エージェントと自律型AIのためのアイデンティティ層:AuthSec
AuthSecは、認証、MFA、OIDCフェデレーション、RBAC、SCIM、クライアント管理、外部サービス資格情報、SPIFFE/SPIREワークロードIDなど、完全なアイデンティティライフサイクルを単一のバイナリで提供する統合Goサービスです。
AuthSecは、エージェントや自律型AIシステム向けに設計されたオープンソースの統一アイデンティティ管理サービスで、Go言語で書かれています。認証、多要素認証(MFA)、OpenID Connect(OIDC)フェデレーション、ロールベースアクセス制御(RBAC)、クロスドメインID管理システム(SCIM)、クライアントライフサイクル管理、外部サービス資格情報の保存、およびSPIFFE/SPIREワークロードIDなど、完全なアイデンティティライフサイクル管理機能を単一のバイナリに統合しています。
AuthSecのアーキテクチャはモジュール設計に基づいており、各モジュールには独立したサブルートプレフィックスがあります。主要モジュールには以下が含まれます:認証とユーザーフロー(/authsec/uflow)は、管理者およびエンドユーザーのログイン、登録、パスワードリセット、OIDCフェデレーション、SCIM、TOTP、CIBA、音声認証を処理します。WebAuthn/パスキー(/authsec/webauthn)は、FIDO2パスキー、TOTP設定、SMS MFAをサポートします。クライアント管理(/authsec/clientms)は、Ory Hydraクライアントのライフサイクルを管理します。Hydraマネージャー(/authsec/hmgr)は、Ory Hydraのログイン/同意、SAML SSO、トークン交換を処理します。OIDC設定マネージャー(/authsec/oocmgr)は、OIDCプロバイダー設定とHydraクライアントの同期を管理します。認証マネージャー(/authsec/authmgr)は、JWTの検証/発行、RBAC権限チェック、グループ管理を担当します。外部サービス(/authsec/exsvc)は、Vaultでバックアップされた資格情報ストレージを提供します。SPIREヘッドレス(/authsec/spire)は、SPIFFE/SPIREワークロードID、OIDCトークン交換、クラウドフェデレーション(AWS/Azure/GCP)、RBAC/ABACポリシーエンジンを実装します。移行管理(/authsec/migration)は、データベース移行を処理します。
AuthSecのデプロイには、Go 1.25+、PostgreSQL 15+が必要で、オプションでHashiCorp Vault、Redis、mt-plugin(マルチテナントモード用)を使用できます。サービスはデフォルトでポート7468でリッスンします。環境変数の設定は柔軟で、データベース接続、WebAuthn設定、JWTキー、CORS、暗号化キー、Twilio統合(SMS MFA/音声)、外部統合(Vault、Hydra、SMTP、OIDCプロバイダー)、SPIFFE OIDC設定、Okta CIBAなどをサポートしています。
AuthSecはデフォルトでシングルテナントモードで動作し、すべての操作にマスターデータベースを使用します。マルチテナントを有効にするには、mt-plugin gRPCマイクロサービスを実行し、MT_PLUGIN_GRPC_ADDR環境変数を設定する必要があります。また、サービスは豊富なAPIルートを提供しており、ヘルスチェック、管理者およびエンドユーザー認証、デバイス認可グラント(RFC 8628)、音声認証、TOTP、CIBAなどを含みます。さらに、OIDCディスカバリー(/.well-known/*)とPrometheusメトリクス(/metrics)もサポートしています。
エージェントや自律型AIシステムにとって、AuthSecはワークロードID(SPIFFE/SPIRE)とクラウドフェデレーションをサポートする強力なアイデンティティ層を提供し、AIエージェントが安全にリソースにアクセスし、他のシステムとやり取りできるようにします。このプロジェクトはGitHubでオープンソースとして公開されており、MITライセンスの下でコミュニティの活発なコントリビューションを受け付けています。