AIエージェントを管理
早期アクセスリリース
Oktaは、AIエージェントのアイデンティティの登録、保護、制御を行って管理します。これにより、AIエージェントが説明責任を持ち、最小権限で動作することが確保されるため、セキュリティリスクではなく、管理対象のデジタル従業員の一部となります。AIソリューション向けOktaでは、エージェント間接続ではなく、人間からエージェントへの接続を可能にします。
メリット
Oktaを使用してAIエージェントを管理すると、一元化されたセキュリティとAIエージェントIDの制御が可能です。
- 最小権限を適用する
- ポリシーで制限されたスコープと方式を使ってアクセスを付与することで、AIエージェントの攻撃対象領域を最小限に抑えます。
- 一元化された制御とコンプライアンスレポート
- 一元化された管理により、すべてのエージェントアクションが統合されたコントロールプレーンにまとめられ、Okta System Log内でやり取りが完全に監査可能になります。
- 永続的な権限の廃止
- 期限付きのアクセスとポリシーの強制適用により、エージェントとユーザーでリスクのある永続的な資格情報が必要なくなります。
- セキュリティポスチャの強化
- セキュリティチームは、接続、権限、リスクへの明確な可視性を利用して、AIエージェントを確実にデプロイおよび接続します。
- ユーザー負担の軽減
- エージェントはユーザーのタスクを自動的に完了するため、アクセスリクエストを繰り返さずにシームレスなエクスペリエンスをユーザーに実現できます。
主な機能とコンポーネント
このエンドツーエンドのフレームワークにより、AIエージェントのライフサイクル全体を制御し、可視性、最小権限、ガバナンスを確保します。
| 設定 | ゴール |
主なアクション |
|---|---|---|
|
AIエージェントのアイデンティティを形式化します。 |
スーパー管理者は、人間の所有権が割り当てられたファーストクラスの非人間アイデンティティとしてエージェントをUniversal Directory(UD)に確立します。 |
|
|
最小権限アクセスを強制します。 |
[Managed Connections(管理対象接続)]を使用してルールベースのアクセスポリシーを適用し、許可されるリソースと必要なプロトコルを決定します。 |
|
|
最小権限アクセスを強制し、コンプライアンス要件を満たします。 |
リンクアプリへのリクエストアクセスを合理化し、既存のアクセスを定期的に認定、修復します。 |
仕組み
以下のワークフローでは、3段階のセキュリティモデルを実装して、AIエージェントのライフサイクル全体で可視性、最小権限、ガバナンスがどのように実現されるかについて詳しく説明します。
登録とプロビジョニング
システムがAIエージェントを識別すると、スーパー管理者はUniversal Directoryにワークロードプリンシパルとして登録します。これにより、エージェントはファーストクラスの非人間オブジェクトとして確立され、人間の割り当て済み所有権と定義済み説明責任を通じて、明確なガバナンスが確保されます。各エージェントには、エージェントのアイデンティティとライフサイクルに対する説明責任の指定地点として機能する人間の所有者が割り当てられます。スーパー管理者は技術的なセットアップや構成を行いますが、所有者はその使用目的の認定、アクセス要件の承認、エージェントの長期的なコンプライアンスの監視を担当します。このプロセスでは、エージェントにUDで正規のアイデンティティレコードを提供し、明確な人間の説明責任を割り当て、ポリシー作成に必要な認証の資格情報を発行します。
保護と認可
この段階では、[Managed Connections(管理対象接続)]という登録済みOkta AIエージェントにエンタープライズコントロールプレーンが確立されます。Okta AIエージェントは、タスクを実行するために外部リソースにアクセスする際に、Oktaからトークンをリクエストするように設計されています。管理対象接続を使用すると、AIエージェントがトークンをリクエストしてアクセスを認可されるリソースを正確に定義できます。
AIエージェントをCross App Accessでサポートされる認可サーバーに接続して、Oktaカスタム認可サーバーで保護されるリソースへのAIエージェントアクセスを付与できます。これらのシナリオでは、AIエージェントがリクエストを許可される、事前定義されたスコープのセットを指定できます。これにより、最小権限の原則が強制され、エンドユーザーが外部リソースの同意ページで操作する必要がなくなります。
管理対象接続によって、事前構成されたサービスアカウントやシークレットなど、格納された静的資格情報へのアクセスも容易になります。使用される方法にかかわらず、AIエージェントによる外部リソースへのアクセスは、管理者が定義したポリシーに基づいてOktaによって管理されます。
管理
この最終段階では、AIエージェントはOkta Identity Governanceプロセスに統合され、ライフサイクル全体でセキュリティ、コンプライアンス、監査が維持されます。エージェントへのユーザーアクセスは、承認ポリシーが定義されたアクセスリクエストリソースカタログを通じて管理できます。期限付きアクセスは、承認された期間が終了すると自動的に権限を取り消します。これにより、無期限の永続的なアクセスが阻止されます。通常のアクセス認定キャンペーンと詳細なSystem Logにより、すべてのエージェント関連アクションの継続的な監査が確保されます。