Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
IAM-Best-Practices für KI-Agenten | Ping Identity
Grundlagen der Identität
Authentifizierung
Ein-Faktor-, Zwei-Faktor- und Multi-Faktor-Authentifizierung
Passwortlose Authentifizierung
FIDO (Fast Identity Online)
Risikobasierte Authentifizierung
Zertifikatsbasierte Authentifizierung
Tokenbasierte Authentifizierung
Single Sign-on (SSO)
Föderiertes Identitätsmanagement
CHAP-Authentifizierung
Was ist die kontinuierliche Authentifizierung?
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
OAuth
OpenID Connect (OIDC)
SAML
Autorisierung
Autorisierungsmethoden
Nutzer- und Kontenprovisionierung
So funktioniert Single Sign-on mit einem Verzeichnis
Was ist dynamische Autorisierung?
Authentifizierungs- und Autorisierungsprotokolle
LDAP
SCIM
WebAuthn
Kerberos
Was ist WS-Trust?
Was ist B2B-Identitäts- und Zugriffsmanagement (B2B-IAM)?
Agententische KI
Zentralisiertes Identitätsmanagement
Was ist zentralisiertes Identitätsmanagement?
Wie funktioniert das zentralisierte Identitätsmanagement?
Zentralisierte Identitätsstandards
Expand All | Collapse All

IAM-Best Practices für KI-Agenten

 

Kennen Sie Ihre Agenten

Organisationen sollten eine Identifizierung und ein Lebenszyklus-Management für alle verwalteten KI-Agenten einrichten, die mit ihren Systemen interagieren. Dies umfasst die Bereitstellung von Agenten mit eindeutigen Kundenkennungen und deren Aufhebung, wenn sie nicht mehr benötigt werden. Das Verständnis der verschiedenen Klassen von KI-Agenten basierend auf ihren Interaktionsmethoden (API im Vergleich zu GUI), Autonomie, Überwachung, Eigentum und Segmentierung ist entscheidend für die Anpassung geeigneter IAM-Strategien. Darüber hinaus trägt die Zuweisung von Sponsoren oder Verantwortlichen, die für die Überprüfung und Rezertifizierung des Agentenzugriffs verantwortlich sind, zur Sicherstellung der Verantwortlichkeit bei.

 

Agenten erkennen

IAM-Systeme sollten in der Lage sein zu erkennen, wann eine Sitzung oder Verbindung von einem KI-Agenten gesteuert wird. Dies ist besonders wichtig für GUI-interagierende Agenten, bei denen es eine Herausforderung darstellt, sie von menschlichen Benutzern und bösartigen Bots zu unterscheiden. Die Möglichkeit, Sitzungen, die von KI-Agenten stammen, zu markieren oder zu kennzeichnen, ermöglicht die Durchsetzung geeigneter IAM-Reisen. Dies ermöglicht es nachgelagerten Diensten, geeignete Kontrollen anzuwenden, wie z. B. den Zugriff zu beschränken oder spezielle Schnittstellen anzuzeigen.

 

Delegierung anwenden, nicht Identitätswechsel

Wenn KI-Agenten im Namen menschlicher Benutzer handeln, ist es entscheidend, Delegationsmechanismen anzuwenden, anstatt dem Agenten zu erlauben, sich als Benutzer auszugeben. Dies steht im Einklang mit dem Konzept der authentifizierten Delegation, bei dem ein Benutzer einem Agenten auf sichere Weise begrenzte Berechtigungen erteilt. Benutzeranmeldedaten sollten nicht direkt mit dem Agenten geteilt werden; stattdessen sollten Sie delegierte Token mit begrenztem Geltungsbereich ausstellen. Dies stellt sicher, dass der Agent innerhalb definierter Grenzen agiert und eine klare Verantwortungskette zum menschlichen Auftraggeber aufrechterhält, während gleichzeitig die Sichtbarkeit und Überwachung der Interaktionen der Agenten mit den Systemen ermöglicht wird.

 

Authentifizieren Sie Menschen außerhalb des regulären Kanals

Wenn KI-Agenten im Namen von Benutzern handeln, sollte das IAM-System den menschlichen Benutzer mit Methoden außerhalb des regulären Kanals (z. B. Push-Benachrichtigungen, QR-Codes oder anderen geeigneten Abläufen) zur expliziten Authentifizierung und Autorisierung auffordern. Dies stellt sicher, dass menschliche Benutzer dem Agenten keine Anmeldedaten bereitstellen müssen und dass sensible Vorgänge in Echtzeit unter menschlicher Aufsicht und mit Zustimmung durchgeführt werden können.

 

Agenten autorisieren

KI-Agenten sollten Privilegien nach dem Prinzip der minimalen Rechtevergabe erhalten, d. h. sie sollten nur Zugriff auf die kleinste Gruppe von Aktionen und Ressourcen haben, die für die Ausführung der ihnen übertragenen Aufgaben erforderlich sind. Die Nutzung von kurzlebigen Tokens oder zeitlich begrenzten Berechtigungen kann das Risiko spezifischer Schwachstellen von Agenten weiter verringern. Bei risikoreichen Operationen sollte eine explizite Genehmigung durch die menschliche Identität erfolgen, auch bekannt als „Human-in-the-Loop“.

 

Überprüfen Sie Menschen

Für sensiblen Operationen, die von KI-Agenten durchgeführt werden, sollten Organisationen explizit die menschliche Genehmigung (auch bekannt als Human-in-the-Loop) verifizieren. Je nach Anwendungsfall und Sensibilität sollten Sie Herausforderungen in Betracht ziehen, die robuster gegen Nachahmung durch KI sind (zum Beispiel ist die Identitätprüfung mit einem Selfie-Abgleich robuster gegen KI als ein OTP per E-Mail). Dies bietet einen entscheidenden Kontrollpunkt, um sicherzustellen, dass kritische Aktionen vor der Ausführung von einem menschlichen Sponsor oder Endbenutzer überprüft und genehmigt werden. Die Protokollierung dieser Verifikationsprüfpunkte ist für Prüfzwecke unerlässlich. Das Framework für authentifizierte Delegation unterstützt dies, indem es die Rolle des Menschen in den Arbeitsabläufen der Agenten explizit macht, was die Überprüfung von Entscheidungen und die Korrektur von Fehlern ermöglicht.

 

Überwachen der Agentenaktivität

Organisationen sollten robuste Überwachungs- und Prüfmechanismen implementieren, um die Aktivitäten von KI-Agenten zu verfolgen. Dies umfasst die Protokollierung von Agentenaktionen, das Erkennen von Anomalien in ihrem Verhalten oder ihren Zugriffsmustern und das Erstellen von Prüfpfaden, um ihre Interaktionen zu überprüfen und die Einhaltung sicherzustellen. Die Möglichkeit, einem Agenten die Berechtigungen zu entziehen, wenn er kompromittiert ist oder ein bösartiges oder abnormales Verhalten zeigt, ist ebenfalls entscheidend für die Aufrechterhaltung der Sicherheit.

 

 

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Ihnen helfen kann, sichere Erlebnisse für Mitarbeiter, Partner und Kunden in einer sich schnell wandelnden digitalen Welt zu bieten.