身份與訪問管理公司Okta近日宣布,將旗下"Okta for AI智能體"平台的覆蓋範圍進一步擴大,支持任意智能體生態系統、任意企業資源以及任意身份提供商,其中包括與亞馬遜雲服務Amazon Bedrock的全新集成,以及對非Okta身份系統的兼容支持。
此次擴展的核心定位,是幫助企業在不被單一廠商生態系統綁定的前提下,實現對AI智能體的發現、接入、保護與治理。Okta指出,企業目前已在多個構建平台和資源類型上部署智能體,而綁定封閉生態的身份提供商往往會在可見性和控制層面留下漏洞。
Okta首席產品官Ely Kahn表示:"智能體化企業的現實,無法整齊地嵌入某一家廠商的生態體系。'Okta for AI智能體'是唯一一個為這一現實而生的平台,覆蓋智能體從發現、接入、保護到治理的完整生命周期,同時滿足客戶的多樣化需求。"
與Amazon Bedrock的集成,允許團隊為基於Bedrock構建的智能體分配專屬身份、綁定人工責任人,並在大規模部署中強制執行訪問策略。具體能力包括:通過監控Google Chrome等受管瀏覽器上的OAuth授權記錄來發現影子智能體;通過Okta集成網路將Bedrock智能體直接導入Okta;以及建立一套註冊表機制,將每個智能體視為具有基礎安全策略的一級身份實體。
管理員還可以定義Bedrock智能體可訪問的資源範圍、所使用的身份驗證方式以及所獲得的權限範圍。平台提供一鍵關閉開關,可在智能體出現異常行為時立即將其停用,同時系統日誌會記錄每一次工具調用和授權決策,並支持將日誌流式傳輸至安全資訊與事件管理(SIEM)系統。
原本專屬於人工身份治理的用戶訪問申請與認證流程,如今也延伸覆蓋至智能體。相關工作流程可自動處理用戶訪問基於Bedrock構建的智能體的請求,並要求定期對訪問權限進行覆核認證。
除Bedrock之外,平台還支持從Salesforce的Agentforce和ServiceNow的AI平台導入智能體並納入治理體系。針對DataRobot、Boomi、Glean Technologies、谷歌雲Vertex AI以及Workday的集成也即將推出。
本次發布的第二項內容,是將"Okta for AI智能體"向使用其他身份提供商管理員工身份的客戶開放。使用微軟Entra ID、Ping Identity或其他系統作為人員身份記錄系統的企業,可以在現有基礎設施不變的情況下,疊加部署Okta專門用於管理智能體身份,無需推倒重來。
Okta將這一能力定位為統一的智能體身份控制面,橫跨SaaS應用、API接口、模型上下文協議(MCP
)伺服器、服務賬戶及密鑰管理。這一定位契合業界普遍關注的一個問題:智能體的無序擴張,與此前服務賬戶和機器人等非人類身份泛濫的歷史如出一轍,若不提前納入治理框架,將難以管控。
此次發布是Okta推出"Okta for AI智能體"系列舉措的延續,也反映出身份管理行業正積極將智能體身份塑造為獨立的產品類別,而非僅僅作為員工身份或客戶身份產品的延伸。
Q&A
Q1:Okta for AI智能體平台主要解決什麼問題?
A:該平台主要解決企業在多雲、多平台環境下對AI智能體的身份管理和安全治理問題。企業在不同平台部署了大量智能體,傳統綁定單一生態的身份提供商無法全面覆蓋,容易出現可見性和控制上的漏洞。Okta通過統一的控制面,支持智能體的發現、接入、權限管控和全生命周期治理,幫助企業避免智能體身份失控的風險。
Q2:Amazon Bedrock與Okta的集成具體有哪些功能?
A:集成後,團隊可為Bedrock構建的智能體分配專屬身份並綁定責任人,支持通過OAuth監控發現未登記的影子智能體,可直接將Bedrock智能體導入Okta註冊表並賦予基礎安全策略。管理員能夠定義智能體可訪問的資源和權限範圍,並可一鍵關閉異常智能體。所有工具調用和授權操作均有日誌記錄,支持接入SIEM系統進行安全審計。
Q3:企業已有微軟Entra ID等身份系統,還能使用Okta for AI智能體嗎?
A:可以。Okta此次更新明確支持非Okta身份系統的企業接入。使用微軟Entra ID、Ping Identity等系統管理員工身份的企業,無需替換現有基礎設施,可直接在其上疊加部署Okta,專門用於管理AI智能體的身份,實現人員身份與智能體身份的分層管理。
