AI-агенты создают слепые зоны для классических IAM- и ILM-систем

Традиционные IAM- и ILM-подходы рассчитаны на сотрудников, чьи учётные записи проходят через HR-процессы. С AI-агентами всё устроено иначе. Как пишет Tproger, их создают через Terraform-скрипты, OAuth-консенс, CI/CD-пайплайны и оркестраторы вроде LangChain или AutoGen. Из-за этого IGA-платформы могут просто не замечать новые идентичности и связанные с ними права.
В классической модели joiner-mover-leaver управление доступом завязано на HR-событиях: приёме, переводе и увольнении. Для AI-агентов такая схема не подходит, потому что у них нет manager-атрибутов, должностей или фиксированного жизненного цикла. В материале отмечается, что агенты могут получать избыточные права уже при создании, постепенно накапливать доступы в процессе работы и сохранять активные учётные данные даже после отключения.
Авторы предлагают выстраивать governance-модель вокруг фактического жизненного цикла агентов: discovery, behavioral monitoring, policy-driven provisioning и deprecation после периода неактивности. В тексте также говорится, что тема становится актуальной и для российского рынка. AI-агентов уже внедряют Яндекс GPT, GigaChat, VK LLM и корпоративные облака, при этом чётких ILM-стандартов для подобных сценариев пока нет.
Ключевые факты
Классическая модель ILM строится вокруг переходов joiner, mover и leaver
В качестве HR-систем записи упомянуты Workday, SAP SuccessFactors и ServiceNow HR
В материале названы оркестраторы LangChain и AutoGen
Для аудиторских следов в IAM-сценариях упомянуты SOX, HIPAA, PCI DSS и 152-ФЗ