企業服務節點出站授權 - Identity as a Service

Agent ID Guard 通過出站授權，控制 AI Agent 訪問企業內部服務。本文介紹核心概念、工作原理和配置步驟。

功能簡介

隨著 AI Agent 技術的廣泛應用，Agent 需要安全地訪問多種外部服務：大模型服務、三方 SaaS 服務以及企業內部服務。針對企業服務節點的授權管理是 Agent ID Guard 的核心能力之一，為企業內部服務設計，具備以下核心價值：

概念	說明
Agent 節點	Agent ID Guard 託管的機器身份，底層對應一個 OAuth 2.0 M2M (Machine-to-Machine) 應用。
企業服務節點	Agent 工作流程中的出站節點，表示一個企業內部系統，底層關聯一個 OAuth 2.0 M2M 應用。
受眾標識	企業服務的邏輯標識符，對應 Access Token Payload 中的 `aud` 欄位。內部系統通過校正 `aud` 確認令牌是發給自己的。
許可權標識	定義 Agent 對企業服務的操作範圍，對應 Access Token Payload 中的 `scope` 欄位。內部系統通過校正 `scope` 確認操作許可權。
出站授權	將企業服務的存取權限授權給 Agent，使 Agent 能夠擷取訪問該企業服務的 Access Token。

各步驟詳細說明如下：

步驟	說明
1. 請求 Token	Agent 使用 Client Secret 憑據或公私密金鑰憑據，攜帶目標企業服務的 `audience` 和所需的 `scope`，向 Agent ID Guard 令牌端點發起請求。
2. 驗證用戶端身份	Agent ID Guard 校正 Agent 的 Client Secret 憑據或公私密金鑰憑據，確認請求來自登入的合法 Agent。
3. 校正出站授權	Agent ID Guard 校正該 Agent 是否被授予了目標企業服務的相應 Scope。僅已授權的 Scope 會被簽入 Access Token，未授權的 Scope 會被自動過濾。
4-5. 簽發 Access Token	校正通過後，Agent ID Guard 簽發 Access Token，其中`aud` 欄位為企業服務受眾標識、`scope` 欄位為授權的許可權標識。
6. 調用企業服務	Agent 在要求標頭中攜帶 `Authorization: Access Token` 調用企業服務 API。
7-8. Token 校正	企業服務驗證 Access Token 有效期間、`aud` 和 `scope`。
9. 返回結果	校正通過則返回業務資料，校正失敗則返回錯誤。

進入 IDaaS EIAM 控制台。
單擊 Agent身份安全，進入 Agent 身份安全列表頁。
選擇目標 Agent 點擊操作列编辑，進入 Agent 詳情頁，單擊頁面下方流程圖中的 Agent 模組。
確認已完成 Agent 身份註冊（Agent 模組名右邊有個綠色的勾表徵圖），這樣才能添加企業服務節點。
在拓撲圖右上方單擊添加节点，在彈出的下拉式功能表中選擇企业服务。
說明
如果 Agent 需要訪問多個企業內部系統，需分別添加多個企業服務節點。
配置企业服务，根據實際需求選擇以下一種方式：
建立企業服務應用
當企業服務應用列表中不存在業務所需的企業服務應用時，按以下步驟操作：
1. 單擊添加企业服务应用。
2. 完成通用配置：
  配置項
  說明
  应用名称
  控制台顯示的名稱。
  受众标识
  定義後將作為 Access Token 的 aud 欄位值，企業服務據此進行許可權校正。
3. 完成許可權配置：
  配置項
  說明
  权限名称
  控制台顯示的名稱。
  权限标识
  定義後將作為 Access Token 的 scope 欄位值，企業服務據此進行許可權校正。
選擇已有企業服務應用
當企業服務應用列表中已存在業務所需的企業服務應用（例如其他 Agent 已關聯過同一企業服務）時，直接從列表中選擇。

完成後可在拓撲圖中確認：

說明

僅在出站授權中被勾選的 Scope 會被簽入 Agent 擷取的 Access Token。即使企業服務定義了多條許可權，Agent 只會獲得管理員顯式授權的 Scope。

配置項	說明
应用名称	控制台顯示的名稱。
受众标识	定義後將作為 Access Token 的 `aud` 欄位值，企業服務據此進行許可權校正。

配置項	說明
权限名称	控制台顯示的名稱。
权限标识	定義後將作為 Access Token 的 `scope` 欄位值，企業服務據此進行許可權校正。