. Integra a proposta central com estruturas detalhadas para verificação, atestação e cadeias de delegação.
\n\nOpenID Connect para Agentes (OIDC-A) 1.0 é uma extensão ao OpenID Connect Core 1.0 que fornece uma estrutura para representar, autenticar e autorizar agentes baseados em LLM dentro do ecossistema OAuth 2.0. Esta especificação define claims padrão, endpoints e protocolos para estabelecer identidade de agentes, verificar atestação de agentes, representar cadeias de delegação e habilitar autorização granular baseada em atributos de agentes.
\n\nÀ medida que os agentes baseados em LLM se tornam cada vez mais prevalentes em ecossistemas digitais, há uma necessidade crescente de métodos padronizados para representar sua identidade e gerenciar sua autorização. Os protocolos tradicionais OAuth 2.0 e OpenID Connect foram projetados principalmente para usuários humanos e aplicações convencionais, carecendo das construções necessárias para representar as características únicas de agentes autônomos, tais como:
\n\nEsta especificação aborda essas lacunas estendendo o OpenID Connect para fornecer uma estrutura abrangente para identidade e autorização de agentes.
\n\nEsta especificação usa os termos definidos no OAuth 2.0 [RFC6749], OpenID Connect Core 1.0, e os seguintes termos adicionais:
\n\nOIDC-A estende o OpenID Connect ao:
\n\nOs seguintes claims DEVEM ou DEVERIAM ser incluídos em ID Tokens emitidos para ou sobre agentes:
\n\n| Claim | \nTipo | \nDescrição | \nRequisito | \n
|---|---|---|---|
agent_type | \n string | \nIdentifica o tipo/classe do agente (por exemplo, \"assistant\", \"retrieval\", \"coding\") | \nOBRIGATÓRIO | \n
agent_model | \n string | \nIdentifica o modelo específico (por exemplo, \"gpt-4\", \"claude-3-opus\", \"gemini-pro\") | \nOBRIGATÓRIO | \n
agent_version | \n string | \nIdentificador de versão do modelo do agente | \nRECOMENDADO | \n
agent_provider | \n string | \nOrganização que fornece/hospeda o agente (por exemplo, \"openai.com\", \"anthropic.com\") | \nOBRIGATÓRIO | \n
agent_instance_id | \n string | \nIdentificador único para esta instância específica do agente | \nOBRIGATÓRIO | \n
| Claim | \nTipo | \nDescrição | \nRequisito | \n
|---|---|---|---|
delegator_sub | \n string | \nIdentificador de sujeito da entidade que mais recentemente delegou autoridade a este agente | \nOBRIGATÓRIO | \n
delegation_chain | \n array | \nArray ordenado de etapas de delegação (veja Seção 2.4.2) | \nOPCIONAL | \n
delegation_purpose | \n string | \nDescrição do propósito/intenção para o qual a autoridade foi delegada | \nRECOMENDADO | \n
delegation_constraints | \n object | \nRestrições colocadas no agente pelo delegador | \nOPCIONAL | \n
| Claim | \nTipo | \nDescrição | \nRequisito | \n
|---|---|---|---|
agent_capabilities | \n array | \nArray de identificadores de capacidade representando o que o agente pode fazer | \nRECOMENDADO | \n
agent_trust_level | \n string | \nClassificação de confiança do agente (por exemplo, \"verified\", \"experimental\") | \nOPCIONAL | \n
agent_attestation | \n object | \nEvidência de atestação ou referência (veja Seção 2.4.4) | \nRECOMENDADO | \n
agent_context_id | \n string | \nIdentificador para o contexto de conversa/tarefa | \nRECOMENDADO | \n
agent_typeValor string de um conjunto definido de tipos de agentes. Os implementadores DEVERIAM usar um dos seguintes valores quando aplicável:
\n\nassistant: Agente assistente de propósito geralretrieval: Agente especializado em recuperação de informaçãocoding: Agente especializado em geração ou análise de códigodomain_specific: Agente especializado para um domínio particularautonomous: Agente com alto grau de autonomiasupervised: Agente requerendo supervisão humana para ações-chaveTipos customizados PODEM ser usados, mas DEVERIAM seguir o formato vendor:type (por exemplo, acme:financial_advisor).
