エージェント間接続
Oktaにおけるエージェント間接続について説明します。
早期アクセスリリース。セルフサービス機能を有効にするを参照してください。
エージェント間接続によって、AIエージェントは、自動化されたワークフローの一部として相互を安全に呼び出します。ワークフローに応じて、AIエージェントは次のロールのいずれか、または両方で動作します。
- 呼び出し元(Caller):リクエストを開始し、別のエージェントを呼び出すエージェント。
- リソース(Resource):受信リクエストを受信・検証するエージェント。
非人間アイデンティティで委任を構成するときは、カスタム認可サーバーを構成する必要があります。これは、他のAIエージェントやサービスが呼び出せる保護対象リソースとしてAIエージェントを登録するものです。標準のOkta Org Authorization Server(人間のユーザーを認証するために特化して設計)とは異なり、カスタム認可サーバーでは、エージェントのオーディエンスURL(呼び出し元がこの特定のAIエージェントのトークンをリクエストする際に使用する必要がある一意の識別子)を定義できます。また、受信エージェント間接続にきめ細かいアクセスポリシーを適用できます。
- 手動構成(Manual configuration):呼び出し元エージェントを手動で構成する場合、その特定のエージェントの詳細ページに移動し、ターゲットリソースエージェントのオーディエンスURLとカスタム認可サーバーを明示的に指すリソース接続を追加する必要があります。
- 自動構成(Automatic configuration):同じワークフロー内で2つのAIエージェントをともに接続する場合、Oktaは自動的にそれらの間にこのリソース接続を確立します。これらの自動作成された詳細は、両方のAIエージェントのリソース接続(Resource connections)タブで表示できます。
1つのAIエージェントが別のAIエージェントを呼び出す必要がある場合、最初にカスタム認可サーバーに一時アクセストークンを求める必要があります。カスタム認可サーバーは、構成済みルールをチェックして接続が許可されていることを確認し、特定のリソースにスコープ設定され、自動的に失効するトークンを付与します。この段階的な検証はリクエストごとに行われ、AIエージェントがorgに広範または永続的にアクセスできないようにします。
AIエージェントが連携すると、システムで委任のデジタルチェーンが構築されます。この証跡は、アクセストークンに直に埋め込まれ、リクエストを開始したエージェント、次に接続したエージェント、これらのイベントの正確な順序を正確に記録します。この明確で段階的な記録を保持することで、System Logを使用してプロセス中断時のエラーを簡単に特定し、異常なアクティビティを監視し、すべての自動接続を完全に監視することができます。
仕組み
- OktaにAIエージェントを追加および登録します。手動で追加することも、アプリからインポートすることもできます。「AIエージェントを追加」を参照してください。
- AIエージェントを呼び出せる非人間アイデンティティを構成します。「AIエージェントを手動で追加」内の「委任の追加」、または「インポートされたAIエージェントを構成する」を参照してください。
- 2つのAIエージェントを接続した場合、Oktaはそれらの間にリソース接続を自動的に確立します。リソース接続の詳細は、両方のAIエージェントのリソース接続(Resource connections)タブで確認できます。「AIエージェントのリソース接続」を参照してください。