배우 선정 기준

온라인에서 편집하기

현대 기업용 애플리케이션은 한 서비스나 에이전트가 사용자를 대신하여 작업을 수행하는 위임 시나리오에 점점 더 많이 의존하고 있습니다. AI 비서가 사용자의 캘린더에 접근하는 경우든, 사용자 권한을 바탕으로 API를 호출하는 마이크로서비스든, 또는 대리권 부여 시나리오든, 안전한 권한 위임은 매우 중요합니다. IBM® Verify 이제 구성 가능한 행위자 기준을 통해 이러한 위임 관계를 승인하는 방식에 있어 더욱 향상된 유연성을 제공합니다.

기존 토큰 거래소의 문제점

OAuth 2.0 토큰 교환(RFC 8693)은 행위 자가 대상 (일반적으로 사용자)을 대신하여 토큰을 획득할 수 있도록 함으로써 위임을 가능하게 합니다. 전통적으로 이러한 권한 부여는 주체의 토큰에 포함된 클레임을 may_act 통해 제어되며, 이 클레임은 주체를 대신하여 행동할 수 있는 주체를 정확히 명시합니다. 이 접근 방식은 효과가 있지만, 몇 가지 실질적인 문제점을 안고 있습니다:
  • 유연성이 제한적 : 보안을 유지하면서 승인된 행위자의 범위를 명확히 정의하기 어렵다. 주체 토큰을 발급할 때는 해당 주체의 정확한 신원을 파악하고 있어야 합니다.
  • 복잡한 토큰 관리 : 애플리케이션은 주체 토큰에 클레임을 may_act 삽입하기 위해 추가 단계를 수행해야 합니다.

배우 선정 기준

IBM Verify 이제 애플리케이션 구성에서 직접 유연한 CELx 표현식을 사용하여 액터 기준을 정의할 수 있습니다. 이를 통해 주제 토큰을 수정할 필요가 없어지며, 문맥을 고려한 기준 적용이 가능해집니다.

주요 이점:
  • 애플리케이션 구성을 통한 중앙 집중식 제어.
  • AI 에이전트 및 자동화 서비스와 같은 동적 주체에 대한 지원.
  • 토큰 사전 처리 없이 운영을 간소화합니다.
  • 기존 may_act 청구 처리 방식과 완벽한 하위 호환성을 갖추고 있습니다.

구성

지원서 제출 시
  1. 관리 콘솔로 이동한 후 [애플리케이션] > [애플리케이션]을 선택합니다. “애플리케이션 추가”를 클릭한 후, “ OpenID Connect”와 관련된 애플리케이션 중 하나를 선택하거나 기존 애플리케이션을 수정하세요.
  2. [로그인 ] 탭에서 [ 토큰 교환 ] 섹션으로 이동합니다. ‘Actor 기준’ 타일에서 ‘기준 설정’을 클릭하여 CELx 표현식을 입력하세요.
  3. 설정을 저장하세요.

연산자 기준식

requestObject행위자 기준 표현식은 CELx를 사용하며,.을 통해 주어 및 행위자 토큰의 클레임에 접근할 수 있습니다. 예를 들면 다음과 같습니다.
{
  "requestContext": {
    "grant_type": ["urn:ietf:params:oauth:grant-type:token-exchange"],
    "scope": ["email:read", "calendar:read", "documents:read"],
    "requested_token_type": ["urn:ietf:params:oauth:token-type:access_token"],
    "client_id": ["ai-assistant-app"],
    "subject_token": {
      "sub": "user-123",
      "email": "Jessica@example.com",
      "name": "Jessica Smith",
      "iss": "https://abc.verify.ibm.com/oauth2",
      "exp": 1737537000,
      "iat": 1737533400,
      "scope": ["openid", "profile", "email"]
    },
    "actor_token": {
      "agent_id": "ai-assistant-gpt-001",
      "name": "AI Assistant GPT",
      "type": "ai-agent",
      "version": "4.0",
      "purpose": "general-assistance",
      "certified": true,
      "provider": "openai",
      "iss": "spiffe://abc.com",
      "exp": 1737537000,
      "iat": 1737533400
    }
  }
}
CELx 구문에 대한 자세한 내용은 ‘속성 함수 가이드’를 참조하십시오.
예시 표현식
주어 및 행위자 토큰의 주장을 검증합니다:
requestContext.actor_token.type == 'ai-agent' && 
    requestContext.actor_token.certified == true && 
    requestContext.subject_token.ai_delegation_enabled == true
특정 범위를 검증합니다:
requestContext.actor_token.type == 'ai-agent' && 
    requestContext.scope.all(s, s in ['email:read', 'calendar:read', 'documents:read'])

실행 시 동작

토큰 교환 요청이 수신되면, IBM Verify 는 다음과 같이 처리합니다:
  • 주체 및 행위자 토큰을 모두 유효성 검사합니다.
  • CELx 액터 기준 표현식을 평가합니다.
  • 선택적으로 기존의 may_act 청구 사항을 확인합니다(건너뛴 경우가 아닌 경우).
  • 모든 검사가 통과되면, 확장된 행위 주장이 포함된 위임 토큰을 발급합니다.
이 프로세스는 애플리케이션에 대해 투명하며 지연 시간을 최소화합니다.