delegation_chainArray JSON contendo objetos representando cada etapa na cadeia de delegação, desde o usuário original até o agente atual. Cada objeto DEVE conter:
\n\niss: OBRIGATÓRIO. String identificando o Authorization Server ou entidade que emitiu/validou esta etapa de delegação.sub: OBRIGATÓRIO. String identificando o delegador (a entidade concedendo permissão).aud: OBRIGATÓRIO. String identificando o delegado (o agente recebendo permissão).delegated_at: OBRIGATÓRIO. NumericDate representando o momento em que a delegação ocorreu.scope: OBRIGATÓRIO. String separada por espaços de scopes OAuth representando as permissões concedidas nesta etapa de delegação. DEVE ser um subconjunto dos scopes mantidos pelo delegador (sub).purpose: OPCIONAL. String descrevendo o propósito pretendido desta etapa de delegação.constraints: OPCIONAL. Objeto JSON especificando restrições na delegação (por exemplo, {\"max_duration\": 3600, \"allowed_resources\": [\"/data/abc\"]}).jti: OPCIONAL. Um identificador único para esta etapa de delegação específica, útil para revogação ou rastreamento.O array DEVE ser ordenado cronologicamente.
\n\nRegras de Validação para delegation_chain (executadas pela Relying Party):
delegated_at.iss é confiável.aud da etapa N corresponde a sub da etapa N+1.scope em cada etapa é um subconjunto de/igual aos scopes disponíveis do delegador.constraints.agent_capabilitiesArray de identificadores string representando as capacidades do agente. Os implementadores DEVERIAM usar identificadores de capacidade de uma taxonomia bem definida quando disponível. Capacidades customizadas DEVERIAM seguir o formato vendor:capability (por exemplo, acme:financial_analysis).
agent_attestationObjeto JSON contendo evidência de atestação ou uma referência a ela. DEVE incluir um campo format indicando o tipo de evidência.
Formato Recomendado: Baseado em JWT, potencialmente compatível com IETF RATS Entity Attestation Token (EAT).
\n\nExemplo:
\n\n\"agent_attestation\": {\n \"format\": \"urn:ietf:params:oauth:token-type:eat\",\n \"token\": \"eyJhbGciOiJFUzI1NiIsInR5cCI6ImVhdCtqd3QifQ...\"\n}\nOutros formatos (por exemplo, \"format\": \"TPM2-Quote\", \"format\": \"SGX-Quote\") PODEM ser usados.
O fluxo de autenticação OIDC-A estende o fluxo de Autenticação padrão do OpenID Connect:
\n\nagent e potencialmente delegation_context.Quando um agente recebe autoridade delegada:
\n\ndelegator_sub, delegation_chain (atualizada), delegation_purpose e scope restrito.Para verificar a atestação de um agente:
\n\nagent_attestation em seu ID Token ou fornece evidência separadamente.format especificado:\nagent_attestation_endpoint para assistência na validação.verified: true/false).Estende OAuth 2.0 Dynamic Client Registration [RFC7591]:
\n\n| Parâmetro | \nTipo | \nDescrição | \n
|---|---|---|
agent_provider | \n string | \nIdentificador do provedor de agente | \n
agent_models_supported | \n array | \nLista de modelos de agente suportados | \n
agent_capabilities | \n array | \nLista de capacidades do agente | \n
attestation_formats_supported | \n array | \nLista de formatos de atestação suportados | \n
delegation_methods_supported | \n array | \nLista de métodos de delegação suportados | \n
Estende OpenID Connect Discovery 1.0:
\n\n| Parâmetro | \nTipo | \nDescrição | \n
|---|---|---|
agent_attestation_endpoint | \n string | \nURL do endpoint de atestação | \n
agent_capabilities_endpoint | \n string | \nURL do endpoint de descoberta de capacidades | \n
agent_claims_supported | \n array | \nLista de claims de agente suportados | \n
agent_types_supported | \n array | \nLista de tipos de agente suportados | \n
delegation_methods_supported | \n array | \nLista de métodos de delegação suportados | \n
attestation_formats_supported | \n array | \nLista de formatos de atestação suportados | \n
attestation_verification_keys_endpoint | \n string | \nURL para recuperar chaves públicas para verificar assinaturas de atestação | \n
Um recurso protegido OAuth 2.0 que retorna informações de atestação sobre um agente ou auxilia na validação de evidências fornecidas. URL anunciada via parâmetro de descoberta agent_attestation_endpoint.
