Ping Identity تؤمّن وكلاء الذكاء الاصطناعي عبر AWS وجوجل وCloudflare: من تسجيل الدخول إلى التحكم اللحظي

مع الانتشار المتسارع لوكلاء الذكاء الاصطناعي (AI Agents) في بيئات المؤسسات، تبرز فجوة أمنية كبيرة: فحوصات الهوية التقليدية التي تتم فقط عند تسجيل الدخول لم تعد كافية لوكلاء يعملون بشكل مستمر ومستقل عبر الخدمات السحابية وواجهات API. في 16 يونيو 2026، أعلنت Ping Identity عن مجموعة من التكاملات مع Amazon Web Services وGoogle Cloud وCloudflare لسد هذه الفجوة، عبر تمديد خاصية "هوية وقت التشغيل" (Runtime Identity) إلى المنصات التي يُبنى فيها الوكلاء ويُشغّلون . تمثل هذه الخطوة تطوراً عملياً من المصادقة الثابتة (Static Authentication) إلى التفويض المستمر والمدرك للسياق عند كل إجراء يقوم به الوكيل.

التحول الجوهري: من المصادقة إلى التفويض اللحظي

ينبني نهج Ping Identity على مفهوم أساسي: وكلاء الذكاء الاصطناعي ليسوا مستخدمين بشريين، وهم لا يكتفون بتسجيل الدخول ثم يتوقفون. إنهم يجرون سلاسل من استدعاءات API، ويصلون إلى أدوات، ويتخذون قرارات عبر أنظمة موزعة. هذا الواقع يتطلب نموذجاً أمنياً يتم فيه التحقق من الهوية والتفويض بشكل مستمر أثناء وقت التشغيل، عند كل إجراء .

ولتمكين هذا، يعالج إطار عمل Identity for AI من Ping، والذي أصبح متاحاً بشكل عام في مارس 2026، وكلاء الذكاء الاصطناعي كهويات غير بشرية من الدرجة الأولى. يوفر الإطار تسجيلاً للوكلاء وإدارة لدورة حياتهم، وتبادل رموز OAuth 2.0 للتفويض المفوض، ورؤية مركزية لنشاط الوكلاء عبر البيئات المختلفة .

المبدأ التقني الأساسي: التفويض دون انتحال الهوية

يكمن جوهر التكاملات الثلاثة في تبادل رموز OAuth 2.0. عندما يفوض مستخدم بشري مهمة إلى وكيل، لا يقوم الوكيل ببساطة بانتحال هوية المستخدم بصلاحياته الكاملة. بدلاً من ذلك، تستبدل بنية Ping التحتية رمز المستخدم البشري برمز جديد محدود النطاق. يحمل رمز التفويض هذا هوية المستخدم البشري وهو الوكيل نفسه، مما يخلق سلسلة عهد آمنة لكل إجراء . هذا يعني أن فرق الأمان يمكنها دائماً الإجابة على: من هو المسؤول البشري الذي فوض هذا الإجراء، وأي وكيل قام به، وما هي الصلاحيات المحددة التي كان يمتلكها؟

AWS: تأمين هويات الوكلاء عبر أعباء العمل السحابية

يتركز تكامل Ping Identity مع AWS على خدمة Amazon Bedrock AgentCore، وهي خدمة إدارة الهوية وبيانات الاعتماد التي بنتها أمازون خصيصاً لوكلاء الذكاء الاصطناعي .

آلية العمل:

يمكن تهيئة مزودي الهوية من Ping — مثل PingOne وPingOne Advanced Identity Cloud وPingFederate — بطريقتين:

• كمزود هوية داخلي (Inbound IdP) لبوابة ووقت تشغيل AgentCore، لمصادقة المستخدمين النهائيين وإصدار رموز OAuth محددة النطاق يجب على الوكلاء تقديمها قبل الوصول إلى الموارد .
• كمزود بيانات اعتماد خارجي (Outbound Credential Provider)، لتمكين الوكلاء من الحصول بأمان على رموز وصول للخدمات الخارجية دون كشف بيانات اعتماد طويلة الأمد .

القدرات العملية:

• هويات فريدة للوكلاء — يحصل كل وكيل ذكاء اصطناعي على هوية مميزة مع بيانات وصفية مرتبطة. يمكن للمسؤولين تطبيق سياسات "أقل صلاحية" (Least-Privilege) عبر بيئات AWS متعددة الحسابات .
• حوكمة فورية — يتم فرض التفويض بشكل ديناميكي أثناء تفاعل الوكلاء مع APIs والأدوات، بما ينسجم مع سياسات المؤسسة للبيانات الحساسة وأعباء العمل المنظمة .
• المراقبة والتدقيق — توفر Amazon Bedrock AgentCore سجلات للمصادقة الداخلية والخارجية، بينما تتيح إمكانات اكتشاف الوكلاء من Ping للمؤسسات تتبع وتدقيق وكلاء الذكاء الاصطناعي عبر نظامها الرقمي .

