人工智能的出現(xiàn)標(biāo)志著技術(shù)格局的深刻變革，為企業(yè)身份與訪問管理(IAM)帶來(lái)了前所未有的機(jī)遇和挑戰(zhàn)。傳統(tǒng)IAM側(cè)重于管理人和機(jī)器身份，以及對(duì)資源和應(yīng)用程序的訪問。然而能夠自主決策、發(fā)起行動(dòng)并與各種系統(tǒng)交互的智能體的出現(xiàn)，迫切需要對(duì)現(xiàn)有的IAM框架進(jìn)行重新評(píng)估和擴(kuò)展。

智能體時(shí)代，IAM如何演進(jìn)？

在智能體時(shí)代，身份的定義大大擴(kuò)展。企業(yè)不但要管理好人類身份和機(jī)器身份，還要為每一個(gè)智能體創(chuàng)建唯一且可追溯的身份，對(duì)其實(shí)施更為嚴(yán)格的管理措施，以確保其安全可控。同時(shí)，人、機(jī)器和智能體身份之間的相互作用將變得日益復(fù)雜，人類用戶可能將任務(wù)委托給智能體，而智能體又會(huì)與機(jī)器身份交互以完成該任務(wù)，IAM必須能夠理解和管理這些多層交互。

為了有效應(yīng)對(duì)這種新模式，企業(yè)用戶身份與訪問管理平臺(tái)(IAM)必須不斷升級(jí)，以滿足以下關(guān)鍵需求：

面向智能體的細(xì)粒度身份管理：為每個(gè)智能體創(chuàng)建唯一ID，對(duì)其實(shí)施全生命周期管理，并建立覆蓋全局的企業(yè)智能體注冊(cè)表；

面向智能體的最小化權(quán)限管理：采用最小化權(quán)限原則和授權(quán)委托機(jī)制，降低未經(jīng)授權(quán)或意外操作的風(fēng)險(xiǎn)；

面向智能體的強(qiáng)大身份驗(yàn)證機(jī)制：實(shí)施自動(dòng)化的大規(guī)模機(jī)器對(duì)機(jī)器身份驗(yàn)證 (M2M)，建立信任與驗(yàn)證機(jī)制，保證智能體及其運(yùn)行環(huán)境的完整性和真實(shí)性；

面向智能體的全面審計(jì)和可解釋性：智能體執(zhí)行的每一個(gè)操作都必須被記錄并可審計(jì)，保證能溯源至特定的智能體、發(fā)起請(qǐng)求的人員或機(jī)器以及授予權(quán)限的底層策略。

為了實(shí)現(xiàn)這些目標(biāo)，必須升級(jí)安全治理框架，基于零信任理念，使用統(tǒng)一平臺(tái)對(duì)所有身份（人、機(jī)器和智能體）實(shí)施集中式策略管理，以檢測(cè)智能體異常行為、識(shí)別潛在威脅、支撐風(fēng)險(xiǎn)事件快速響應(yīng)。

芯盾時(shí)代IAM AI Agent身份與訪問管理方案

人工智能時(shí)代的到來(lái)，要求企業(yè)對(duì)身份和訪問管理(IAM)進(jìn)行重新思考。它不再僅僅關(guān)注誰(shuí)可以登錄，而是要管理哪些設(shè)備可以自主運(yùn)行、其運(yùn)行原因以及如何對(duì)其進(jìn)行監(jiān)管和審計(jì)。

正是基于這種思考，芯盾時(shí)代對(duì)身份與訪問管理平臺(tái)（IAM）進(jìn)行全面升級(jí)，憑借對(duì)AI安全的前瞻研究和技術(shù)布局，打造了IAM AI Agent身份與訪問管理方案，以全生命周期身份管理、細(xì)粒度權(quán)限管控、標(biāo)準(zhǔn)化認(rèn)證鑒權(quán)、全鏈路操作審計(jì)，打造智能體時(shí)代的身份與訪問管理新范式，為企業(yè)智能體應(yīng)用構(gòu)建合規(guī)、安全、可控的身份安全底座，助力企業(yè)在充分發(fā)揮AI潛力的同時(shí)，降低安全風(fēng)險(xiǎn)，確保安全合規(guī)。

? ?

