Ping Identity Bawa Identiti Masa Larian ke AWS, Google Cloud, dan Cloudflare untuk Lindungi Ejen AI

Ketika ejen AI semakin banyak digunakan dalam persekitaran perusahaan, satu jurang keselamatan kritikal telah muncul: semakan identiti tradisional yang hanya berlaku semasa daftar masuk tidak lagi mencukupi untuk ejen yang bertindak secara berterusan dan autonomi merentas perkhidmatan awan, API, dan infrastruktur pinggir. Pada 16 Jun 2026, Ping Identity mengumumkan satu set integrasi dengan Amazon Web Services, Google Cloud, dan Cloudflare untuk menutup jurang ini, dengan melanjutkan penguatkuasaan Identiti Masa Larian (Runtime Identity) secara langsung ke dalam platform di mana ejen dibina, diatur gerak dan dikendalikan . Langkah ini mewakili satu evolusi praktikal daripada pengesahan statik kepada pemberian kuasa yang berterusan dan sedar konteks pada setiap detik tindakan ejen.

Anjakan Teras: Daripada Pengesahan kepada Pemberian Kuasa Masa Larian

Pendekatan Ping Identity dibina di atas konsep asas: ejen AI bukanlah pengguna manusia, dan mereka bukan sekadar daftar masuk dan berhenti. Mereka merantaikan panggilan API, mengakses pelbagai alatan, dan membuat keputusan merentas sistem yang teragih. Realiti ini menuntut satu model keselamatan di mana identiti, delegasi, dan polisi diperiksa secara berterusan pada masa larian, untuk setiap tindakan yang diambil oleh ejen .

Bagi membolehkan ini, rangka kerja Identity for AI Ping, yang tersedia secara umum pada Mac 2026, menganggap ejen AI sebagai identiti bukan manusia (non-human identity) kelas pertama. Rangka kerja ini menyediakan pendaftaran ejen dan pengurusan kitaran hayat, pertukaran token OAuth 2.0 untuk delegasi kuasa, dan kebolehlihatan terpusat terhadap aktiviti ejen merentas persekitaran .

Prinsip teknikal utama: delegasi tanpa penyamaran

Inti kepada ketiga-tiga integrasi ini ialah pertukaran token OAuth 2.0. Apabila pengguna manusia mewakilkan tugas kepada ejen, ejen itu tidak hanya menyamar sebagai pengguna dengan keistimewaan penuh. Sebaliknya, infrastruktur Ping menukar token subjek pengguna manusia itu kepada token baharu yang telah diskop ke bawah (downscoped). Token delegasi ini membawa kedua-dua identiti pengguna (melalui tuntutan act) dan identiti ejen itu sendiri (melalui tuntutan may_act), mewujudkan rantaian penjagaan (chain of custody) yang selamat untuk setiap tindakan seterusnya . Ini membolehkan pasukan keselamatan sentiasa dapat menjawab: manusia mana yang memberi kuasa, ejen mana yang melakukan tindakan, dan apakah keizinan berskop yang dimilikinya?

AWS: Melindungi Identiti Ejen Merentas Beban Kerja Awan

Integrasi Ping Identity dengan AWS berpusat pada Amazon Bedrock AgentCore, perkhidmatan pengurusan identiti dan bukti kelayakan yang dibina oleh Amazon khusus untuk ejen AI dan beban kerja automatik .

Bagaimana ia berfungsi:

Penyedia identiti Ping—PingOne, PingOne Advanced Identity Cloud, dan PingFederate—boleh dikonfigurasikan dalam dua cara:

• Sebagai IdP masuk untuk Gateway dan Runtime AgentCore, mengesahkan pengguna akhir dan mengeluarkan token OAuth berskop yang mesti dikemukakan oleh ejen sebelum mencapai sumber hiliran .
• Sebagai penyedia bukti kelayakan keluar, membolehkan ejen mendapatkan token akses untuk perkhidmatan pihak ketiga dengan selamat tanpa mendedahkan bukti kelayakan yang tahan lama .

Keupayaan praktikal:

• Identiti ejen unik — Setiap ejen AI menerima identiti yang tersendiri dengan metadata yang berkaitan. Pentadbir boleh menggunakan polisi akses dengan keistimewaan paling minimum (least-privilege) merentas persekitaran AWS berbilang akaun .
• Tadbir urus masa nyata — Pemberian kuasa dikuatkuasakan secara dinamik semasa ejen berinteraksi dengan API, alatan, dan storan data, menyelaraskan tingkah laku ejen dengan polisi perusahaan mengenai data sensitif, beban kerja yang dikawal selia dan had operasi .
• Pemantauan — Amazon Bedrock AgentCore menyediakan log pengesahan masuk dan keluar, manakala keupayaan pengesanan ejen Ping membolehkan organisasi menemui, menjejak, dan mengaudit ejen AI merentas ekosistem digital AWS mereka .

Google Cloud: Pemberian Kuasa Sebaris untuk Trafik Ejen dan Alatan

Integrasi Google Cloud menangani lapisan yang berbeza: trafik antara ejen AI dan alatan atau pelayan MCP (Model Context Protocol) yang digunakan oleh mereka. Ping Identity berintegrasi dengan Google Cloud Agent Gateway, sebuah titik kawalan terurus yang memintas permintaan ejen-ke-alatan dan menguatkuasakan polisi sebelum permintaan itu sampai ke destinasinya .

