Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Meilleures pratiques IAM pour les agents IA | Ping Identity
Principes fondamentaux de l’identité
Orchestration des Identités
Gestion des Identités et des Accès
Fournisseurs d’identité et fournisseurs de service
Gestion Centralisée et Décentralisée des Identités
Sécurité Zero Trust
Authentification
Authentification à facteur simple, à double facteur et multifacteur
L’authentification passwordless
FIDO (Fast Identity Online)
Authentification basée sur le niveau de risque
Authentification basée sur un certificat
Authentification basée sur des jetons
Single Sign-On (SSO)
Gestion des identités fédérées
Authentification CHAP
Qu’est-ce que l’authentification continue ?
Autorisation
Méthodes d’autorisation
Provisioning des utilisateurs et des comptes
Comment le single sign-on fonctionne avec un annuaire
l’Autorisation Dynamique
Standards d’authentification et d’autorisation
SAML
OAuth
OpenID Connect (OIDC)
Protocoles d’authentification et d’autorisation
LDAP
SCIM
WebAuthn
Kerberos
WS-Trust
Qu'est-ce que la gestion des identités et des accès interentreprises (IAM B2B) ?
IA agentique
Gestion centralisée des identités
Qu'est-ce que la gestion centralisée des identités ?
Comment fonctionne la gestion centralisée des identités ?
Normes liées à l'identité centralisées
OAuth
SAML
Expand All | Collapse All

Meilleures pratiques IAM pour les agents d'IA

 

Connaître ses agents

Les organisations devraient établir un système d'identification et de gestion du cycle de vie pour tous les agents d'IA gérés interagissant avec leurs systèmes. Cela inclut le provisionnement des agents avec des identifiants clients uniques et leur déprovisionnement lorsqu'ils ne sont plus nécessaires. Il est crucial de connaître les différentes classes d'agents d'IA selon leurs méthodes d'interaction (API vs. GUI), leur autonomie, leur supervision, leur propriété et leur segment pour élaborer des stratégies IAM appropriées. En outre, la désignation de sponsors ou de responsables chargés de l'examen et de la recertification de l'accès des agents contribue à assurer la responsabilité.

 

Détecter les agents

Les systèmes IAM doivent être capables d'identifier quand une session ou une connexion est pilotée par un agent d'intelligence artificielle. Ceci est particulièrement important pour les agents interagissant avec l'interface graphique, où il est difficile de les distinguer des utilisateurs humains et des bots malveillants. La possibilité d'étiqueter ou de marquer les sessions provenant d'agents d'IA permet de mettre en œuvre des parcours IAM appropriés. Cela permet aux services en aval d'appliquer des contrôles appropriés, tels que la limitation de l'accès ou l'affichage d'interfaces spécialisées.

 

Appliquez la délégation, pas l'usurpation

Lorsque des agents d'intelligence artificielle agissent au nom d'utilisateurs humains, il est crucial d'appliquer des mécanismes de délégation plutôt que de permettre à l'agent de se faire passer pour l'utilisateur. Cela s'aligne avec le concept de délégation authentifiée où un utilisateur accorde en toute sécurité des autorisations limitées à un agent. Les identifiants de l'utilisateur ne doivent pas être partagés directement avec l'agent ; il est préférable d'émettre des jetons délégués avec des portées limitées. Cela garantit que l'agent agit dans des limites définies et assure une chaîne de responsabilité claire jusqu'au mandant humain, tout en permettant la visibilité et le contrôle des interactions des agents avec les systèmes.

 

Authentifiez les humains hors bande

Lorsque les agents d’IA agissent au nom des utilisateurs, le système IAM doit solliciter l’utilisateur humain pour une authentification et une autorisation explicites en utilisant des méthodes hors bande (telles que des notifications push, des codes QR ou d’autres flux appropriés). Cela garantit que les utilisateurs humains ne sont pas obligés de fournir des identifiants à l'agent et que les opérations sensibles peuvent bénéficier d'une surveillance et d'un consentement humains en temps réel.

 

Autoriser les agents

Les agents d'intelligence artificielle devraient se voir accorder des privilèges selon le principe du moindre privilège, ce qui signifie qu'ils ne devraient avoir accès qu'à l'ensemble le plus restreint d'actions et de ressources nécessaires à l'accomplissement des tâches qui leur sont déléguées. L'utilisation de jetons de courte durée ou de portées limitées dans le temps peut réduire davantage le risque de vulnérabilités spécifiques aux agents. Pour les opérations à haut risque, l'approbation explicite de l'identité humaine doit être appliquée, également connue sous le nom de « human-in-the-loop »

 

Vérifiez les humains

Pour les opérations sensibles tentées par des agents d'IA, les organisations doivent vérifier explicitement l'approbation humaine (également appelée human-in-the-loop). En fonction du cas d'utilisation et de la sensibilité, envisagez d'utiliser des défis qui se démarquent pour être imités par l'IA (par exemple, la preuve d'identité avec une correspondance de selfie est plus fiable pour l'IA par rapport à l'OTP par e-mail). Cela fournit un point de contrôle crucial pour s'assurer que les actions critiques sont examinées et autorisées par un sponsor humain ou un utilisateur final avant d'être exécutées. Le logging de ces points de vérification est essentiel à des fins d'audit. Le cadre de la délégation authentifiée soutient cette démarche en rendant explicite le rôle de l'homme dans les flux de travail de l'agent, ce qui permet de contrôler les décisions et de corriger les erreurs.

 

Surveiller l'activité des agents

Les organisations devraient mettre en œuvre des mécanismes de surveillance et d'audit fiables pour suivre les activités des agents d'IA. Cela inclut l'enregistrement des actions des agents, la détection des anomalies dans leur comportement ou leurs schémas d'accès, et l'établissement de pistes d'audit pour examiner leurs interactions et garantir la conformité. La capacité de révoquer les identifiants d’un agent s'il est compromis ou présente un comportement malveillant ou anormal est également cruciale pour assurer la sécurité.

 

 

Lancez-vous dès Aujourd'hui

Contactez-Nous

sales@pingidentity.com

Découvrez comment Ping peut vous aider à offrir des expériences sécurisées aux employés, partenaires et clients dans un monde numérique en constante évolution.