智能體身份管理：給每個(gè)智能體發(fā)“身份證”

當(dāng)前，企業(yè)IT系統(tǒng)中的智能體數(shù)量激增，普遍存在無(wú)唯一身份標(biāo)識(shí)、生命周期無(wú)統(tǒng)一管控，導(dǎo)致身份溯源難、運(yùn)維成本高、安全盲區(qū)多。

針對(duì)這些問題，芯盾時(shí)代IAM將智能體作為“類人身份”統(tǒng)一納管，并精準(zhǔn)區(qū)分助手智能體和自主智能體的身份，實(shí)現(xiàn)全生命周期標(biāo)準(zhǔn)化治理，確保智能體在企業(yè)的安全策略和治理規(guī)則內(nèi)可靠運(yùn)行：

唯一身份標(biāo)識(shí)：為每個(gè)智能體分配唯一不可更改ID，定義智能體身份，包括設(shè)置名稱、運(yùn)行環(huán)境、用途、類型等屬性；

區(qū)分智能體類型：明確劃分助手智能體（代表用戶操作，用戶為授權(quán)主體）、自主智能體（自主行動(dòng)，自身為授權(quán)主體），適配差異化身份規(guī)則；

全生命周期管理：覆蓋智能體身份創(chuàng)建、憑證頒發(fā)、角色分配、集成部署、策略配置、監(jiān)控審計(jì)、停用刪除全流程，打造智能體身份管理閉環(huán)。

借助IAM平臺(tái)，企業(yè)能夠?qū)崿F(xiàn)智能體身份可注冊(cè)、可識(shí)別、可監(jiān)控、可停用，讓身份信息集中存儲(chǔ)、全程可追溯，實(shí)現(xiàn)生命周期自動(dòng)化管控，無(wú)需人工手動(dòng)維護(hù)，從源頭消除智能體身份混亂風(fēng)險(xiǎn)，滿足合規(guī)審計(jì)要求，讓智能體身份管理像員工賬號(hào)一樣規(guī)范可控。

MCP權(quán)限管理：給每一次訪問“最小化權(quán)限”

在企業(yè)業(yè)務(wù)體系中，MCP應(yīng)用是與智能體交互的主要載體。芯盾時(shí)代IAM將MCP應(yīng)用納入統(tǒng)一管控體系，統(tǒng)一傳統(tǒng)應(yīng)用與MCP應(yīng)用管控模型，實(shí)現(xiàn)MCP資源細(xì)粒度、差異化權(quán)限治理：

提供MCP應(yīng)用模板：支持標(biāo)準(zhǔn)化配置認(rèn)證協(xié)議參數(shù)、賬號(hào)策略，適配MCP新型應(yīng)用形態(tài)；

細(xì)粒度權(quán)限管理：定義MCP應(yīng)用角色與資源權(quán)限，落實(shí)“最小化授權(quán)”原則，管理用戶、智能體訪問MCP應(yīng)用的細(xì)粒度資源權(quán)限，比如角色、API、數(shù)據(jù)權(quán)限等；

差異化授權(quán)機(jī)制：自主智能體以自身為授權(quán)主體直接授權(quán)，助手智能體以用戶為授權(quán)主體、運(yùn)行時(shí)完成委托授權(quán)，無(wú)需提前配置權(quán)限。

憑借對(duì)MCP應(yīng)用訪問權(quán)限的精細(xì)化管控，企業(yè)能夠牢牢守住智能體訪問邊界，杜絕權(quán)限過度分配與濫用風(fēng)險(xiǎn)，兼顧業(yè)務(wù)效率與安全管控，讓MCP資源權(quán)限管理與傳統(tǒng)應(yīng)用權(quán)限管理保持統(tǒng)一規(guī)范。

智能體認(rèn)證鑒權(quán)：讓每一個(gè)身份都可校驗(yàn)

智能體訪問涉及用戶、智能體、MCP資源多主體交互，只有建立覆蓋訪問全鏈路的鑒權(quán)體系，才能保證訪問安全可控。芯盾時(shí)代IAM構(gòu)建全流程多維度認(rèn)證鑒權(quán)體系，兼容國(guó)際主流標(biāo)準(zhǔn)協(xié)議，實(shí)現(xiàn)智能體訪問全鏈路可信校驗(yàn)：

