Masquage de rôle dans Now Assist les agents IA

  • Rversion finale: Australia
  • Mis à jour 4 nov. 2025
  • 6 minutes de lecture

    • Le masquage de rôle pour les agents IA et les workflows agentiques aide les utilisateurs à renforcer la sécurité en leur permettant de limiter leurs rôles pendant l’exécution de l’outil et de vérifier que les agents IA s’exécutent avec des privilèges d’accès minimum.

    Vue d’ensemble du masquage de rôle

    Le masquage de rôle permet aux administrateurs IA de limiter les Studio d'agents IA autorisations des workflows agentiques ou des agents IA définis pour s’exécuter en tant qu’utilisateurs dynamiques en définissant une liste d’autorisation de rôles dont ils peuvent hériter de l’invocation des utilisateurs, en appliquant l’accès au moindre privilège.

    Utilisez le masquage de rôle pour :
    • Donnez aux utilisateurs les moyens de respecter les principes du moindre accès lorsqu’un workflow agentique ou un agent IA s’exécute pour le compte d’un utilisateur dynamique.
    • Limitez les rôles que les workflows agentiques, les agents IA et les compétences héritent des utilisateurs et peuvent être appliqués lorsqu’un utilisateur les invoque.

      Pour plus d’informations sur la configuration des compétences, reportez-vous à la section Kit de compétences Now Assist.

    • Réduisez le risque que les solutions d’IA accèdent aux ressources qu’elles ne devraient pas, contribuant ainsi à empêcher une portée agentique excessive dans des données ou des options sensibles au-delà de ce qui est autorisé pour l’utilisateur.
    • Élargissez les configurations de sécurité pour augmenter les fonctionnalités des produits agentiques tout en réduisant les risques de sécurité en appliquant la gouvernance pour les rôles élevés ou à portée.

    Prérequis

    Pour configurer le masquage de rôle sur votre ServiceNow instance, vous devez disposer des éléments suivants :
    • Now Assist pour la version 10.0.2-SS de la plateforme.
    • Les privilèges sn_aia.admin.

    Comportement de masquage de rôle

    Le comportement de masquage de rôle dans les workflows agentiques, les agents IA et les outils contrôle quels rôles de l’utilisateur invoquant sont disponibles pour les agents et les outils IA pendant l’exécution du workflow. Les rôles sont appliqués séquentiellement entre les couches du workflow agentique, de l’agent IA et de la séquence d’outils pour vérifier que les outils s’exécutent avec les privilèges minimaux requis.

    Règles de masquage de rôle

    1. Le masquage de rôle limite les rôles avec lesquels un workflow agentique, un agent IA ou une compétence peut s’exécuter à l’intersection entre les rôles affectés à l’utilisateur invoquant et les rôles inclus dans la liste de masquage des rôles approuvés.
    2. Utilisateur IA par rapport au masque de rôle :

      L’administrateur IA peut choisir que le composant s’exécute en tant qu’utilisateur IA ou en tant qu’utilisateur dynamique. S’il est défini pour s’exécuter en tant qu’utilisateur dynamique, l’administrateur IA peut configurer le masquage de rôle pour le composant. Le masquage de rôle ne peut pas être configuré pour les workflows agentiques ou les agents IA définis pour s’exécuter en tant qu’utilisateurs IA.

      • Si un utilisateur IA est sélectionné, tous les rôles affectés à l’utilisateur IA sont disponibles pour le workflow agentique ou l’agent IA. Cela peut être utilisé pour fournir un accès élevé à l’agent IA du workflow agentique.
        Remarque :
        Les outils s’exécutent toujours en tant qu’utilisateurs dynamiques.
      • Si le masquage de rôle est appliqué à un workflow agentique, à un agent IA ou à un outil s’exécutant en tant qu’utilisateur dynamique, le composant s’exécute avec des rôles limités à l’intersection des rôles de l’utilisateur actuel invoquant et des rôles inclus dans la liste des rôles de masquage des rôles approuvés.
    3. Plusieurs masques de rôles peuvent être configurés et appliqués dans la séquence workflow agentique - agent IA - outil, mais chaque masque suit toujours la règle d’intersection.
    4. Le masquage de rôle limite uniquement les rôles avec lesquels les composants peuvent s’exécuter, mais n’accorde jamais aux composants des rôles qui dépassent ceux de l’utilisateur invoquant. Ainsi, si l’utilisateur appelant a un rôle qui n’est pas inclus dans la liste des rôles approuvés, le composant ne sera pas autorisé à s’exécuter avec ce rôle. De plus, si la liste des rôles approuvés comprend un rôle qui n’est pas affecté à l’utilisateur invoquant, le composant ne pourra plus s’exécuter avec ce rôle.
    5. Lorsqu’un workflow s’exécutant en tant qu’utilisateur IA invoque un agent IA s’exécutant en tant qu’utilisateur dynamique avec le masquage de rôle configuré, les rôles disponibles pour l’agent IA correspondent à l’intersection de la configuration de masquage de rôle de l’agent IA et des rôles affectés à l’utilisateur IA du workflow agentique. Il en va de même pour un agent IA exécuté en tant qu’utilisateur IA qui appelle ensuite une compétence avec le masquage de rôle configuré.