GET /agent/attestation?agent_id=123&nonce=abc\nAuthorization: Bearer <token>\n{\n \"verified\": true,\n \"provider\": \"openai.com\",\n \"model\": \"gpt-4\",\n \"version\": \"2025-03\",\n \"attestation_timestamp\": 1714348800,\n \"attestation_signature\": \"...\"\n}\nFornece informações sobre as capacidades de um agente. URL anunciada via parâmetro de descoberta agent_capabilities_endpoint.
GET /.well-known/agent-capabilities\n{\n \"capabilities\": [\n {\"id\": \"text_generation\", \"description\": \"...\"},\n {\"id\": \"code_generation\", \"description\": \"...\"}\n ],\n \"supported_constraints\": [\"max_tokens\", \"allowed_tools\"]\n}\nAgentes DEVERIAM usar métodos assimétricos fortes (JWT Client Auth [RFC7523], mTLS [RFC8705]), potencialmente combinados com atestação. Segredos compartilhados NÃO SÃO RECOMENDADOS.
\n\nSistemas DEVEM validar toda a cadeia de delegação, impor redução de scope, implementar mecanismos de consentimento e considerar limitação de tempo. Políticas podem limitar o comprimento da cadeia. Mecanismos de revogação robustos são necessários.
\n\nRequer gerenciamento seguro de chaves de assinatura, manipulação robusta de nonce, medições conhecidas como boas confiáveis, endpoints seguros e proteção contra ataques de replay. Evidência de atestação pode ter implicações de privacidade.
\n\nID Tokens com claims de agente DEVERIAM ser criptografados. Access tokens DEVERIAM ter tempos de vida limitados. Refresh tokens para agentes requerem consideração cuidadosa.
\n\nImplementações DEVEM considerar potencial correlação de identidade de agente, implicações de privacidade de cadeias de delegação, requisitos de consentimento do usuário e minimização de dados em claims.
\n\nOIDC-A 1.0 é projetado para compatibilidade com OAuth 2.0 [RFC6749], OIDC Core 1.0, JWT [RFC7519] e RFCs relacionadas. Versões futuras visarão compatibilidade retroativa.
\n\n{\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"agent_instance_789\",\n \"aud\": \"client_123\",\n \"exp\": 1714435200,\n \"iat\": 1714348800,\n \"auth_time\": 1714348800,\n \"nonce\": \"n-0S6_WzA2Mj\",\n \"agent_type\": \"assistant\",\n \"agent_model\": \"gpt-4\",\n \"agent_version\": \"2025-03\",\n \"agent_provider\": \"openai.com\",\n \"agent_instance_id\": \"agent_instance_789\",\n \"delegator_sub\": \"user_456\",\n \"delegation_purpose\": \"Email management assistant\",\n \"agent_capabilities\": [\"email:read\", \"email:draft\", \"calendar:view\"],\n \"agent_trust_level\": \"verified\",\n \"agent_context_id\": \"conversation_123\",\n \"agent_attestation\": {\n \"format\": \"urn:ietf:params:oauth:token-type:eat\",\n \"token\": \"eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...\",\n \"timestamp\": 1714348800\n },\n \"delegation_chain\": [\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"user_456\",\n \"aud\": \"agent_instance_789\",\n \"delegated_at\": 1714348700,\n \"scope\": \"email profile calendar\"\n }\n ]\n}\n\"delegation_chain\": [\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"user_456\",\n \"aud\": \"agent_instance_789\",\n \"delegated_at\": 1714348800,\n \"scope\": \"email calendar\",\n \"purpose\": \"Manage my emails and calendar\"\n },\n {\n \"iss\": \"https://auth.example.com\",\n \"sub\": \"agent_instance_789\",\n \"aud\": \"agent_instance_101\",\n \"delegated_at\": 1714348830,\n \"scope\": \"calendar:view\",\n \"purpose\": \"Analyze available time slots\"\n }\n]\n