Implementar controle de acesso em Now Assist Agentes de IA

  • Versão de lançamento: Australia
  • Atualizado 11 de set. de 2025
  • 4 min. de leitura

    • Implemente controles de segurança para agentes de IA e fluxos de trabalho agentivos por meio de listas de controle de acesso (ACLs) e identidades de usuário para aumentar o alinhamento com as medidas de segurança baseadas em controle de acesso no sistema agentivo.

    Visão geral da Segurança para agentes de IA

    Controles de acesso para IA agentiva no ServiceNow AI PlatformÉ composto por dois componentes principais: Listas de controle de acesso (ACLs) e identidades de usuário. A interação entre esses dois componentes nos níveis de fluxo de trabalho agentivo, agente de IA e ferramenta no Estúdio de agentes de IA influencia sua segurança e funcionalidade gerais.

    Listas de controle de acesso

    As listas de controle de acesso (ACLs) em Now Assist Os agentes de IA determinam os usuários que podem invocar um fluxo de trabalho agentivo ou um agente de IA. As ACLs devem ser configuradas individualmente para cada fluxo de trabalho agentivo, agente de IA e determinadas ferramentas de agente de IA.

    As ACLs adicionadas a um agente de IA e fluxo de trabalho agentivo estão disponíveis nas respectivas listas relacionadas para referência.

    Importante:
    ACLs configuradas em Estúdio de agentes de IA Determine somente as funções necessárias para que os usuários invoquem um fluxo de trabalho agentivo ou um agente de IA. Eles não determinam o acesso que o fluxo de trabalho do agente ou um agente de IA tem depois que é invocado.

    Identidade do usuário

    A identidade do usuário determina as funções com as quais o agente de IA ou um fluxo de trabalho agentivo opera e os dados que ele pode acessar, dependendo das permissões atribuídas ao .

    Após configurar as listas de controle de acesso (ACLs), você deve configurar a identidade do usuário (também chamada de Run as) Usando o qual o agente de IA ou o fluxo de trabalho agentivo é executado. Há duas configurações de usuário possíveis para selecionar:

    • Usuário dinâmico : O usuário conectado que invoca a execução de um agente de IA ou um fluxo de trabalho do agente de agente. Usuário dinâmico é a identidade de usuário padrão, e você pode usar o usuário dinâmico, a menos que haja uma necessidade específica que justifique um usuário de IA.
    • Usuário de IA : Um usuário dedicado que executa o agente de IA ou um fluxo de trabalho agentivo com funções atribuídas que permanecem consistentes, independentemente de quem ou como a execução é invocada. Por exemplo, um agente de IA ou um fluxo de trabalho agentivo pode precisar ser executado com privilégios elevados que o usuário dinâmico pode não ter.

    Se você não tiver um usuário de IA, mas quiser usar o. AI userIdentidade, você precisa criar um novo registro na tabela Usuário. Consulte Crie um usuário . Selecione AI usercomo o tipo de identidade.

    Nota:
    • Um usuário de IA pode ser configurado como parte da identidade do usuário e as identidades do usuário são configuradas nos níveis de fluxo de trabalho agentivo e agente de IA.
    • As ACLs são verificadas com o usuário conversacional real, um usuário que invocou o fluxo de trabalho agentivo ou o agente de IA. Quando a verificação de ACL estiver concluída, as identidades do usuário poderão ser aplicadas.

    Configure ACLs em Estúdio de agentes de IA

    ACLs configuradas no Estúdio de agentes de IA Para agentes de IA e fluxos de trabalho agentivos são baseados em função e são de dois tipos:
    • Se permitido : Concede acesso a dados ou recursos quando todas as condições especificadas na ACL são atendidas e a ACL não impede que outras ACLs concedam acesso ao mesmo recurso, mesmo que não o faça.
    • A menos que negar : Concede acesso somente quando as funções atendem a uma condição especificada e nenhuma outra ACLs pode substituir ou conceder acesso a esse recurso.

    Há três opções possíveis para ACLs criadas em Estúdio de agentes de IA:

    • Any authenticated user: Concede acesso a qualquer usuário autenticado na instância, independentemente da função.
    • Users with specified roles: A opção de ACL padrão que requer que você selecione as funções para invocar um agente de IA ou um fluxo de trabalho agentivo.
    • Public: Concede acesso a todos os usuários, incluindo convidados que não estão conectados.
    Cada agente de IA e fluxo de trabalho do agente de IA deve ter sua própria ACL exclusiva.
    Nota:
    Se houver requisitos de segurança conflitantes entre fluxos de trabalho agentivos, agentes de IA e ferramentas de agente de IA, ou se o usuário invocador atender aos critérios de algumas ACLs, mas não outras, sua IA agential não será executada. Ao definir essas configurações de segurança, considere todos os aspectos do sistema agentivo, incluindo o fluxo de trabalho agentivo, agentes de IA e ferramentas.

    Modo de execução supervisionada para agentes de IA

    Você pode minimizar o possível impacto negativo de um agente de IA não executar como esperado configurando as ferramentas dos agentes de IA para serem executadas no modo supervisionado. Isso garantirá a supervisão humana das ações da ferramenta. Você pode usar o modo supervisionado para aprimorar a segurança dos agentes com a capacidade de executar ações confidenciais ou críticas.

    Você pode definir o modo de execução supervisionada ao criar uma ferramenta na configuração assistida pelo agente de IA. Por exemplo, escolha Supervisionado como o Modo de execução ao adicionar uma ferramenta de item do catálogo. Para referência, consulte Adicione um item do catálogo a um agente com IA.