Bagaimana ia berfungsi:

PingOne Authorize diletakkan secara sebaris dalam aliran trafik Agent Gateway melalui integrasi ext_proc. Setiap permintaan ejen-ke-pelayan-MCP atau ejen-ke-alatan mencetuskan penilaian polisi masa nyata: siapa pengguna yang diwakili, ejen mana yang bertindak, sumber apa yang diakses, dan tindakan apa yang cuba dilakukan .

Keupayaan praktikal:

• Pemberian kuasa sebaris berterusan — Jika polisi membenarkan, permintaan itu diteruskan. Jika dinafikan, permintaan itu disekat sebelum sampai ke alatan atau API. Tiada kod aplikasi yang perlu diubah .
• Polisi alatan berskop yang terperinci — Pasukan keselamatan boleh menguatkuasakan peraturan sedar konteks seperti "mana-mana pekerja boleh membeli barangan bernilai $100, tetapi hanya pengurus boleh meluluskan pembelian $10,000" tanpa mengubah suai aplikasi atau pelayan MCP itu sendiri .
• Pengurusan polisi terpusat — Logik pemberian kuasa dikeluarkan daripada pelayan MCP individu dan pelaksanaan ejen, menjadikan peraturan lebih mudah diselenggara, diaudit dan dikemas kini apabila seni bina ejen berkembang .
• Pemerhatian hujung-ke-hujung — Log dan ID jejakan Agent Gateway digabungkan dengan model Identiti Masa Larian Ping untuk menyediakan pengesanan penuh: pengguna mana yang mewakilkan, ejen mana yang memanggil, alatan mana yang dilaksanakan, dan polisi mana yang membenarkan atau menyekat tindakan tersebut .

Cloudflare: Penguatkuasaan Zero Trust di Pinggir Rangkaian

Bagi organisasi yang menggunakan ejen AI merentas infrastruktur teragih global, integrasi Ping Identity dengan Cloudflare membawa penguatkuasaan identiti ke pinggir rangkaian. Rangkaian global Cloudflare, yang merangkumi lebih 220 bandaraya dengan nod inferens berkuasa GPU, beroperasi di luar perimeter korporat tradisional .

Bagaimana ia berfungsi:

Pelayan Cloudflare Workers Model Context Protocol (MCP) berfungsi sebagai pelayan sumber OAuth. Ia mewakilkan pengesahan kepada penyedia identiti Ping—PingOne DaVinci, PingOne Advanced Identity Cloud, atau PingFederate—untuk mengesahkan ejen sebelum mereka boleh mengakses API hiliran .

Keupayaan praktikal:

• Buat kelayakan yang kukuh dan berskop di pinggir — Ejen AI mengesahkan diri melalui Cloudflare Workers OAuth Provider untuk mendapatkan token berskop sebelum memanggil sebarang API yang dilindungi. Klien MCP yang tidak berdaftar atau tidak disahkan akan disekat daripada menyambung .
• Penguatkuasaan polisi Zero Trust — Ping dan Cloudflare mengenakan polisi Zero Trust kepada semua trafik ejen AI yang mengakses model dan data perusahaan secara global, bukannya bergantung pada perimeter korporat yang tidak wujud dalam persekitaran pinggir .
• Pengauditan dan kebolehlihatan — Aktiviti ejen merentas infrastruktur pinggir yang teragih dilog dan boleh diaudit, memberikan pasukan keselamatan kebolehlihatan tentang apa yang diakses oleh setiap ejen, bila, dan dengan kuasa delegasi siapa .

Mengapa Tiga Platform, dan Mengapa Sekarang

Ketiga-tiga integrasi ini tidak berlebihan—ia menangani lapisan seni bina yang berbeza: AWS untuk identiti beban kerja awan, Google Cloud untuk kawalan trafik sebaris, dan Cloudflare untuk penguatkuasaan pinggir. Ketiga-tiganya dibina di atas asas Identity for AI yang sama, bermakna organisasi boleh menggunakan logik pemberian kuasa, corak pertukaran token, dan rangka kerja polisi yang konsisten tanpa mengira di mana ejen mereka berjalan .

Pengumuman ini mencerminkan realiti pasaran: perusahaan menggunakan ejen AI lebih pantas daripada keupayaan pasukan keselamatan untuk menyesuaikan alat identiti tradisional. Integrasi ini membolehkan perusahaan memusatkan pengurusan pemberian kuasa dan polisi, dan bukannya membenamkan kawalan yang berpecah-belah ke dalam setiap ejen dan API individu .

Bagi arkitek keselamatan yang mengusahakan penggunaan ejen AI, persoalan praktikalnya bukan lagi "adakah ejen itu disahkan?" tetapi "pada saat ini, dengan konteks ini, adakah tindakan khusus ini dibenarkan?" Integrasi ini menjadikan soalan tersebut boleh dijawab dalam masa nyata, pada skala besar, merentas platform di mana ejen sebenarnya beroperasi.