智能體身份認(rèn)證：通過密鑰、證書、運(yùn)行環(huán)境校驗(yàn)等方式，識(shí)別智能體身份，確保合法智能體訪問；

用戶安全認(rèn)證：對(duì)委托用戶開展多因素認(rèn)證，確保用戶身份真實(shí)可信；

分級(jí)授權(quán)管控：助手智能體需用戶明確委托授權(quán)，自主智能體完成安全令牌交換；

MCP資源鑒權(quán)：智能體通過MCP Client，攜帶用戶授權(quán)令牌訪問MCP Server資源，MCP Server經(jīng)IAM鑒權(quán)后返回資源給智能體。

標(biāo)準(zhǔn)協(xié)議支撐：采用OAuth 2.0/2.1、JWT、JWK、PKCE等協(xié)議，實(shí)現(xiàn)令牌防篡改、安全擴(kuò)展及本地校驗(yàn)。

借助IAM平臺(tái)，企業(yè)能夠?qū)崿F(xiàn)全流程防篡改、防劫持、防越權(quán)，從認(rèn)證到鑒權(quán)形成安全閉環(huán)，為智能體業(yè)務(wù)筑牢訪問安全防線。

智能體操作審計(jì)：讓每一個(gè)行為都可追溯

安全審計(jì)是智能體合規(guī)審查的核心要求。芯盾時(shí)代IAM打造了全覆蓋的智能體操作審計(jì)體系，實(shí)現(xiàn)全流程操作留痕，讓每一次行為都可追溯：

管理行為審計(jì)：覆蓋智能體身份管理、MCP資源管理、授權(quán)策略配置全流程操作；

認(rèn)證授權(quán)審計(jì)：記錄智能體認(rèn)證、用戶委托、資源訪問鑒權(quán)全流程日志；

可視化審計(jì)查詢：支持按Agent ID/名稱、委托用戶、操作對(duì)象、時(shí)間精準(zhǔn)檢索，生成完整審計(jì)軌跡。

憑借全面的審計(jì)日志、強(qiáng)大的審計(jì)功能，企業(yè)能夠?qū)崿F(xiàn)智能體每一次訪問、修改、決策行為全程留痕，風(fēng)險(xiǎn)快速定位，全面滿足合規(guī)審計(jì)要求，從流程末端消除合規(guī)與安全隱患。

安全賦能，護(hù)航企業(yè)AI戰(zhàn)略落地

芯盾時(shí)代IAM AI Agent身份與訪問管理方案，深度適配智能體時(shí)代身份治理新需求，通過覆蓋助手型與自主型智能體的全類型適配、從委托認(rèn)證到資源訪問的全鏈路管控，以及從身份創(chuàng)建到最終注銷的全生命周期治理，徹底解決企業(yè)智能體的身份、權(quán)限、認(rèn)證、審計(jì)難題。

安全可控：唯一身份+最小權(quán)限+全流程認(rèn)證，杜絕非法訪問、越權(quán)操作、身份劫持；

合規(guī)無(wú)憂：全鏈路審計(jì)留痕，滿足金融、互聯(lián)網(wǎng)、制造等行業(yè)合規(guī)要求；

高效運(yùn)維：全生命周期自動(dòng)化管控，統(tǒng)一管控模型，降低智能體運(yùn)維成本；

業(yè)務(wù)賦能：安全兜底支撐智能體規(guī)模化落地，釋放AI生產(chǎn)力，助力企業(yè)數(shù)智化轉(zhuǎn)型。

作為領(lǐng)先的業(yè)務(wù)安全產(chǎn)品方案提供商，芯盾時(shí)代始終以AI技術(shù)與安全能力雙輪驅(qū)動(dòng)，持續(xù)迭代IAM產(chǎn)品體系。本次IAM AI Agent身份與訪問管理方案的發(fā)布，進(jìn)一步完善了企業(yè)在數(shù)智化時(shí)代的身份安全版圖，為企業(yè)提供可控、可信、可持續(xù)的智能體身份管理能力，讓AI業(yè)務(wù)安全無(wú)憂、合規(guī)前行。