Google Cloud: تفويض مباشر لحركة المرور بين الوكيل والأدوات

يعالج التكامل مع Google Cloud طبقة مختلفة: حركة المرور بين وكلاء الذكاء الاصطناعي والأدوات التي يستدعونها. تتكامل Ping Identity مع Google Cloud Agent Gateway، وهي نقطة تحكم مُدارة تعترض الطلبات بين الوكيل والأداة وتفرض السياسات قبل وصول الطلب إلى وجهته .

آلية العمل:

يتم وضع PingOne Authorize بشكل مباشر في مسار حركة مرور Agent Gateway عبر تكامل ext_proc. كل طلب من وكيل إلى خادم MCP أو أداة يُطلق تقييماً فورياً للسياسة: من هو المستخدم الممثل، أي وكيل يتصرف، ما هو المورد المطلوب الوصول إليه، وما الإجراء المطلوب تنفيذه .

القدرات العملية:

• تفويض مستمر ومباشر — إذا سمحت السياسة بالطلب، فإنه يمرر. وإذا رُفض، يُمنع الطلب قبل أن يصل إلى الأداة أو API. لا حاجة لتغيير أي كود تطبيقي .
• سياسات دقيقة ومحددة النطاق — يمكن لفرق الأمان فرض قواعد مدركة للسياق مثل "يمكن لأي موظف شراء منتج بقيمة 100 دولار، ولكن المدير فقط هو من يمكنه الموافقة على شراء بقيمة 10,000 دولار" دون تعديل التطبيق نفسه .
• إدارة مركزية للسياسات — يتم فصل منطق التفويض عن الخوادم الفردية، مما يجعل القواعد أسهل في الصيانة والتدقيق مع نمو بنية الوكلاء .
• قابلية مراقبة شاملة — تجمع سجلات Agent Gateway ومعرفات التتبع مع نموذج هوية وقت التشغيل من Ping لتوفير تتبع كامل: أي مستخدم فوض، أي وكيل استدعى، أي أداة نفذت، وأي سياسة سمحت أو منعت الإجراء .

Cloudflare: فرض سياسات الثقة المعدومة على الشبكة الطرفية

بالنسبة للمؤسسات التي تنشر وكلاء ذكاء اصطناعي عبر بنية تحتية موزعة عالمياً، ينقل تكامل Ping Identity مع Cloudflare تطبيق الهوية إلى حافة الشبكة. تعمل شبكة Cloudflare العالمية، التي تمتد عبر أكثر من 220 مدينة مع عقد استدلال مدعومة بوحدات GPU، خارج النطاق التقليدي للشركة .

آلية العمل:

يعمل خادم Cloudflare Workers MCP كخادم موارد OAuth، ويفوض عملية المصادقة إلى مزودي الهوية من Ping للتحقق من الوكلاء قبل أن يتمكنوا من الوصول إلى APIs .

القدرات العملية:

• بيانات اعتماد قوية ومحددة النطاق على الحافة — يصادق وكلاء الذكاء الاصطناعي من خلال مزود OAuth الخاص بـ Cloudflare Workers للحصول على رموز وصول محددة قبل استدعاء أي API محمي. يتم منع عملاء MCP غير المسجلين من الاتصال .
• فرض سياسات الثقة المعدومة (Zero Trust) — تطبق Ping وCloudflare سياسات الثقة المعدومة على كل حركة مرور وكلاء الذكاء الاصطناعي التي تصل إلى النماذج وبيانات المؤسسة عالمياً، بدلاً من الاعتماد على حدود شبكة الشركة .
• التدقيق والرؤية — يتم تسجيل وتدقيق نشاط الوكيل عبر البنية التحتية الطرفية الموزعة، مما يمنح فرق الأمان رؤية لما وصل إليه كل وكيل، ومتى، وبتفويض من .

لماذا ثلاث منصات، ولماذا الآن؟

التكاملات الثلاثة ليست متكررة، بل تعالج طبقات معمارية متمايزة: AWS لهوية أعباء العمل السحابية، وجوجل للتحكم المباشر في حركة المرور، و Cloudflare للفرض على الحافة. جميعها مبنية على أساس Identity for AI المشترك، مما يعني أن المؤسسات يمكنها تطبيق منطق تفويض متسق وأنماط تبادل رموز موحدة بغض النظر عن مكان تشغيل وكلائها .

يعكس التوقيت حقيقة السوق: تنشر الشركات وكلاء الذكاء الاصطناعي بوتيرة أسرع من قدرة فرق الأمان على تكييف أدوات الهوية التقليدية. تسمح هذه التكاملات للشركات بمركزة التفويض وفرض السياسات بدلاً من تضمين ضوابط مجزأة داخل كل وكيل وAPI على حدة .

بالنسبة لمهندسي الأمن الذين يعملون على نشر وكلاء أذكياء، لم يعد السؤال العملي هو "هل الوكيل مصرح له؟" بل "في هذه اللحظة، وبهذا السياق، هل هذا الإجراء المحدد مسموح به؟". هذه التكاملات تجعل هذا السؤال قابلاً للإجابة في الوقت الفعلي، وعلى نطاق واسع، عبر المنصات التي يعيش فيها الوكلاء فعلياً.