Vergleiche · Stand Juni 2026
Feature-Matrix: die Agent-Authorization-Landschaft
Sechzehn Dimensionen, fünf Anbieter-Klassen. Vier Zeilen besetzt nur Mandact: Nicht-Zahlungs-Handlungen, das zweiseitige Netzwerk, juristische Vorlagen und verifier-eigene Annahme-Policies. Legende: ✓ vorhanden · (✓) teilweise oder angekündigt · – nicht vorhanden oder nicht Ziel.
| Feature | Mandact | AP2 (FIDO) | Visa TAP / MC Agent Pay | Stripe (ACP/SPT/MPP) | Okta (AI Agents/XAA) |
|---|---|---|---|---|---|
| Schicht | Vollmacht / Recht | Zahlungs-Mandate | Karten-Netzwerk | Processor / Dev-Tools | Enterprise-IAM |
| Nicht-Zahlungs-Handlungen (Kündigung, Termin, Datenfreigabe, HR, Behörde) | ✓ 27 Aktionen, 9 Domänen | – | – | – | (✓) nur intern, app-bezogen |
| Zahlungs-Mandate | (✓) payment.* kapselt AP2 | ✓ Intent / Cart / Payment | ✓ Agentic Tokens / Verified Agent ID | ✓ SPT, scoped Virtual Cards | – |
| Zweiseitiges Netzwerk (Mandant und Verifier als Kunden) | ✓ einzig | – Protokoll, kein Betreiber | – händlerseitig | – händlerseitig | – arbeitgeberseitig |
| Staatliche Identitäts-Wurzel (E-ID/EUDI, SD-JWT/OID4VC) | ✓ Schema-nativ, Stack = Swiyu | (✓) W3C VCs, keine staatliche Wurzel | – Karten-Credential | – Konto-Credential | (✓) VDC erst FY27 |
| Juristische Vorlagen (OR 32 ff. / BGB 164 ff., Review-Pflicht) | ✓ einzig | – | – | – | – |
| Beweiskette (append-only, hash-verkettet, DB-erzwungen, Export) | ✓ + qualifizierter Zeitstempel-Pfad | (✓) signierte Mandate, kein Vault | (✓) Netzwerk-Logs | (✓) Stripe-Logs | (✓) Audit-Logs |
| Kill Switch / Widerruf < 1 s, Echtzeit-Status-Pflicht | ✓ MD-201 bewiesen | – Spec-offen | (✓) Token-Sperre | (✓) Card-Cancel | (✓) Session-Logout |
| Eskalation / Step-up (Mensch ab Schwelle) | ✓ E2E: 600 s, einmalige Token | (✓) v0.2 geht Richtung Human Not Present | – | – | (✓) Async Approvals (Auth0) |
| Vier-Augen / Org-Zeichnungslogik | ✓ DB-Trigger-erzwungen | – | – | – | (✓) Governance-Workflows |
| Constraints: Betrag + Frequenz + Geo + Zeitfenster | ✓ alle vier, 19 stabile MD-Codes | (✓) Betrag / Intent | (✓) Betrag / Scope | ✓ Betrag / Merchant / Zeit | (✓) Scopes / Policies |
| Verifier-eigene Annahme-Policies (LoA, maxAmount, Attestierung) | ✓ Regel-Editor | – | – | – | – (umgekehrte Rolle) |
| MCP-Integration (Agent nutzt Mandate als Tool) | ✓ 5 Tools, über Stdio bewiesen | (✓) MCP-Extension | – | ✓ Agent Toolkit | (✓) XAA-Protokoll |
| Offene Governance | ✓ OMP als Profil über den Standards | ✓ FIDO Alliance | – proprietär | – proprietär | (✓) XAA offen |
| EU-Datenhaltung / eIDAS-Beweiswert / AI-Act-Art.-14-Mapping | ✓ Kernpositionierung | – US-zentriert | – | – | – |
| Enterprise-interne Agenten-Discovery | – (AgentryGov-Bundle) | – | – | – | ✓ Kernprodukt |
Status & Positionierung in einem Satz
AP2 (FIDO Alliance)
An die FIDO Alliance gespendet (April 2026), v0.2 mit Human-Not-Present-Zahlungen; PSPs stellen AP2-Mandate aus, die Mastercard als Verifiable Intent akzeptiert.
Das neutrale Mandats-Format für Zahlungen — Mandact kapselt es als payment.*-Subtyp statt zu konkurrieren.
Visa TAP / Mastercard Agent Pay
US-Mastercard-Karteninhaber seit November 2025 flächendeckend enabled, globaler Rollout läuft; erste Live-Agentenzahlung Europas Anfang 2026.
Karten-Credential für Agenten — besetzt die Zahlung, nie die Handlung.
Stripe (ACP / SPT / MPP)
MPP als GA ausgeliefert, Shared Payment Tokens im Rollout mit Visa, Mastercard, Klarna und Affirm.
Entwickler-Rail für Agenten-Checkouts — Integrations-Ziel, kein Wettbewerber.
Okta for AI Agents / XAA
GA seit 30. April 2026; Microsoft Entra und Google Workspace mit Konkurrenzprodukten in Entwicklung; Verifiable Digital Credentials für FY27 angekündigt.
Beantwortet, welche internen Agenten ein Unternehmen hat — der nächste funktionale Nachbar, komplementär zur externen Vollmacht.
Mandact (OMP)
OMP v0.5.2: 19 Ablehnungscodes, API-Keys, Rate Limits, Evidence-Export — durchgängig maschinell verifiziert.
Durfte dieser fremde Agent das gegenüber mir — und wer beweist es vor Gericht?