AIがサービスに自動登録する新方式

長年、ウェブ上での認証は一つの設計思想に従ってきました。それは、ブラウザの向こうには人間が座っているというものです。ボタンをクリックし、フォームに記入し、メールアドレスを確認し、APIキーをコピーして別の場所に貼り付ける。しかし、ユーザーがAIエージェントに作業を委任する場合、このモデルは機能しません。AIエージェントはすでにコードを書き、プルリクエストを作成し、チケットを分類し、システムに問い合わせ、記録を更新しています。しかし、ほとんどの製品には、AIエージェントが登録するための本当の方法がありません。回避策として、AIエージェントに生のAPIキーやセッショントークンを与えることがありますが、これはスコープが限定されず、セッションごとの監査が難しく、選択的に取り消すことができない認証情報を作り出してしまいます。WorkOSは構造化された代替案として、AIエージェント登録のためのオープンプロトコルであるauth.mdを提案しています。auth.mdとは何でしょうか？auth.mdは、アプリケーションがよく知られた場所（通常はhttps://service.com/auth.md）に公開する小さなMarkdownファイルです。このファイルは、AIエージェントにそのサービスへの登録方法、つまりどのフローがサポートされているか、どのスコープが存在するか、そして認証情報がどのように発行され、監査され、取り消されるかを伝えます。プレーンテキストのMarkdownであるため、同じファイルが人間の開発者向けのドキュメントとして機能し、AIエージェントがプログラムで読み取れるランタイムアーティファクトとしても機能します。AIエージェントはファイルをフェッチし、構造化されたセクションを読み取り、適切なフローを選択して登録します。人間がフォームに記入する必要はありません。検出は2つのホップで機能します。機械が読み取れる信頼できる情報源は、/.well-known/oauth-protected-resource（Protected Resource Metadata、略してPRM）に存在します。これはリソースを宣伝し、Authorization Serverを指します。/.well-known/oauth-authorization-serverにあるAuthorization Serverのメタデータには、agent_authブロックが含まれています。これは、AIエージェントにどのフローがサポートされているか、そしてregister_uri、claim_uri、revocation_uri、およびidentity_types_supportedの値が何であるかを伝える構造化されたオブジェクトです。auth.mdファイルは、AIエージェントをこの検出パスに導く散文的な補足資料です。APIからの401エラーが発生した場合、サービスはWWW-Authenticate: Bearer resource_metadata="..."ヘッダーを返す必要があります。これによりAIエージェントは