Ping Identity, Yapay Zeka Ajanlarını Güvence Altına Almak İçin AWS, Google Cloud ve Cloudflare’e Runtime Identity Desteği Getiriyor

Ana teknik prensip: Taklit olmadan yetki devri

Her üç entegrasyonun da merkezinde OAuth 2.0 belirteç değişimi bulunur. Bir insan kullanıcı bir görevi bir ajana devrettiğinde, ajan tam yetkilerle kullanıcıyı taklit etmez. Bunun yerine, Ping'in altyapısı insan kullanıcının konu belirtecini yeni, kapsamı daraltılmış bir belirteçle değiştirir. Bu yetki belirteci, hem insan kullanıcının kimliğini (act talebi aracılığıyla) hem de ajanın kendi kimliğini (may_act talebi aracılığıyla) taşıyarak her bir alt eylem için güvenli bir gözetim zinciri oluşturur . Bu sayede güvenlik ekipleri her zaman şu soruları yanıtlayabilir: Bunu hangi insan yetkilendirdi, eylemi hangi ajan gerçekleştirdi ve hangi kapsamlı izinlere sahipti?

AWS: Bulut İş Yüklerinde Ajan Kimliklerini Güvence Altına Alma

Ping Identity'nin AWS ile entegrasyonu, Amazon'un özellikle yapay zeka ajanları ve otomatik iş yükleri için geliştirdiği kimlik ve kimlik bilgisi yönetim hizmeti olan Amazon Bedrock AgentCore üzerine kuruludur .

Nasıl çalışır:

Ping'in kimlik sağlayıcıları (PingOne, PingOne Advanced Identity Cloud ve PingFederate) iki şekilde yapılandırılabilir:

• AgentCore Gateway ve Runtime için bir gelen IdP (Kimlik Sağlayıcı) olarak, son kullanıcıların kimliğini doğrular ve ajanların alt kaynaklara ulaşmadan önce sunması gereken kapsamlı OAuth belirteçlerini düzenler .
• Bir giden kimlik bilgisi sağlayıcısı olarak, ajanların uzun ömürlü kimlik bilgilerini ifşa etmeden üçüncü taraf hizmetler için güvenli bir şekilde erişim belirteçleri almasını sağlar .

Pratik yetenekler:

• Benzersiz ajan kimlikleri — Her yapay zeka ajanı, ilişkili meta verilerle birlikte benzersiz bir kimlik alır. Yöneticiler, çok hesaplı AWS ortamlarında en az yetki ilkesine dayalı erişim politikaları uygulayabilir .
• Gerçek zamanlı yönetişim — Yetkilendirme, ajanlar API'ler, araçlar ve veri depolarıyla etkileşime girdikçe dinamik olarak uygulanır ve ajan davranışını hassas veriler, regüle edilmiş iş yükleri ve operasyonel limitlerle ilgili kurumsal politikalarla uyumlu hale getirir .
• İzleme — Amazon Bedrock AgentCore gelen ve giden kimlik doğrulama günlükleri sağlarken, Ping'in ajan algılama yetenekleri kuruluşların AWS dijital ekosistemlerindeki yapay zeka ajanlarını keşfetmesine, izlemesine ve denetlemesine olanak tanır .

Google Cloud: Ajan ve Araç Trafiği için Anlık Yetkilendirme

Google Cloud entegrasyonu farklı bir katmanı ele alır: yapay zeka ajanları ile bunların çağırdığı araçlar ve MCP sunucuları arasındaki trafik. Ping Identity, ajan ile araca yapılan istekleri yakalayan ve istek hedefine ulaşmadan önce politikayı uygulayan yönetilen bir kontrol noktası olan Google Cloud Agent Gateway ile entegre olur .

Nasıl çalışır:

PingOne Authorize, bir ext_proc entegrasyonu aracılığıyla Agent Gateway trafik akışına anlık olarak yerleştirilir. Bir ajandan MCP sunucusuna veya araca yapılan her istek gerçek zamanlı bir politika değerlendirmesini tetikler: Temsil edilen kullanıcı kim, hangi ajan hareket ediyor, hangi kaynağa erişiliyor ve hangi eylem deneniyor .