    Séquence d’évaluation de masquage de rôle et ACL

    La séquence suivante définit la manière dont les ACL et les masques de rôle sont évalués dans les contextes du workflow agentique, de l’agent IA et de l’outil :
    Étape 1 : validation de l’ACL du workflow agentique
    Les ACL configurées pour les workflows sont évaluées par rapport aux rôles de session de l’utilisateur (automatisé ou conversationnel) invoquant.
    Étape 2 : application de masque de rôle de workflow agentique
    Si l’utilisateur invoquant répond aux critères ACL du workflow agentique (et que le workflow agentique est défini pour s’exécuter en tant qu’utilisateur dynamique avec le masquage de rôle configuré), le masquage du rôle du workflow agentique est appliqué aux rôles de l’utilisateur invoquant (en limitant les rôles de la session utilisateur en fonction de l’intersection avec le masquage de rôle configuré).
    Étape 3 : validation de l’ACL de l’agent IA
    Lorsqu’un workflow agentique invoque un agent IA, les ACL des agents IA sont validées par rapport à un agent IA Les ACL sont validées par rapport à l’un des rôles avec lesquels le workflow agentique a été approuvé pour s’exécuter. Ainsi :
    • Si le workflow agentique a été défini pour s’exécuter en tant qu’utilisateur IA, l’ACL de l’agent IA effectue la validation par rapport à la session utilisateur IA configurée dans le workflow.
    • Si le workflow agentique a été défini pour s’exécuter en tant qu’utilisateur dynamique avec masquage de rôle, l’ACL de l’agent IA vérifie si les rôles restants effectifs après l’application du masquage de rôle de workflow répondent aux critères ACL.
    Étape 4 : application de masquage du rôle d’agent IA
    Comme pour le workflow agentique ci-dessus, le masque de rôle d’utilisateur IA ou d’agent IA est appliqué :
    • Si un utilisateur IA est sélectionné, tous les rôles de l’utilisateur IA sont appliqués (pas de masquage).
    • Si un masque de rôle est appliqué, les rôles sont davantage limités en fonction de l’intersection avec les rôles effectifs après l’application du masquage des rôles de workflow.
    Étape 5 : validation de l’ACL de l’outil
    Si un outil utilise des ACL, celles-ci sont vérifiées par rapport aux rôles que l’agent IA (affecté à l’outil) est autorisé à utiliser. Cela signifie que si le masquage de rôle est configuré, seuls les rôles restants après le masquage sont pris en compte lors de la validation.
    Étape 6 : application de masquage du rôle de l’outil
    Si l’outil est une compétence et que son masque de rôle est configuré, les rôles approuvés seront appliqués aux rôles avec lesquels l’agent IA a été approuvé pour s’exécuter, limitant ainsi les rôles d’exécution de l’outil.
    Résumé de l’ordre d’évaluation ACL et masquage de rôle :
    1. Les ACL de workflow agentique → validées avec l’invocation de rôles de session utilisateur (conversationnelle ou automatisée).
    2. Le masquage de rôle de workflow agentique → appliqué à la session utilisateur invoquante.
    3. Les ACL d’agent IA → validées avec les rôles approuvés du workflow agentique (rôles d’utilisateur IA du workflow agentique OU rôles après le masquage des rôles du workflow).
    4. Le masquage de rôle d’agent IA → appliqué aux rôles approuvés du workflow agentique.
    5. Les ACL d’outils → validées avec les rôles approuvés de l’agent IA (utilisateur IA de l’agent IA ou rôles après le masquage des rôles d’agent).
    6. Le masque de rôle de l’outil (compétences uniquement) → appliqué aux rôles approuvés de l’agent IA.
    Remarque :
    Lors de l’évaluation des ACL et des masques de rôle, l’administrateur peut identifier où et pourquoi l’exécution a échoué en raison de restrictions d’ACL ou de masque de rôle.

    Configuration