Implementieren Sie die Zugriffssteuerung in Now Assist KI-Agenten

  • Freigeben Version: Australia
  • Aktualisiert 11. September 2025
  • 3 Minuten Lesedauer

    • Implementieren Sie Sicherheitskontrollen für KI-Agenten und Agenten-Workflows durch Zugriffssteuerungslisten (ACLs) und Anwenderidentitäten, um die Ausrichtung an den Zugriffssteuerungsbasierten Sicherheitsmaßnahmen im Agenten-System zu verbessern.

    Übersicht über Sicherheit für KI-Agents

    Zugriffssteuerungen für agentenbasierte KI auf ServiceNow AI Platform Besteht aus zwei Hauptkomponenten: Zugriffssteuerungslisten (ACLs) und Anwenderidentitäten. Die Interaktion zwischen diesen beiden Komponenten auf Agenten-Workflow-, KI-Agenten- und Toolebene innerhalb von KI-Agenten-Studio Beeinflusst die allgemeine Sicherheit und Funktionalität.

    Zugriffssteuerungslisten

    Die Zugriffssteuerungslisten (ACLs) in Now Assist KI-Agenten bestimmen Anwender, die einen Agenten-Workflow oder einen KI-Agenten aufrufen können. ACLs müssen für jeden Agenten-Workflow, jeden KI-Agenten und bestimmte KI-Agenten-Tools einzeln konfiguriert werden.

    Die ACLs, die einem KI-Agenten und einem Agenten-Workflow hinzugefügt wurden, sind in den entsprechenden zugehörigen Listen als Referenz verfügbar.

    Wichtig:
    ACLs konfiguriert in KI-Agenten-Studio Bestimmen Sie nur die Rollen, die für Anwender erforderlich sind, um einen Agenten-Workflow oder einen KI-Agenten aufzurufen. Sie bestimmen nicht den Zugriff, den der agentische Workflow oder ein KI-Agent hat, nachdem er aufgerufen wurde.

    Anwenderidentität

    Die Anwenderidentität bestimmt die Rollen, mit denen der KI-Agent oder ein Agenten-Workflow arbeitet, und die Daten, auf die er je nach den Berechtigungen zugreifen kann, die dem zugewiesen sind .

    Nach der Konfiguration der Zugriffssteuerungslisten (ACLs) müssen Sie die Anwenderidentität konfigurieren (auch als bezeichnet) Run as), mit dem der KI-Agent oder Agenten-Workflow ausgeführt wird. Es gibt zwei mögliche Anwenderkonfigurationen, aus denen Sie auswählen können:

    • Dynamischer Anwender : Der angemeldete Anwender, der die Ausführung eines KI-Agents oder eines agentischen Workflows aufruft. Dynamischer Anwender ist die Standardanwenderidentität, und Sie können den dynamischen Anwender verwenden, es sei denn, es gibt einen bestimmten Bedarf, der einen KI-Anwender rechtfertigt.
    • KI-Anwender : Ein dedizierter Anwender, der den KI-Agenten oder einen Agenten-Workflow mit zugewiesenen Rollen ausführt, die unabhängig davon konsistent bleiben, wer oder wie die Ausführung aufgerufen wird. Beispielsweise muss ein KI-Agent oder ein Agenten-Workflow möglicherweise mit erhöhten Berechtigungen ausgeführt werden, die der dynamische Anwender möglicherweise nicht hat.

    Wenn Sie keinen KI-Anwender haben, aber verwenden möchten AI userIdentität, müssen Sie einen neuen Datensatz in der Anwendertabelle erstellen. Siehe Erstellen Sie einen Anwender . Wählen Sie Aus AI userAls Identitätstyp.

    Hinweis:
    • Ein KI-Anwender kann als Teil der Anwenderidentität konfiguriert werden, und Anwenderidentitäten werden auf Agenten-Workflow- und KI-Agenten-Ebene konfiguriert.
    • Die ACLs werden mit dem tatsächlichen Konversationsanwender überprüft, einem Anwender, der den Agenten-Workflow oder den KI-Agenten aufgerufen hat. Sobald die ACL-Prüfung abgeschlossen ist, können die Anwenderidentitäten angewendet werden.

    Konfigurieren Sie ACLs in KI-Agenten-Studio

    In konfigurierte ACLs KI-Agenten-Studio Für KI-Agenten und Agenten-Workflows sind rollenbasiert und haben zwei Typen:
    • Zulassen-Wenn : Gewährt Zugriff auf Daten oder Ressourcen, wenn alle angegebenen Bedingungen in der ACL erfüllt sind und die ACL nicht verhindert, dass andere ACLs Zugriff auf dieselbe Ressource gewähren, auch wenn dies nicht der Fall ist
    • Verweigern – Es Sei Denn : Gewährt Zugriff nur, wenn die Rollen eine angegebene Bedingung erfüllen und keine anderen ACLs Zugriff auf diese Ressource überschreiben oder gewähren können.

    Es gibt drei mögliche Optionen für ACLs, die in erstellt wurden KI-Agenten-Studio:

    • Any authenticated user: Gewährt jedem Anwender, der sich in der Instanz authentifiziert hat, Zugriff, unabhängig von der Rolle.
    • Users with specified roles: Die standardmäßige ACL-Option, die erfordert, dass Sie die Rollen auswählen müssen, um einen KI-Agenten oder einen Agenten-Workflow aufzurufen.
    • Public: Gewährt allen Anwendern Zugriff, einschließlich Gästen, die nicht angemeldet sind.
    Jeder KI-Agent und jeder agentische Workflow muss über eine eigene eindeutige ACL verfügen.
    • Dient zum Konfigurieren einer ACL in KI-Agenten-Studio Informationen zu einem KI-Agenten finden Sie unter KI-Agenten erstellen Geführtes Setup.
    • Informationen zum Konfigurieren einer ACL für einen Agenten-Workflow finden Sie unter Agenten-Workflow erstellen Geführtes Setup.
    Hinweis:
    Wenn zwischen Agenten-Workflows, KI-Agenten und KI-Agenten-Tools in Konflikt stehende Sicherheitsanforderungen bestehen oder der aufrufende Anwender die Kriterien für einige ACLs erfüllt, aber nicht für andere, kann Ihre Agenten-KI nicht ausgeführt werden. Berücksichtigen Sie beim Konfigurieren dieser Sicherheitseinstellungen alle Aspekte des Agenten-Systems, einschließlich des Agenten-Workflows, KI-Agenten und Tools.

    Überwachter Ausführungsmodus für KI-Agenten

    Sie können die potenziellen negativen Auswirkungen eines KI-Agenten minimieren, der nicht wie erwartet ausgeführt wird, indem Sie die Tools von KI-Agenten so konfigurieren, dass sie im überwachten Modus ausgeführt werden. Dadurch wird die menschliche Aufsicht über die Aktionen des Tools sichergestellt. Sie können den überwachten Modus verwenden, um die Sicherheit für Service Desk-Mitarbeiter zu verbessern, die sensible oder kritische Aktionen ausführen können.

    Sie können den überwachten Ausführungsmodus festlegen, wenn Sie ein Tool im geführten Setup des KI-Agenten erstellen. Wählen Sie beispielsweise „überwacht“ als Ausführungsmodus aus, wenn Sie ein Katalogelement-Tool hinzufügen. Weitere Informationen finden Sie unter Fügen Sie einem KI-Agent ein Katalogelement hinzu.