OAuth付与を使用するシャドーAIエージェント特定する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。Okta for AI Agentsの使用には、Okta for AI Agents利用規約（早期アクセス）が適用されます。

管理対象のブラウザー全体にOkta Secure Access Monitor（SAM）プラグインを構成すると、Identity Security Posture Management（ISPM）がプラグインによってキャプチャされたOAuth付与データを自動的に分析します。その後、ISPMはそのデータをISPMコンソールの［Browser OAuth grants（ブラウザーOAuth付与）］ページに表示します。また、ISPMは、AIエージェントの有効化に使用されている可能性のある付与を検出し、［AI］ラベルでタグ付けします。

［Browser OAuth grants（ブラウザーOAuth付与）］ページでは、ユーザーがアプリ（特にAIエージェントを構築できる管理対象外の（シャドー）アプリ）に提供したOAuth付与の包括的なビューが提供されます。シャドーAIエージェントを識別する上で、この可視性は重要です。シャドーAIエージェントは、適切な監視や承認なしでorgで使用される、管理対象外のエージェントです。ISPMを使用すると、クライアントアプリ、リソースアプリ、および特定のスコープなどのデータを取得して、これらの接続を直接フィルタリング、並べ替え、調査することができます。これにより、これらのエージェントをOktaに登録して管理下に置く、また付与を取り消すなど、即時の修復アクションを実行できます。

開始する前の確認事項

• Okta Secure Access Monitor（SAM）ブラウザープラグインが構成され、管理対象のブラウザーにデプロイされていることを確認します。

• ISPMでソースとして接続したOkta orgにSAMプラグインが構成されていることを確認します。

• プラグインを初めて構成した場合、データがISPMに表示されるまで最大7日かかる場合があります。その後、データは毎日同期されます。

このタスクを開始する

1. ISPMコンソールで、［Inventory（インベントリ）］［NHI & AI agents（NHIとAIエージェント）］ ［Browser OAuth grants（ブラウザーOAuth付与）］ページに移動します。このページには、SAMプラグインによって取得されたOAuth付与の集計概要が表示されます。

2. ［Category（カテゴリ）］フィルターから［AI］を選択します。

3. テーブルをレビューして、クライアントアプリとリソースアプリ間の接続を確認します。次の列の情報をレビューして、不明または不審な付与を特定できます。

   • ［Client app（クライアントアプリ）］：アクセスをリクエストしたアプリ。

   • ［Resource app（リソースアプリ）］：アクセスされるデータを保持するターゲットアプリ。

   • ［First / Last Seen（初回/最終表示日時）］：これらのタイムスタンプは、接続が最初に確認された日時と直近で確認された日時を示します。

4. 特定の接続を調査するには、インベントリテーブルで任意の行を選択し、接続を認可した個々のユーザーや付与された特定のスコープなどの詳細をレビューします。

5. 付与が不審と考えられる場合は、ユーザーに連絡して確認します。

   • 付与が認可され、AIエージェントに関連する場合は、［Register（登録）］をクリックします。「AIエージェントを登録する」を参照してください。

   • 付与が認可されていない場合は、適切な修復アクションを実行します。