Pratik yetenekler:

• Sürekli anlık yetkilendirme — Politika isteğe izin veriyorsa geçer, reddediyorsa istek araca veya API'ye ulaşmadan engellenir. Hiçbir uygulama kodunun değiştirilmesi gerekmez .
• İnce taneli, kapsamlı araç politikaları — Güvenlik ekipleri, uygulamayı veya MCP sunucusunu değiştirmeden, "herhangi bir çalışan 100 dolarlık bir ürün satın alabilir, ancak yalnızca bir yönetici 10.000 dolarlık bir satın almayı onaylayabilir" gibi bağlama duyarlı kuralları uygulayabilir .
• Merkezi politika yönetimi — Yetkilendirme mantığı, bireysel MCP sunucularından ve ajan uygulamalarından ayrıştırılarak, ajan mimarileri ölçeklendikçe kuralların bakımını, denetlenmesini ve güncellenmesini kolaylaştırır .
• Uçtan uca gözlemlenebilirlik — Agent Gateway günlükleri ve izleme ID'leri, Ping'in Runtime Identity modeliyle birleşerek tam izlenebilirlik sağlar: Hangi kullanıcının yetki verdiği, hangi ajanın çağırdığı, hangi aracın çalıştığı ve hangi politikanın eyleme izin verdiği veya engellediği .

Cloudflare: Uçta Sıfır Güven Denetimi

Yapay zeka ajanlarını küresel olarak dağıtılmış altyapılarda konuşlandıran kuruluşlar için Ping Identity'nin Cloudflare ile entegrasyonu, kimlik denetimini uca (edge) taşır. 220'den fazla şehri kapsayan ve GPU destekli çıkarım düğümlerine sahip Cloudflare küresel ağı, geleneksel kurumsal çevrenin dışında çalışır .

Nasıl çalışır:

Cloudflare Workers Model Context Protocol (MCP) sunucusu, bir OAuth kaynak sunucusu olarak işlev görür. Kimlik doğrulamayı Ping'in kimlik sağlayıcılarına (PingOne DaVinci, PingOne Advanced Identity Cloud veya PingFederate) devrederek, ajanların alt API'lere erişmeden önce doğrulanmasını sağlar .

Pratik yetenekler:

• Uçta güçlü, kapsamlı kimlik bilgileri — Yapay zeka ajanları, korunan herhangi bir API'yi çağırmadan önce kapsamlı belirteçler almak için Cloudflare Workers OAuth Sağlayıcısı aracılığıyla kimlik doğrulaması yapar. Kayıtsız veya kimliği doğrulanmamış MCP istemcilerinin bağlanması engellenir .
• Sıfır Güven politika uygulaması — Ping ve Cloudflare, uç ortamlarda var olmayan bir kurumsal çevreye güvenmek yerine, modellere ve kurumsal verilere küresel olarak erişen tüm yapay zeka ajan trafiğine Sıfır Güven politikaları uygular .
• Denetim ve görünürlük — Dağıtık uç altyapısındaki ajan etkinliği günlüğe kaydedilir ve denetlenebilir, böylece güvenlik ekipleri her bir ajanın neye, ne zaman ve kimin yetkisiyle eriştiğini görebilir .

Neden Üç Platform ve Neden Şimdi?

Bu üç entegrasyon birbirinin tekrarı değildir; her biri farklı bir mimari katmanı ele alır: AWS bulut iş yükü kimliği için, Google Cloud anlık trafik kontrolü için ve Cloudflare ise uçta denetim için. Hepsi ortak Identity for AI temeli üzerine inşa edilmiştir, yani kuruluşlar ajanları nerede çalışırsa çalışsın tutarlı yetkilendirme mantığı, belirteç değişim modelleri ve politika çerçeveleri uygulayabilir .

Bu zamanlama bir pazar gerçekliğini yansıtıyor: Kurumlar, güvenlik ekiplerinin geleneksel kimlik araçlarını uyarlayabileceğinden daha hızlı bir şekilde yapay zeka ajanlarını devreye alıyor. Bu entegrasyonlar, kurumların parçalı kontrolleri bireysel ajanlara ve API'lere gömmek yerine yetkilendirme ve politika uygulamasını merkezileştirmesine olanak tanıyor .

Otonom yapay zeka dağıtımları üzerinde çalışan güvenlik mimarları için pratik soru artık "ajanın kimliği doğrulandı mı?" değil, "bu anda, bu bağlamda, bu belirli eylem yetkilendirildi mi?" sorusudur. Bu entegrasyonlar, bu sorunun ajanların gerçekten yaşadığı platformlarda, gerçek zamanlı ve ölçeklenebilir bir şekilde yanıtlanabilir olmasını sağlıyor.