OpenID Connect
PulseAugur coverage of OpenID Connect — every cluster mentioning OpenID Connect across labs, papers, and developer communities, ranked by signal.
7 天有情绪数据
-
AWS 推出 Claude 应用网关,实现集中式 AI 模型管理
AWS 推出了 Claude 应用网关,这是一个自托管的控制平面,旨在帮助企业管理对 Claude Code 和 Claude Desktop 的访问、成本和策略。该网关通过消除对单独开发者凭证和手动分发设置的需求,简化了部署。它与身份提供商集成,以简化入职和离职流程,集中强制执行策略,并提供遥测数据以进行使用跟踪。此外,它还提供支出上限功能来控制成本,并且可以通过 Amazon Bedrock 或 AWS 上的 Claude Pla…
-
Anthropic 通过新的 OIDC 网关集中管理 Claude Code 访问
Anthropic 为在 Amazon Bedrock 或 Google Cloud 上使用 Claude Code 的企业推出了一款新的自托管网关。该网关通过充当 OpenID Connect 受信任方,并与现有身份提供商联合登录,从而集中了身份管理、策略执行和使用跟踪。此举用短暂的会话取代了长期存在的每个开发者的密钥,提高了安全性并简化了编码代理的凭证管理。
-
使用 OpenID Connect 在 Blazor 中保护 AI Agent UI
本文是关于使用 Blazor United 和 .NET 10 构建 AI Agent UI 系列文章的一部分,重点介绍使用 OpenID Connect (OIDC) 保护用户界面。文章详细介绍了 OIDC 在身份验证和授权方面的实现,确保只有合法用户才能访问应用程序的功能。该指南旨在为开发人员提供将强大的安全措施集成到其 Blazor 应用程序中的实用步骤。
-
身份验证系统必须动态获取密钥,而不是固定静态密钥
作者讨论了验证数字身份令牌时遇到的挑战,特别是当身份提供商 (IdP) 的签名密钥被轮换时。最初,作者手动固定了静态公钥,但当 Okta、Keycloak 和 Auth0 等 IdP 更新其密钥时,这种方法失败了。标准的 OpenID Connect (OIDC) 协议通过允许验证者从发行者发布的 JWKS(JSON Web 密钥集)端点动态获取密钥来提供解决方案。这种方法不是固定静态密钥,而是固定受信任的发行者,并在需要时获取他们当…
-
MCP 协议在重大发布候选版更新中转向无状态设计
MCP 协议发布了重大更新,其 2026-07-28 的发布候选版在其规范中引入了主要变更。其中最关键的是协议在协议层转向无状态设计,要求客户端和服务器调整其传输假设,并在应用程序句柄内显式处理状态,而不是依赖会话 ID。服务器发起的请求现在仅在活动的客户端请求期间才可能发生,这需要强大的客户端数据保留和重放机制。此外,MCP 应用被视为独立的应用程序表面,对安全性和开发者体验产生影响,要求主机测试 iframe 隔离,并要求服务器确…
-
LiteLLM开源LLM网关经审计后被评定为“有条件生产就绪”
对开源LLM网关LiteLLM进行的、采用关注生产就绪性的结构化方法的审计发现,该网关“有条件生产就绪”。审查了治理、故障转移行为、入职、可观测性、路由、成本控制和密钥管理七个维度,发现LiteLLM在身份、密钥、可观测性以及路由/成本控制方面表现强劲。虽然大多数安全关键维度得分良好,但一些高级功能,如MCP服务器的令牌交换和特定的可观测性配置,被指出是操作员启用而非默认设置。
-
AI代理发展速度超过身份标准,安全专家发出警告
AI代理的开发速度正在超过标准化身份和安全协议的创建速度,给安全授权带来了挑战。身份和安全领域的专家强调,代理绝不能直接处理密钥材料,并且授权范围应是细粒度的、有时限的、可适应的。虽然一些技术可以满足这些需求,但人们更倾向于采用基于OAuth 2.0和OIDC等成熟标准的方法,并且IETF正在努力开发用于代理身份验证和授权的新协议。
-
Slurm-web v7.0.0 为 HPC 增加 SSO 和容器支持
