Définir des contrôles de sécurité pour un workflow agentique

  • Rversion finale: Australia
  • Mis à jour 23 nov. 2025
  • 3 minutes de lecture

    • Dans la configuration guidée d’un workflow agentique, définissez des contrôles de sécurité définissant qui peut accéder au workflow agentique et à quelles données le workflow agentique a accès.

    Avant de commencer

    Rôle requis : sn_aia.admin

    Pourquoi et quand exécuter cette tâche

    L’étape Définir les contrôles de sécurité est divisée en deux parties : Définir l’accès de l’utilisateur et Définir l’accès aux données. La première crée une liste de contrôle d’accès (ACL) qui détermine quels utilisateurs peuvent découvrir ou invoquer le workflow agentique. Ce dernier définit les données auxquelles le workflow agentique a accès une fois qu’il est invoqué.

    Consultez Sécurité pour les agents IA pour plus d’informations sur la création d’ACL et d’identités d’utilisateurs pour la sécurité des workflows agentiques.

    Procédure

    1. Sélectionnez les utilisateurs pouvant accéder au workflow agentique.

      Les options du menu déroulant sont les suivantes :

      • Utilisateurs avec des rôles spécifiés
      • Utilisateurs authentifiés
      • Public

      Si vous sélectionnez Users with specified roles, vous pouvez sélectionner exactement quels rôles peuvent accéder au workflow agentique. Les workflows agentiques installés avec Now Assist les applications et leurs agents IA peuvent nécessiter que vous incluiez des rôles spécifiques. Pour savoir de quels rôles ils ont besoin, consultez la documentation de l’agent IA ou le workflow agentique qui utilise l’agent IA.

      Définir l’accès utilisateur pour un workflow agentique

    2. Sélectionnez Enregistrer et passez à l’étape suivante.

      L’enregistrement et le passage à l’étape suivante déclenchent la création d’une ACL pour votre workflow agentique. Si vous souhaitez apporter des changements ultérieurement, vous pouvez revenir à la configuration guidée et modifier les options ici. Si vous disposez du rôle élevé approprié, vous pouvez également effectuer des modifications directement sur la table ACL.

    3. Définissez l’identité d’utilisateur du workflow agentique pour déterminer les données auxquelles il a accès.

      Les deux options sont Dynamic user et AI user. L’utilisateur dynamique est l’utilisateur qui invoque le workflow agentique. Un utilisateur IA est un utilisateur dédié qui dispose de ses propres rôles spécifiés qui autorisent l’accès, ce qui peut être supérieur à l’utilisateur dynamique.

      Si vous n’avez pas d’utilisateur IA, mais que vous souhaitez utiliser l’identité AI user , vous devez créer un nouvel enregistrement dans la table Utilisateur. Voir Créer un utilisateur. Sélectionnez AI user comme type d’identité.

      Si vous sélectionnez Dynamic user, vous pouvez sélectionner l’option Approved roles avec laquelle l’agent IA s’exécute. Par défaut, un agent IA s’exécute en tant qu’utilisateur dynamique et dispose des rôles de l’utilisateur invoquant. Sélectionnez les rôles approuvés pour limiter l’accès aux données qu’un agent IA pourrait avoir. Le masquage de rôle doit être appliqué à tous les agents IA et tous les workflows agentiques définis pour s’exécuter en tant qu’utilisateurs dynamiques.

      Pour remplacer l’exigence de masquage de rôle pour un workflow agentique ou un agent IA spécifique, les administrateurs disposant de l’accès élevé approprié peuvent créer une liste approuvée de rôles pour un workflow agentique ou un agent IA donné. Ensuite, ils peuvent accéder à cet enregistrement de masquage de rôle dans la table Configurations des rôles d’accès à l’agent [sys_agent_access_role_configuration], puis cocher la case « Autoriser tous les rôles ». En suivant ces étapes, vous désactivez la nécessité d’une liste de rôles approuvés pour le masquage de rôle dans Studio d’agents IA, afin que l’administrateur IA puisse revenir au Studio d’agents IA et continuer à configurer le workflow agentique ou l’agent IA sans masque de rôle appliqué.
      Remarque :
      Le masquage de rôle doit être appliqué en tant que bonne pratique de sécurité et adhésion au principe du moindre privilège. Il n’est pas recommandé de remplacer l’exigence de masquage de rôle.

      Si vous sélectionnez AI user, la liste des rôles dont dispose l’utilisateur IA s’affiche.

      Définir l’accès aux données pour un workflow agentique

    Résultats

    Vous avez créé une ACL qui détermine qui peut découvrir votre workflow agentique et y accéder, et vous avez affecté une identité d’utilisateur (et un masquage de rôle, le cas échéant) au workflow agentique pour déterminer à quelles données il peut accéder.

    Que faire ensuite

    Sélectionnez Enregistrer et passez à l’étape suivante, Ajout d’un déclencheur. L’ajout d’un déclencheur est facultatif. Vous pouvez également passer à la dernière étape, Sélectionner les canaux et l’accès.