インポートされたAIエージェントを構成する
AIエージェントをインポートしたら、次に構成を完了してOktaでアクティブ化します。AIエージェントを構成する際には、次の詳細を提供できます。
- 所有者(Owners):AIエージェントのガバナンスとライフサイクル管理を担当する管理者です。プロバイダーアプリの構成時にデフォルトの所有者を割り当てた場合、それらの所有者はすでにAIエージェントに自動入力されています。この所有権を変更し、所有者を追加できます。AIエージェントに常に所有者がいるように、少なくとも2人の所有者を割り当てることをお勧めします。
- 資格情報(Credentials):Oktaは公開鍵を使用して、AIエージェントがリソースにアクセス権限を持っていることを確認し、リクエストのデジタル署名を検証します。
- ユーザーサインオン(User sign-on):AIエージェントがアプリにリンクされている場合、そのアプリに現在サインインしているユーザーの代わりにリソースにアクセスしたり、アクションを実行したりすることだけができます。
- 委任(Delegations)(早期アクセス):AIエージェントが代わりに動作することを認可できるユーザー、アプリ、その他のAIエージェントです。AIエージェントをアプリに委任すると、ユーザーがアプリにサインインしている場合にのみ、AIエージェントはユーザーの代わりに動作できます。AIエージェントを非人間アイデンティティ(アプリや別のAIエージェントなど)に委任すると、その非人間アイデンティティはユーザーなしでAIエージェントの代わりに動作できます。「エージェント間接続」を参照してください。注:
AIエージェントを別のAIエージェントに委任すると、Oktaは2つのAIエージェント間にリソース接続を自動的に作成します。他のすべての委任タイプの場合は、AIエージェントのリソース接続を個別に構成する必要があります。
開始する前の確認事項
- スーパー管理者のロールがある。
- AIエージェントをOktaにインポート済みである。「アプリからAIエージェントをインポートする」を参照してください。
- AIエージェントをOIDCアプリにリンクする場合、そのアプリがorgに統合されている。「既存のアプリ統合を追加する」を参照してください。
- AIエージェントを非人間アイデンティティにリンクする場合は、カスタム認可サーバーを作成しておきます。認可サーバーを作成するを参照してください。これは、他のAIエージェントやサービスが呼び出せるリソースとしてAIエージェントを登録するために必要です。
- Oktaでの認証用の公開JSON Web Key(JWK)がある。公開JWKがまだない場合は、AIエージェントを登録する際に生成できます。
所有者を割り当てる
-
Admin Consoleで、に移動します。
- インポートされたAIエージェントを選択します。
- オーナー(Owners)タブを選択し、オーナーを編集(Edit owners)をクリックします。
- 次のいずれかのオプションを選択します。
- 個々の所有者を割り当てる(Assign individual owners):ユーザーを5人まで選択します。
- グループ所有者を割り当てる(Assign a group owner):少なくとも2人のメンバーを持つグループを選択します。
- 保存(Save)をクリックします。
- アプリをAIエージェントにリンクします。
- ユーザーサインオン(User Sign-on)タブに移動します。
- アプリケーションをリンク(Link an application)をクリックします。
- アプリケーション(Application)リストからアプリを選択し、リンク(Link)をクリックします。AIエージェントをアプリにリンクすると、AIエージェントは、ユーザーがそのアプリにサインインした場合のみ、ユーザーの代わりに動作できます。
委任の追加
早期アクセスリリース。セルフサービス機能を有効にするを参照してください。
- AIエージェントページで、委任(Delegations)タブを選択します。
- アプリにサインインしているユーザーが自分のIDをAIエージェントに委任できるようにするには、ユーザーサインオン(User sign-on)の横にある呼び出し元を追加(Add caller)をクリックします。
- アプリケーション(Application)のドロップダウンリストからアプリを選択します。認可サーバーの確認(Confirm authorization server)セクションが表示され、デフォルトでOkta Org認可サーバー(Okta Org Authorization Server)が選択されます。
- 任意。デフォルトの認可サーバーを使用しない場合は、認可サーバー(Authorization server)リストからカスタム認可サーバーを選択します。
- 呼び出し元を追加(Add caller)をクリックします。
- 追加するユーザーサインオンアプリごとに、これらの手順を繰り返します。
- AIエージェントを非人間アイデンティティに委任するには、カスタム認可サーバーを構成する必要があります。これは1回限りのタスクです。すでに完了している場合は、手順4に進みます。そうでない場合は、非人間アイデンティティ(Non-human identity)セクション(早期アクセス)の構成(Configure)をクリックします。
- ドロップダウンリストから認可サーバー(Authorization server)を選択します。
- 一意のオーディエンス/リソースURL(Audience/resource URL)を入力して、リソースエージェントを特定します。これは、呼び出し元がオーディエンスclaimを検証するためにトークンリクエストに含めるURLです。 注:
オーディエンスURLは、呼び出し元がAIエージェントからトークンをリクエストするために使用する識別子です。この値は後で編集できません。
- 保存(Save)をクリックします。
- 呼び出し元を追加(Add caller)をクリックします。
- AIエージェントを別のAIエージェントに委任するには、AIエージェント(AI agent)をクリックし、ドロップダウンリストからAIエージェントを選択します。
- 使用可能なすべてのOAuthスコープをAIエージェントに付与するには、すべて許可(Allow all)を選択します。あるいは、一部のみ許可(Only allow)または禁止(Disallow)を選択し、AIエージェントに付与または拒否するスコープを選択します。
- 呼び出し元を追加(Add caller)をクリックします。
- 委任が追加されました(Delegation added)ダイアログには、委任とリソース接続の詳細が表示されます。別のAIエージェントを追加(Add another AI agent)または完了(Done)をクリックします。構成したAIエージェントが、AIエージェント委任のリソース接続(Resource connections)タブに表示されます。
- AIエージェントをアプリまたはサービスに委任するには、アプリケーションまたはサービス(Application or service)をクリックします。
- ドロップダウンリストからアプリまたはサービスを選択します。
- 呼び出し元を追加(Add caller)をクリックします。
- 追加するアプリまたはサービスごとに、これらの手順を繰り返します。
AIエージェントをアクティベートする
- AIエージェントのページで、を選択します。
- 確定(Confirm)をクリックします。
- エージェントを非アクティブ化するには、を選択します。
資格情報を追加する
カスタムコードで構築された自社開発(エージェントビルダープラットフォーム)のAIエージェントを保護するには、公開鍵を構成します。
- 資格情報(Credentials)タブに移動します。
- 公開鍵を追加(Add public key)をクリックします。公開鍵を追加(Add public key)ダイアログが開きます。
- 公開鍵を入力するか、新しいキーを生成(Generate new key)をクリックします。Oktaは、JSONまたはPEMで表示できる秘密鍵に関連付けられる公開鍵を作成します。
- クリップボードにコピー(Copy to clipboard)をクリックして、秘密鍵を安全な場所に保管します。
- 完了(Done)をクリックします。
カスタムコードを使用して構築された自社開発(完全にカスタム)または自社開発(エージェントビルダープラットフォーム)のAIエージェントを構成してアクティブ化したら、リソース接続を介してリソースに接続します。「AIエージェントをリソースに接続する」を参照してください。
Amazon Berock AgentCore AIエージェントの保護の詳細については、「インポートされたAmazon Belock AgentCoreエージェントを保護する」を参照してください。