Slurm-web 发布了 7.0.0 版本,为高性能计算 (HPC) 用户和管理员带来了重大增强。此次更新包括通过 OpenID Connect 支持单点登录,支持 Docker/Podman 容器和 Kubernetes 的部署选项,以及改进的 UI 品牌化。此外,新版本还提供了作业历史记录、高级过滤、用户可见性控制以及与 Slurm 26.05 版本兼容等功能。
-
使用 API 令牌或 OIDC 将 MCP AI 工具发布到 PyPI
本文详细介绍了将 MCP(模型上下文协议)服务器发布到 PyPI 的两种方法,使 AI 系统能够访问自定义工具。第一种方法涉及使用存储为 GitHub secret 的 API 令牌,这种方法设置速度更快。第二种推荐的方法使用 OIDC Trusted Publisher,通过避免令牌存储并实现 GitHub Actions 和 PyPI 之间的直接身份验证来提供增强的安全性。
-
微软软件包两次被植入窃取凭证的AI恶意软件
微软官方开源软件包在数周内第二次遭到入侵,73个软件包被注入了旨在窃取凭证的恶意代码。当开发人员使用AI编码代理打开这些软件包时,这些代码就会被激活,可能通过窃取AWS、Azure和GCP等云提供商的令牌,以及密码管理器和开发人员工具的凭证来危及系统。此次攻击与威胁组织TeamPCP有关,使用了名为Miasma的恶意软件,并通过利用合法的微软OIDC令牌绕过了存储库构建管道。
-
AWS Lambda 和 Cognito 通过每用户 OAuth 保护共享 API 密钥
本文详细介绍了一种通过在共享密钥服务前实现每用户 OAuth 身份验证来保护 API 访问的方法。它解决了共享 API 密钥导致个人问责制缺失的安全漏洞。提出的解决方案使用 Amazon Cognito 和 AWS Lambda 创建一个网关,在将请求转发给仅支持共享密钥的上游服务之前,验证用户身份并确定访问范围。
-
AI代理支出需要通话前预算执行
需要一种新的方法来管理AI代理的支出,因为当前的令牌计数器和可观测性工具不足。提出的解决方案涉及实施一个通话前预算执行系统,类似于Stripe等服务使用的支付授权和捕获机制。该系统将在代理调用前预留资金,之后提交实际成本,并为每次交易提供可审计的签名收据,以防止成本失控。
-
AI代理需要在企业部署中实现多用户身份验证
在企业环境中部署AI代理需要强大的多用户身份验证和授权协议。核心原则是将每个代理操作视为委派的用户访问,而不是代理自身的通用权限。这需要结合OpenID Connect、OAuth 2.1以及像Arcade.dev这样的托管运行时,以防止滥用和数据泄露。推荐的方法使用双身份模型:一个用于代理应用程序,另一个用于用户,并根据各自权限的交集来评估操作。
-
用五层防御保护你的 npm CI 流水线
本文概述了一种增强 npm 持续集成 (CI) 流水线安全性的五层策略,解决了频繁安装依赖所带来的巨大攻击面。提出的层级包括:强制使用 "npm ci" 进行确定性安装;使用 "lockfile-lint" 等工具验证 lockfile 的完整性;利用 GitHub 的 dependency-review-action;将 GitHub Actions 固定到特定的提交 SHA 而非可变的标签;以及采用 OIDC 进行可信发布,以消除…
-
AWS Bedrock AgentCore Identity 增强 ECS 上的 AI 代理安全性
Amazon Bedrock AgentCore Identity 现在为在生产环境中运行的 AI 代理提供增强的安全性。这项作为独立服务提供的新功能,确保 AI 代理能够安全地访问外部服务,无论其部署平台如何,包括 Amazon ECS、EKS、AWS Lambda 或本地设置。该解决方案利用 OAuth 2.0 和 OpenID Connect 进行强大的身份验证和授权,并实施授权码授予流程,结合安全的会话绑定和基于用户同意的范围…
-
Cloudflare 使 AI 代理能够创建账户、购买域名并部署代码
Cloudflare 推出了一个与 Stripe 联合开发的全新协议,允许 AI 代理自主创建账户、注册域名和部署应用程序。该系统使代理能够执行从账户创建到代码部署的所有必要步骤,而无需任何人工干预。该集成利用了 Stripe Projects,并为代理提供了一个简化的流程来配置服务和管理付款,从而促进了新的生产应用程序的部署。