Implémenter le contrôle d’accès dans Now Assist les agents IA

  • Rversion finale: Australia
  • Mis à jour 11 sept. 2025
  • 4 minutes de lecture

    • Mettez en œuvre des contrôles de sécurité pour les agents IA et les workflows agentiques via des listes de contrôle d’accès (ACL) et des identités des utilisateurs afin d’accroître l’alignement sur les mesures de sécurité basées sur le contrôle d’accès dans le système agentique.

    Vue d’ensemble de la sécurité pour les agents IA

    Contrôles d’accès pour l’IA agentique sur comprend ServiceNow AI Platform deux composants principaux : les listes de contrôle d’accès (ACL) et les identités des utilisateurs. L’interaction entre ces deux composants au niveau du workflow agentique, de l’agent IA et de l’outil Studio d'agents IA influence leur sécurité et leur fonctionnalité globales.

    Listes de contrôle d’accès

    Les listes de contrôle d’accès (ACL) des Now Assist agents IA déterminent les utilisateurs qui peuvent invoquer un workflow agentique ou un agent IA. Les ACL doivent être configurées individuellement pour chaque workflow agentique, agent IA et certains outils d’agent IA.

    Les ACL ajoutées à un agent IA et à un workflow agentique sont disponibles dans les listes connexes respectives à titre de référence.

    Important :
    Les ACL configurées Studio d'agents IA dans déterminent uniquement les rôles requis pour que les utilisateurs invoquent un workflow agentique ou un agent IA. Elles ne déterminent pas l’accès dont dispose le workflow agentique ou un agent IA une fois qu’il est invoqué.

    Identité de l’utilisateur

    L’identité de l’utilisateur détermine les rôles avec lesquels l’agent IA ou un workflow agentique fonctionne et les données auxquelles il peut accéder en fonction des autorisations affectées au .

    Après avoir configuré les listes de contrôle d’accès (ACL), vous devez configurer l’identité d’utilisateur (également appelée Run as) à l’aide de laquelle l’agent IA ou le workflow agentique est exécuté. Vous pouvez choisir parmi deux configurations utilisateur possibles :

    • Utilisateur dynamique : utilisateur connecté qui appelle l’exécution d’un agent IA ou d’un workflow agentique. L’utilisateur dynamique est l’identité d’utilisateur par défaut, et vous pouvez utiliser l’utilisateur dynamique sauf s’il existe un besoin spécifique qui justifie un utilisateur IA.
    • Utilisateur IA : un utilisateur dédié qui exécute l’agent IA ou un workflow agentique avec des rôles affectés qui restent cohérents, peu importe qui ou comment l’exécution est invoquée. Par exemple, un agent IA ou un workflow agentique peut avoir besoin d’être exécuté avec des privilèges élevés que l’utilisateur dynamique peut ne pas avoir.

    Si vous n’avez pas d’utilisateur IA, mais que vous souhaitez utiliser l’identité AI user , vous devez créer un nouvel enregistrement dans la table Utilisateur. Voir Créer un utilisateur. Sélectionnez AI user comme type d’identité.

    Remarque :
    • Un utilisateur IA peut être configuré dans le cadre de l’identité d’utilisateur et les identités des utilisateurs sont configurées aux niveaux du workflow agentique et de l’agent IA.
      • Pour plus d’informations sur l’identité de l’utilisateur dans un agent IA, reportez-vous à .Créer un agent IA
      • Pour plus d’informations sur l’identité de l’utilisateur dans un workflow agentique, reportez-vous à .Créer un workflow agentique
    • Les ACL sont vérifiées avec l’utilisateur conversationnel réel, un utilisateur qui a invoqué le workflow agentique ou l’agent IA. Une fois la vérification de l’ACL terminée, les identités des utilisateurs peuvent être appliquées.

    Configurer les ACL dans Studio d'agents IA

    Les ACL configurées dans les agents IA et les workflows agentiques sont basées sur les Studio d'agents IA rôles et sont de deux types :
    • Allow-If : accorde l’accès aux données ou aux ressources lorsque toutes les conditions spécifiées dans l’ACL sont remplies et que l’ACL n’empêche pas les autres ACL d’accorder l’accès à la même ressource, même si ce n’est pas le cas.
    • Refuser sauf si : accorde l’accès uniquement lorsque les rôles remplissent une condition spécifiée et qu’aucune autre ACL ne peut remplacer ou accorder l’accès à cette ressource.

    Il existe trois options possibles pour les ACL créées dans Studio d'agents IA:

    • Any authenticated user: accorde l’accès à tout utilisateur authentifié sur l’instance, quel que soit son rôle.
    • Users with specified roles: option ACL par défaut qui nécessite que vous sélectionniez les rôles pour invoquer un agent IA ou un workflow agentique.
    • Public: accorde l’accès à tous les utilisateurs, y compris les invités qui ne sont pas connectés.
    Chaque agent IA et workflow agentique doit avoir sa propre ACL unique.
    • Pour configurer une ACL dans Studio d'agents IA le pour un agent IA, consultez la Créer un agent IA configuration guidée.
    • Pour configurer une ACL pour un workflow agentique, consultez la Créer un workflow agentique configuration guidée.
    Remarque :
    S’il existe des exigences de sécurité contradictoires entre les workflows agentiques, les agents IA et les outils d’agent IA, ou si l’utilisateur invoquant répond aux critères de certaines ACL mais pas d’autres, votre IA agentique ne s’exécute pas. Lors de la configuration de ces paramètres de sécurité, tenez compte de tous les aspects du système agentique, y compris le workflow agentique, les agents IA et les outils.

    Mode d’exécution supervisée pour les agents IA

    Vous pouvez minimiser l’impact négatif potentiel d’un agent IA qui ne s’exécute pas comme prévu en configurant les outils des agents IA pour qu’ils s’exécutent en mode supervisé. Cela assurera une supervision humaine des actions de l’outil. Vous pouvez utiliser le mode supervisé pour améliorer la sécurité des agents capables d’effectuer des actions sensibles ou critiques.

    Vous pouvez définir le mode d’exécution supervisée lors de la création d’un outil dans la configuration guidée de l’agent IA. Par exemple, choisissez Supervisé comme mode d’exécution lors de l’ajout d’un outil d’élément de catalogue. Pour référence, voir Ajouter un élément de catalogue à un agent IA.