AI Agentsのセキュリティ認証・認可の個人メモです。
Auth0 for AI Agents
AIエージェントやRAGなどを含む生成AIシステム特有の認証・認可課題(人とAI・ツール・データの多層的アクセス制御)を体系的に整理した包括的モデルである。
→ 思想的フレームワークとして最も網羅的。
主な概念
User Authentication
人間ユーザーの識別、セッション管理
AIモデルへのアクセスを認可された個人に限定し、パーソナライズされた体験と会話履歴の保護を実現
Token Vault OAuth
2.0トークン交換、リフレッシュトークン管理
ユーザーの代理として外部APIへの安全なアクセス委任を可能にし、静的キーの利用を排除
FGA for RAG
Relationship-Based Access Control (ReBAC)
RAGパイプラインにおける機密文書へのきめ細かなアクセス制御とデータ漏洩の防止
Async Authorization
Human-in-the-Loop (HITL) フロー
自律的エージェントのクリティカルな行動に対する人間の監督と明確な監査証跡の確保
Bedrock Agent Core
Bedrock AgentCore Identity、Amazon Cognito、および Verified Permissions(Cedar) などを組み合わせることで、
Auth0 for AI Agents と同等の機能(ユーザ認証、トークン委任、細粒度認可、Human-in-the-Loop 承認)をマネージドサービスとして安全に実装可能。
Bedrock提供モデル以外のLLMも利用可能。
東京リージョンでもリリース
→ マネージドで再現できる実装基盤。
主な機能
・Runtime
動的なAIエージェントをデプロイ・稼働させるためのセキュアな実行環境
・Memory
AIエージェントの「短期記憶」「長期記録」の仕組み提供する機能
・Identity
AIエージェント契機のアクセスに対する認証機能
・Gateway
APIやLambda関数、既存のサービスをMCP対応する機能
・Code Interpreter
AIエージェントのコード実行におけるサンドボックス環境
・Browser Tool
AIエージェントが安全にウェブサイトを扱うためのブラウザ環境
・Observability
AIエージェントのトレース・可視化のためのオブザーバビリティ機能
Openshift AI
OpenShift AI 環境では、 現時点でAIエージェントやRAG向けの専用認証・認可機能は標準提供されていない。 そのため、Keycloak(RH-SSO)や Auth0 for AI Agents 等の外部IDプロバイダとの連携、または自前の拡張(Token Vault/FGA相当機構など)の構築が必要。
→ 拡張・連携による補完が前提。