Okta将AI智能体安全管理扩展至Amazon Bedrock并向第三方身份提供商开放

身份与访问管理公司Okta近日宣布，将旗下"Okta for AI智能体"平台的覆盖范围进一步扩大，支持任意智能体生态系统、任意企业资源以及任意身份提供商，其中包括与亚马逊云服务Amazon Bedrock的全新集成，以及对非Okta身份系统的兼容支持。

此次扩展的核心定位，是帮助企业在不被单一厂商生态系统绑定的前提下，实现对AI智能体的发现、接入、保护与治理。Okta指出，企业目前已在多个构建平台和资源类型上部署智能体，而绑定封闭生态的身份提供商往往会在可见性和控制层面留下漏洞。

Okta首席产品官Ely Kahn表示："智能体化企业的现实，无法整齐地嵌入某一家厂商的生态体系。'Okta for AI智能体'是唯一一个为这一现实而生的平台，覆盖智能体从发现、接入、保护到治理的完整生命周期，同时满足客户的多样化需求。"

与Amazon Bedrock的集成，允许团队为基于Bedrock构建的智能体分配专属身份、绑定人工责任人，并在大规模部署中强制执行访问策略。具体能力包括：通过监控Google Chrome等受管浏览器上的OAuth授权记录来发现影子智能体；通过Okta集成网络将Bedrock智能体直接导入Okta；以及建立一套注册表机制，将每个智能体视为具有基础安全策略的一级身份实体。

管理员还可以定义Bedrock智能体可访问的资源范围、所使用的身份验证方式以及所获得的权限范围。平台提供一键关闭开关，可在智能体出现异常行为时立即将其停用，同时系统日志会记录每一次工具调用和授权决策，并支持将日志流式传输至安全信息与事件管理（SIEM）系统。

原本专属于人工身份治理的用户访问申请与认证流程，如今也延伸覆盖至智能体。相关工作流程可自动处理用户访问基于Bedrock构建的智能体的请求，并要求定期对访问权限进行复核认证。

除Bedrock之外，平台还支持从Salesforce的Agentforce和ServiceNow的AI平台导入智能体并纳入治理体系。针对DataRobot、Boomi、Glean Technologies、谷歌云Vertex AI以及Workday的集成也即将推出。

本次发布的第二项内容，是将"Okta for AI智能体"向使用其他身份提供商管理员工身份的客户开放。使用微软Entra ID、Ping Identity或其他系统作为人员身份记录系统的企业，可以在现有基础设施不变的情况下，叠加部署Okta专门用于管理智能体身份，无需推倒重来。

Okta将这一能力定位为统一的智能体身份控制面，横跨SaaS应用、API接口、模型上下文协议（MCP）服务器、服务账户及密钥管理。这一定位契合业界普遍关注的一个问题：智能体的无序扩张，与此前服务账户和机器人等非人类身份泛滥的历史如出一辙，若不提前纳入治理框架，将难以管控。

此次发布是Okta推出"Okta for AI智能体"系列举措的延续，也反映出身份管理行业正积极将智能体身份塑造为独立的产品类别，而非仅仅作为员工身份或客户身份产品的延伸。

Q&A

Q1：Okta for AI智能体平台主要解决什么问题？

A：该平台主要解决企业在多云、多平台环境下对AI智能体的身份管理和安全治理问题。企业在不同平台部署了大量智能体，传统绑定单一生态的身份提供商无法全面覆盖，容易出现可见性和控制上的漏洞。Okta通过统一的控制面，支持智能体的发现、接入、权限管控和全生命周期治理，帮助企业避免智能体身份失控的风险。

Q2：Amazon Bedrock与Okta的集成具体有哪些功能？

A：集成后，团队可为Bedrock构建的智能体分配专属身份并绑定责任人，支持通过OAuth监控发现未登记的影子智能体，可直接将Bedrock智能体导入Okta注册表并赋予基础安全策略。管理员能够定义智能体可访问的资源和权限范围，并可一键关闭异常智能体。所有工具调用和授权操作均有日志记录，支持接入SIEM系统进行安全审计。

Q3：企业已有微软Entra ID等身份系统，还能使用Okta for AI智能体吗？

A：可以。Okta此次更新明确支持非Okta身份系统的企业接入。使用微软Entra ID、Ping Identity等系统管理员工身份的企业，无需替换现有基础设施，可直接在其上叠加部署Okta，专门用于管理AI智能体的身份，实现人员身份与智能体身份的分层管理。