К содержанию
Новости

AI-агенты создают слепые зоны для классических IAM- и ILM-систем

AI-агенты создают слепые зоны для классических IAM- и ILM-систем
Фото: Tproger

Традиционные IAM- и ILM-подходы рассчитаны на сотрудников, чьи учётные записи проходят через HR-процессы. С AI-агентами всё устроено иначе. Как пишет Tproger, их создают через Terraform-скрипты, OAuth-консенс, CI/CD-пайплайны и оркестраторы вроде LangChain или AutoGen. Из-за этого IGA-платформы могут просто не замечать новые идентичности и связанные с ними права.

В классической модели joiner-mover-leaver управление доступом завязано на HR-событиях: приёме, переводе и увольнении. Для AI-агентов такая схема не подходит, потому что у них нет manager-атрибутов, должностей или фиксированного жизненного цикла. В материале отмечается, что агенты могут получать избыточные права уже при создании, постепенно накапливать доступы в процессе работы и сохранять активные учётные данные даже после отключения.

Авторы предлагают выстраивать governance-модель вокруг фактического жизненного цикла агентов: discovery, behavioral monitoring, policy-driven provisioning и deprecation после периода неактивности. В тексте также говорится, что тема становится актуальной и для российского рынка. AI-агентов уже внедряют Яндекс GPT, GigaChat, VK LLM и корпоративные облака, при этом чётких ILM-стандартов для подобных сценариев пока нет.

Ключевые факты

  • Классическая модель ILM строится вокруг переходов joiner, mover и leaver

  • В качестве HR-систем записи упомянуты Workday, SAP SuccessFactors и ServiceNow HR

  • В материале названы оркестраторы LangChain и AutoGen

  • Для аудиторских следов в IAM-сценариях упомянуты SOX, HIPAA, PCI DSS и 152-ФЗ