Ping Identity laajentaa Runtime Identity -turvan AWS:n, Google Cloudin ja Cloudflaren tekoälyagenteille

Keskeinen tekninen periaate: delegointi ilman toisena esiintymistä

Kaikkia kolmea integraatiota yhdistää OAuth 2.0 -tunnuksen vaihto. Kun ihmiskäyttäjä delegoi tehtävän agentille, agentti ei yksinkertaisesti esiinny käyttäjänä täysin valtuuksin. Sen sijaan Pingin infrastruktuuri vaihtaa ihmiskäyttäjän tunnuksen uuteen, rajoitetumpaan valtuutustunnukseen. Tämä delegointitunnus sisältää sekä ihmiskäyttäjän identiteetin (act-kentän kautta) että agentin oman identiteetin (may_act-kentän kautta), luoden turvallisen valvontaketjun jokaiselle jatkotoimenpiteelle . Tämä tarkoittaa, että turvatiimit voivat aina vastata kysymyksiin: kuka ihminen tämän valtuutti, mikä agentti suoritti toimenpiteen ja millä rajoitetuilla käyttöoikeuksilla se toimi?

AWS: Agentti-identiteettien turvaaminen pilvityökuormissa

Ping Identityn integraatio AWS:n kanssa keskittyy Amazon Bedrock AgentCoreen, identiteetin ja valtuustietojen hallintapalveluun, jonka Amazon on rakentanut nimenomaan tekoälyagenteille ja automatisoiduille työkuormille .

Näin se toimii:

Pingin identiteetintarjoajat – PingOne, PingOne Advanced Identity Cloud ja PingFederate – voidaan määrittää kahdella tavalla:

• Saapuvaksi IdP:ksi AgentCore Gatewaylle ja Runtimelle, todentamaan loppukäyttäjät ja myöntämään rajoitettuja OAuth-tunnuksia, jotka agenttien on esitettävä ennen kuin ne pääsevät käsiksi loppupään resursseihin .
• Lähtevien valtuustietojen tarjoajaksi, mikä mahdollistaa agenttien turvallisen pääsyn kolmannen osapuolen palveluihin paljastamatta pitkäikäisiä valtuustietoja .

Käytännön ominaisuudet:

• Yksilölliset agentti-identiteetit – Jokainen tekoälyagentti saa oman, erillisen identiteettinsä ja siihen liittyvät metatiedot. Järjestelmänvalvojat voivat soveltaa vähimpien oikeuksien käytäntöjä monitiliympäristöissä .
• Reaaliaikainen hallinto – Valtuutus tapahtuu dynaamisesti agenttien ollessa vuorovaikutuksessa rajapintojen, työkalujen ja tietovarastojen kanssa, mukauttaen agenttien käyttäytymisen yrityksen käytäntöihin, jotka koskevat arkaluontoisia tietoja, säänneltyjä työkuormia ja toiminnallisia rajoja .
• Valvonta – Amazon Bedrock AgentCore tarjoaa saapuvien ja lähtevien todennusten lokit, kun taas Pingin agenttien havainnointikyvyt antavat organisaatioille mahdollisuuden löytää, seurata ja auditoida tekoälyagentteja koko AWS-digitaalisessa ekosysteemissään .

Google Cloud: Sisäänrakennettu valtuutus agentti- ja työkaluliikenteelle

Google Cloud -integraatio kohdistuu eri kerrokseen: tekoälyagenttien ja niiden kutsumien työkalujen ja MCP-palvelimien väliseen liikenteeseen. Ping Identity integroituu Google Cloud Agent Gatewayn kanssa, joka on hallittu valvontapiste, joka sieppaa agentilta työkalulle lähtevät pyynnöt ja valvoo käytäntöjä ennen kuin pyyntö saavuttaa kohteensa .

Näin se toimii:

PingOne Authorize sijoitetaan sisäisesti Agent Gatewayn tietoliikenteeseen ext_proc-integraation avulla. Jokainen agentilta MCP-palvelimelle tai työkalulle lähtevä pyyntö laukaisee reaaliaikaisen käytäntöarvion: kuka on edustettuna oleva käyttäjä, mikä agentti toimii, mitä resurssia haetaan ja mitä toimenpidettä yritetään .

