从“一次性登录”到“每次行动都检查”：Ping Identity 如何为 AI 代理构建实时安全防线

随着 AI 代理在企业环境中大量涌现，一个关键的安全缺口变得愈发突出：仅在登录时进行的传统身份检查，对于持续自主地跨云服务、API 和边缘基础设施行动的代理来说，早已力不从心。2026 年 6 月 16 日，Ping Identity 宣布与亚马逊云服务（AWS）、谷歌云和 Cloudflare 进行一系列集成，将运行时身份强制实施机制直接扩展到 AI 代理被构建、部署和运行的真实平台中，一举填补这个缺口 。这一举措代表了从静态认证到持续性、上下文感知授权的一次务实演进。

核心转变：从“认证”迈向“运行时授权”

Ping Identity 的方法论建立在一个根本认知之上：AI 代理不是人类用户，它们不会简单地登录便告终止。它们会调用一连串的 API，访问各类工具，并在分布式系统中做出决策。这种现实要求一种全新的安全模型，即身份、委托和策略检查必须在代理的每一次行动时，于运行时进行持续性检查 。

为达成这一目标，Ping 的 Identity for AI 框架（于 2026 年 3 月正式商用）将 AI 代理视为“一等公民”式的非人类身份。该框架提供了代理注册与全生命周期管理、用于委托授权的 OAuth 2.0 令牌交换，以及跨环境查看代理活动的集中式可见性 。

关键技术原则：委托而非伪装

三项集成共同的核心是 OAuth 2.0 令牌交换。当人类用户将任务委托给一个代理时，该代理不会简单地以用户身份、凭借其全部权限去行事。取而代之的是，Ping 的基础设施会将人类用户的“主体令牌”置换成一个全新的、权限被降级过的令牌。这个委托令牌借助 act（操作者）和 may_act（允许操作者）声明，同时携带人类用户的身份和代理自身的身份，为每一次下游操作创建了一条安全的监护链 。这意味着安全团队永远能够回答：是哪个人类授权的此次操作？是哪个代理执行的？它当时拥有哪些限定权限？

AWS：为云工作负载的代理身份保驾护航

Ping Identity 与 AWS 的集成主要围绕 Amazon Bedrock AgentCore，这是一款亚马逊专门为 AI 代理和自动化工作负载构建的身份与凭证管理服务 。

工作原理：

Ping 的身份提供商（IdP）——PingOne、PingOne Advanced Identity Cloud 和 PingFederate——可以通过两种方式配置：

• 作为 AgentCore 网关和运行时的入站 IdP：对终端用户进行身份验证，并签发限定了作用域的 OAuth 令牌，代理在接触到下游资源之前必须先出示这些令牌 。
• 作为出站凭证提供者：让代理能够安全地获取用于访问第三方服务的访问令牌，无需暴露长期有效的凭证 。

实际能力：

• 唯一代理身份——每个 AI 代理都会获得一个独一无二的身份以及关联的原数据。管理员可以跨多账户 AWS 环境实施“最小权限”的访问策略 。
• 实时治理——授权在代理与 API、工具和数据存储进行交互时动态强制执行，确保代理行为与企业针对敏感数据、受规管工作负载和操作限制的策略保持一致 。
• 监控能力——Amazon Bedrock AgentCore 提供入站和出站认证日志，而 Ping 的“代理检测”能力则允许企业在自身 AWS 数字生态系统中发现、追踪并审计各 AI 代理 。

谷歌云：为代理与工具间的流量内联授权

与谷歌云的集成则面向另一个层面：AI 代理与其调用的工具、MCP 服务器之间的流量。Ping Identity 与 Google Cloud Agent Gateway 进行了集成，这是一个托管式控制点，能够拦截代理对工具的请求，并在其抵达目的地之前强制执行策略 。

工作原理：

PingOne Authorize 通过 ext_proc 集成内联接入到 Agent Gateway 的流量路径中。每一个从代理到 MCP 服务器或工具的请求，都会触发一次实时的策略评估：被代表的用户是谁？执行操作的代理是哪个？正在访问什么资源？尝试执行什么操作？

实际能力：

• 持续内联授权——如果策略允许，请求便放行；如果拒绝，请求在触及工具或 API 前便被拦截。无需修改任何应用代码 。
• 细粒度、作用域限定的工具策略——安全团队可以强制执行上下文感知的规则，例如“任何员工都可以购买 100 美元的商品，但唯有经理才能批准一万美元的采购”，而无需修改应用程序或 MCP 服务器本身 。
• 集中化策略管理——将授权逻辑从单个 MCP 服务器和代理实现中抽离出来，使得规则在代理架构扩容时更易于维护、审计和更新 。
• 端到端可观测性——Agent Gateway 日志和追踪 ID 与 Ping 的运行时身份模型相结合，提供完整的追踪能力：哪个用户进行了委托？哪个代理进行了调用？哪个工具执行了操作？哪条策略放行或拦截了该操作？

Cloudflare：在边缘实现零信任强制实施

对于在全球分布式基础设施上部署 AI 代理的组织而言，Ping Identity 与 Cloudflare 的集成将身份强制实施带到了边缘。Cloudflare 的全球网络横跨逾 220 座城市，配备着 GPU 驱动的推理节点，其本身就运行于传统企业边界之外 。

工作原理：

Cloudflare Workers 的 MCP 服务器充当 OAuth 资源服务器。它将认证过程委托给 Ping 的身份提供商——PingOne DaVinci、PingOne Advanced Identity Cloud 或 PingFederate——以在代理访问下游 API 之前对其进行验证 。

实际能力：

• 边缘处强大的、权限限定的凭证——AI 代理通过 Cloudflare Workers OAuth 提供者进行认证，以便在调用任何受保护的 API 前获取作用域限定的令牌。未注册或未经认证的 MCP 客户端会被拦截，无法建立连接 。
• 零信任策略强制执行——Ping 和 Cloudflare 对所有 AI 代理的流量均应用零信任策略，这些流量在全球范围内访问模型和企业数据，而非依赖于那个在边缘环境中根本不存在的“企业边界” 。
• 审计与可见性——分布在边缘基础设施上的代理活动均可被记录和审计，为安全团队提供可见性，使其能了解每个代理在何时、以谁的委托权限访问了哪些内容 。

为何是三大平台？为何是现在？

这三项集成并非功能上的冗余——它们解决的是不同架构层面的问题：AWS 对应云工作负载身份，谷歌云对应内联流量控制，Cloudflare 则负责边缘强制实施。三者均构筑于共同的 Identity for AI 基础之上，这意味着无论代理在哪一个平台上运行，组织都得以应用始终如一的授权逻辑、令牌交换模式和策略框架 。

此时推出这三项集成的背后，反映的是一个市场现实：企业部署 AI 代理的速度，已远远快于安全团队能够改造传统身份工具来适应它的速度。这些集成允许企业将授权和策略执行集中化处理，而非将零散的控制机制硬编码进单个代理和 API 中 。

对于正从事代理式 AI 部署的安全架构师而言，现阶段的实操性问题已不再是“这个代理是否已通过认证？”，而是 “在此刻、此上下文下，这一个具体的操作是否已获得授权？”。这三项集成，便能让这个问题在代理所处的各个主流平台上，于毫秒之间得到可执行的答案。