Définir des contrôles de sécurité pour un agent IA
Dans la configuration guidée pour un agent IA, définissez des contrôles de sécurité pour déterminer qui peut accéder à l’agent IA et à quelles données l’agent IA a accès.
Avant de commencer
Rôle requis : sn_aia.admin
Pourquoi et quand exécuter cette tâche
L’étape Définir les contrôles de sécurité est divisée en deux parties : Définir l’accès de l’utilisateur et Définir l’accès aux données. Le premier crée une ACL qui détermine qui peut découvrir ou invoquer l’agent IA. Ce dernier définit les données auxquelles l’agent IA a accès une fois qu’il est appelé.
Consultez Sécurité pour les agents IA pour plus d’informations sur la création d’ACL et d’identités d’utilisateurs pour la sécurité pour les agents IA.
Procédure
-
Sélectionnez Enregistrer et passez à l’étape suivante.
L’enregistrement et le passage à l’étape suivante déclenchent la création d’une ACL pour votre agent IA. Si vous souhaitez apporter des changements ultérieurement, vous pouvez revenir à la configuration guidée et modifier les options ici. Si vous disposez du rôle élevé approprié, vous pouvez également effectuer des modifications directement sur la table ACL.
-
Définissez l’identité d’utilisateur de l’agent IA pour déterminer les données auxquelles il a accès.
Les deux options sont Dynamic user et AI user. L’utilisateur dynamique est l’utilisateur qui invoque l’agent IA ou l’utilisateur dynamique du workflow agentique qui fait appel à l’agent IA. Un utilisateur IA est un utilisateur dédié qui dispose de ses propres rôles spécifiés qui autorisent l’accès, ce qui peut être supérieur à l’utilisateur dynamique.
Si vous n’avez pas d’utilisateur IA, mais que vous souhaitez utiliser l’identité AI user , vous devez créer un nouvel enregistrement dans la table Utilisateur. Voir Créer un utilisateur. Sélectionnez AI user comme type d’identité.
Si vous sélectionnez Dynamic user, vous pouvez sélectionner l’option Approved roles avec laquelle l’agent IA s’exécute. Par défaut, un agent IA s’exécute en tant qu’utilisateur dynamique et dispose des rôles de l’utilisateur invoquant. Sélectionnez les rôles approuvés pour limiter l’accès aux données qu’un agent IA pourrait avoir. Le masquage de rôle doit être appliqué pour que tous les agents IA et tous les workflows agentiques s’exécutent en tant qu’utilisateurs dynamiques.
Pour remplacer l’exigence de masquage de rôle pour un workflow agentique ou un agent IA spécifique, les administrateurs disposant de l’accès élevé approprié peuvent créer une liste approuvée de rôles pour un workflow agentique ou un agent IA donné. Ensuite, ils peuvent accéder à cet enregistrement de masquage de rôle dans la table Configurations des rôles d’accès à l’agent [sys_agent_access_role_configuration], puis cocher la case « Autoriser tous les rôles ». En suivant ces étapes, vous désactivez la nécessité d’une liste de rôles approuvés pour le masquage de rôle dans Studio d'agents IA, afin que l’administrateur IA puisse revenir et Studio d'agents IA continuer à configurer le workflow agentique ou l’agent IA sans masque de rôle appliqué.
Remarque :Le masquage de rôle doit être appliqué en tant que bonne pratique de sécurité et adhésion au principe du moindre privilège. Il n’est pas recommandé de remplacer l’exigence de masquage de rôle.Si vous sélectionnez AI user, la liste des rôles dont dispose l’utilisateur IA s’affiche.
Résultats
Vous avez créé une ACL qui détermine qui peut découvrir votre agent IA et y accéder, et vous avez affecté une identité d’utilisateur (et un masquage de rôle, le cas échéant) à l’agent IA pour déterminer à quelles données il peut accéder.
Que faire ensuite
Sélectionnez Enregistrer et passez à l’étape suivante, Ajout d’un déclencheur. L’ajout d’un déclencheur est facultatif. Vous pouvez également passer à la dernière étape, Sélectionner les canaux et l’accès.