პირადი vs გაზიარებული სერთიფიკატები
ყოველ სერთიფიკატს, რომელსაც AiHummer ფლობს — API გასაღები, ტოკენი, webhook secret — აქვს სფერო, რომელიც წყვეტს, ვისი საიდუმლოთი სრულდება tool-ის გამოძახება. არსებობს ორი სფერო: გაზიარებული და პირადი. განსხვავების და მათ შორის განსაზღვრების რიგის გაგება არის გასაღები იმისთვის, რომ ყოველ აგენტსა და ყოველ მომხმარებელს მისცეთ ზუსტად ის წვდომა, რომელიც უნდა ჰქონდეს და მეტი არაფერი.
ორი სფერო
| სფერო | ეკუთვნის | გამოიყენება როცა |
|---|---|---|
| გაზიარებული | სამუშაო სივრცეს | მოქმედება უნდა შესრულდეს ერთი საერთო ანგარიშის ქვეშ მიუხედავად იმისა, ვინ გაუშვა |
| პირადი | ცალკეულ მომხმარებელს | მოქმედება უნდა მიეწეროს და შეიზღუდოს კონკრეტული ადამიანის საკუთარი უფლებამოსილებით |
ორივე სახე ცხოვრობს იმავე დაშიფრულ vault-ში (envelope დაშიფვრა, AES-256-GCM, ყოველი მოიჯარისთვის გასაღები master key-ის ქვეშ); განსხვავება არის წმინდად იმაში, ვისზე განისაზღვრება საიდუმლო და არა იმაში, როგორ ინახება ან არის დაცული.
განსაზღვრება მოქმედი მომხმარებლის მიხედვით, სამუშაო სივრცის fallback-ით
turn-ის დროს, როცა tool-ს სჭირდება სერთიფიკატი, AiHummer განსაზღვრავს მას მოქმედი მომხმარებლის მიხედვით — ადამიანი, ვის სახელითაც მიმდინარეობს turn — და უბრუნდება სამუშაო სივრცის (გაზიარებულ) სერთიფიკატს, როცა მომხმარებელს არ აქვს პირადი:
need credential ─▶ personal credential for the acting user?
├─ yes ─▶ use the personal credential
└─ no ─▶ fall back to the shared (workspace) credential
ეს ერთი წესი გაძლევთ მოქნილ ქცევას: მიაწოდეთ მხოლოდ გაზიარებული სერთიფიკატი და ყველა იყენებს მას; მისცეთ ცალკეულ ადამიანებს საკუთარის დამატება და ისინი ავტომატურად აიღებენ პრიორიტეტს იმ ადამიანისთვის, ხოლო დანარჩენი ყველა აგრძელებს გაზიარებულის გამოყენებას.
[!NOTE] პირადი ყოველთვის იმარჯვებს გაზიარებულზე ერთი და იმავე მომხმარებლისთვის. სამუშაო სივრცის სერთიფიკატი არის fallback, არა override — მომხმარებელი, რომელმაც დააკავშირა საკუთარი ანგარიში, მოქმედებს საკუთარი უფლებამოსილებით.
როდის გამოვიყენოთ გაზიარებული
აირჩიეთ გაზიარებული სერთიფიკატი, როცა:
- მოქმედება წარმოადგენს ორგანიზაციას და არა ცალკეულ ადამიანს (კომპანიის საფოსტო ყუთი, ერთი CRM სერვისის ანგარიში, ბილინგის გასაღები).
- გსურთ თანმიმდევრული ქცევა მიუხედავად იმისა, ვინ გაუშვა აგენტი.
- ერთი საიდუმლოს ცენტრალურად გაცემა და როტაცია უფრო მარტივია, ვიდრე ყოველი მომხმარებლის ცალკე გამართვა.
როდის გამოვიყენოთ პირადი
აირჩიეთ პირადი სერთიფიკატი, როცა:
- მოქმედება უნდა მიეწეროს კონკრეტულ ადამიანს და შეიზღუდოს იმით, რისი უფლებაც ამ ადამიანს აქვს.
- სხვადასხვა მომხმარებელმა უნდა დაინახოს სხვადასხვა მონაცემი ერთი და იმავე აგენტისა და tool-ის მეშვეობით.
- გჭირდებათ ყოველი მომხმარებლის გაუქმება და აუდიტი, დანარჩენებისგან დამოუკიდებლად.
პირადი სერთიფიკატები ჩვეულებრივ არის ცალკეული ანგარიშები, რომლებსაც თანამშრომელი თავად აკავშირებს კავშირების მეშვეობით. ყუთიდან გამოსვლისთანავე ეს მოიცავს, მაგალითად, Gmail, Google Calendar, Google Drive, Google Tasks, YouTube, Outlook Mail, Outlook Calendar, OneDrive, Microsoft To Do, Todoist, Asana, Jira Cloud, ClickUp, GitLab, Fitbit, Oura Ring, Spotify და Samsung SmartThings — თითოეული მომხმარებელი მოქმედებს საკუთარი უფლებამოსილებით. გაზიარებული სერთიფიკატი, პირიქით, არის ერთი მთელი სამუშაო სივრცის ანგარიში (მაგალითად კომპანიის საფოსტო ყუთი ან CRM სერვისის ანგარიში), რომელსაც ყველა იყენებს.
როგორ ურთიერთქმედებს ის კავშირებთან და vault-თან
კავშირები არის ყველაზე გავრცელებული გზა, რომლითაც პირადი სერთიფიკატი წარმოიქმნება: მომხმარებელი ასრულებს OAuth2 authorization-code ნაკადს, გაცემული ტოკენი იბეჭდება vault-ში და მას შემდეგ ის ზუსტად ის პირადი სერთიფიკატია, რომელსაც resolver არჩევს ამ მომხმარებლისთვის. გაზიარებული სერთიფიკატი, პირიქით, ჩვეულებრივ არის საიდუმლო, რომელსაც ოპერატორი ერთხელ ინახავს სამუშაო სივრცის დონეზე.
ყველა შემთხვევაში საიდუმლო რჩება დაშიფრულ vault-ში და არასოდეს შედის მოდელის კონტექსტში, prompt-ში ან ლოგებში — სფერო მხოლოდ აკონტროლებს, რომელ vault-ის ჩანაწერზე განისაზღვრება მოქმედი მომხმარებელი.
სად შემდეგ
- კავშირები (per-user OAuth2) — როგორ ენიჭება უფლებამოსილება პირად სერთიფიკატებს.
- BYOK და LLM პროვაიდერები — მოდელის გასაღებები ყოველი მოიჯარისთვის.
- Marketplace მიმოხილვა და დონეები — Tier-2 უნარებს შეუძლიათ პირადი სერთიფიკატების გამოყენება.