🟡 🛡️ Sigurnost Objavljeno: · 2 min čitanja ·

OpenAI: Workload Identity Federation eliminira dugoročne API ključeve razmjenom OIDC tokena

Urednička ilustracija: Workload Identity Federation eliminira dugoročne API ključeve razmjenom OIDC tokena

OpenAI Workload Identity Federation je sigurnosni mehanizam koji omogućuje radnim opterećenjima razmjenu izvana izdanih OIDC identitetnih tokena za kratkoročne OpenAI pristupne tokene. Umjesto pohrane dugoročnih API ključeva u kodu ili konfiguraciji, sustav podržava Kubernetes, AWS, Azure, Google Cloud, GitHub Actions i SPIFFE kao pouzda izvore identiteta.

🤖

Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.

OpenAI je objavio Workload Identity Federation — sigurnosni mehanizam koji eliminira potrebu za pohranom dugoročnih API ključeva u kodu ili konfiguracijskim datotekama aplikacija.

Kako funkcionira razmjena identitetnih tokena?

Workload Identity Federation oslanja se na četiri komponente. Prvo se definira Workload Identity Provider koji opisuje pouzdanog vanjskog izdavača s OIDC endpointom, audiencom i izvorom za verifikaciju ključeva. Zatim Service Account Mapping autorizira specifične atribute vanjskog tokena za kreiranje tokena za određeni OpenAI servisni račun. U trećem koraku Token Exchange prima vanjski token radnog opterećenja i vraća kratkoročni OpenAI pristupni token. Konačno, aplikacija taj token koristi kao bearer credential za API pozive.

Sustav koristi OIDC-kompatibilne JWT tokene. Atributi tokena mogu se transformirati putem Common Expression Language (CEL) za izvođenje prilagođenih kriterija podudaranja iz zahtjeva tokena.

Koje platforme i oblaci su podržani?

OpenAI nudi dedicirane integracijske vodiče za šest platformi: Kubernetes (projected service account tokeni), AWS (STS ili EKS projected tokeni), Microsoft Azure (managed identity ili AKS tokeni), Google Cloud (metadata server ili GKE tokeni), GitHub Actions (OIDC workflows) i SPIFFE (JWT-SVID standard za infrastrukturu).

Konfiguracija se provodi putem Organization Settings > Security > Workload Identity Provider i dostupna je vlasnicima organizacija. JWKS verifikacija podržava i OIDC discovery i ručno uploadane skupove ključeva. Dokumenti otkrivanja (discovery documents) osvježavaju se svakih 600 sekundi.

Zašto je ovo važno za sigurnost API pristupa?

Dugoročni API ključevi predstavljaju trajni sigurnosni rizik — jednom kompromitirani, omogućuju neograničen pristup do ručnog opoziva. Kratkoročni OIDC tokeni automatski istječu i vezani su uz specifičan identitet radnog opterećenja, čime se znatno smanjuje napadna površina.

OpenAI preporučuje nekoliko praksi: korištenje zasebnih servisnih računa po radnom opterećenju, odvajanje razvojnih i produkcijskih okruženja, precizno podudaranje zahtjeva (ne samo wildcardima) i redovitu reviziju nekorištenih mapiranja. Mappingsi podržavaju wildcard podudaranje, ali samo s jednim trailing wildcardom.

Uvođenje ovog standarda usklađuje OpenAI sa security praksama koje AWS, Google Cloud i Azure već zahtijevaju od produkcijskih workloada — razmjena tokena (token exchange) temelji se na OAuth 2.0 Token Exchange specifikaciji (RFC 8693).

Česta pitanja

Što je OpenAI Workload Identity Federation i čemu služi?
Workload Identity Federation je mehanizam koji zamjenjuje statičke API ključeve kratkoročnim tokenima. Radna opterećenja predaju OIDC token iz svog cloudskog okruženja (AWS, Azure, GCP, GitHub Actions...) i zauzvrat dobivaju privremeni OpenAI token za autentikaciju.
Koje platforme podržava OpenAI Workload Identity Federation?
Podržani su Kubernetes (projected service account tokeni), AWS (STS ili EKS), Microsoft Azure (managed identity ili AKS), Google Cloud (metadata server ili GKE), GitHub Actions (OIDC workflows) i SPIFFE (JWT-SVID).
Kako se konfigurira OpenAI Workload Identity Provider?
Vlasnici organizacije pristupaju postavkama putem Organization Settings > Security > Workload Identity Provider. JWKS verifikacija podržava OIDC discovery i ručno uploadane skupove ključeva; dokumenti otkrivanja osvježavaju se svakih 600 sekundi.

📬 AI vijesti u tvoj inbox

Dnevni digest po tvojoj mjeri — biraš teme, izvore i ritam. Odjava jednim klikom.