Käytännön ominaisuudet:

• Jatkuva sisäinen valtuutus – Jos käytäntö sallii pyynnön, se päästetään läpi. Jos käytäntö estää sen, pyyntö torjutaan ennen kuin se saavuttaa työkalun tai rajapinnan. Sovelluskoodia ei tarvitse muuttaa .
• Hienojakoiset, työkalukohtaiset käytännöt – Turvatiimit voivat valvoa kontekstipohjaisia sääntöjä, kuten "kuka tahansa työntekijä voi ostaa 100 euron tuotteen, mutta vain esihenkilö voi hyväksyä 10 000 euron oston" ilman, että itse sovellusta tai MCP-palvelinta tarvitsee muokata .
• Keskitetty käytäntöjen hallinta – Valtuutuslogiikka on ulkoistettu yksittäisiltä MCP-palvelimilta ja agenttitoteutuksista, mikä tekee sääntöjen ylläpidosta, auditoinnista ja päivittämisestä helpompaa agenttiarkkitehtuurien skaalautuessa .
• Kattava läpinäkyvyys – Agent Gatewayn lokit ja seurantatunnisteet yhdistettynä Pingin Runtime Identity -malliin tarjoavat täydellisen seurannan: kuka käyttäjä delegoi, mikä agentti kutsui, mikä työkalu suoritettiin ja mikä käytäntö salli tai esti toimenpiteen .

Cloudflare: Zero Trust -valvonta reunalla

Organisaatioille, jotka hyödyntävät tekoälyagentteja maailmanlaajuisesti hajautetussa infrastruktuurissa, Ping Identityn integraatio Cloudflaren kanssa tuo identiteettivalvonnan verkon reunalle. Cloudflaren maailmanlaajuinen verkko, joka kattaa yli 220 kaupunkia GPU-pohjaisine päätelentäväpalvelimineen, toimii perinteisen yrityksen verkon ulkorajan ulkopuolella .

Näin se toimii:

Cloudflare Workers Model Context Protocol (MCP) -palvelin toimii OAuth-resurssipalvelimena. Se delegoi todennuksen Pingin identiteetintarjoajille – PingOne DaVincille, PingOne Advanced Identity Cloudille tai PingFederatelle – vahvistaakseen agentit ennen kuin ne voivat käyttää loppupään rajapintoja .

Käytännön ominaisuudet:

• Vahvat, rajoitetut valtuustiedot reunalla – Tekoälyagentit todentautuvat Cloudflare Workers OAuth Providerin kautta saadakseen rajoitettuja käyttöoikeustunnuksia ennen mihinkään suojattuun rajapintaan kutsumista. Rekisteröimättömät tai tunnistautumattomat MCP-asiakkaat estetään .
• Zero Trust -käytäntöjen valvonta – Ping ja Cloudflare soveltavat Zero Trust -käytäntöjä kaikkeen tekoälyagenttiliikenteeseen, joka hakee malleja ja yritystietoja maailmanlaajuisesti, sen sijaan, että luotettaisiin yrityksen verkkoalueeseen, jota ei reunaympäristöissä ole .
• Auditointi ja näkyvyys – Agenttien toiminta hajautetussa reunainfrastruktuurissa kirjataan ja on auditoitavissa, antaen turvatiimeille näkyvyyden siihen, mitä kukin agentti käytti, milloin ja kenen delegoiduin valtuuksin .

Miksi kolme alustaa ja miksi nyt

Nämä kolme integraatiota eivät ole keskenään päällekkäisiä, vaan ne kohdistuvat erillisiin arkkitehtuurikerroksiin: AWS pilvityökuormien identiteetille, Google Cloud sisäiselle liikenteenhallinnalle ja Cloudflare reunavalvonnalle. Kaikki kolme on rakennettu yhteisen Identity for AI -perustan päälle, mikä tarkoittaa, että organisaatiot voivat soveltaa johdonmukaisia valtuutuslogiikoita, tunnuksenvaihtomalleja ja käytäntökehyksiä riippumatta siitä, missä niiden agentit toimivat .

Ajankohta heijastaa markkinatodellisuutta: yritykset ottavat tekoälyagentteja käyttöön nopeammin kuin turvatiimit ehtivät mukauttaa perinteisiä identiteettityökaluja. Integraatiot antavat yrityksille mahdollisuuden keskittää valtuutuksen ja käytäntöjen valvonnan sen sijaan, että ne upottaisivat hajanaisia hallintakeinoja yksittäisiin agentteihin ja rajapintoihin .

Turvallisuusarkkitehdeille, jotka työskentelevät toiminnallisten tekoälyagenttien käyttöönottojen parissa, olennainen kysymys ei ole enää "onko agentti todennettu?", vaan "onko tämä erityinen toimenpide valtuutettu tällä hetkellä, tässä kontekstissa?". Nämä integraatiot tekevät tästä kysymyksestä vastattavan reaaliajassa, skaalautuvasti ja niillä alustoilla, joilla agentit todella elävät.