繁體中文(台灣)
  • 模仿
  • ai
  • 認證
  • 授權

什麼是網路安全和身份管理中的模仿?AI 代理如何使用它?

了解模仿在網路安全和身份管理中的應用,及 AI 代理如何利用此功能。

Guamian
Guamian
Product & Design

不要在使用者認證上浪費數週時間
使用 Logto 更快地發布安全應用程式。幾分鐘內整合使用者認證,專注於您的核心產品。
立即開始
Product screenshot

模仿是一個 Logto 的內建功能,在本文中,我們將解釋什麼是模仿以及何時可以使用它。隨著 AI 代理在 2025 年變得越來越普遍,我們看到更多涉及網路安全和身份管理的模仿使用案例。

認證和授權中的模仿是什麼?

在認證和授權領域中,模仿是系統或用戶暫時假裝為另一個用戶的身份,以替他們執行一些行動。這通常在獲得適當的授權後進行,與身份盜竊或惡意模仿不同。

一個常見的例子是,當你在帳戶中遇到問題並電郵給客戶服務團隊求助時,他們會代表你檢查帳戶以排查問題。

模仿如何運作

模仿流程通常涉及幾個典型步驟。

  1. 請求許可:模仿者(如管理員或 AI 代理)請求代表用戶行動的許可。
  2. 令牌交換:系統驗證請求並交換令牌,授予模仿者必要的權限。
  3. 代表用戶行動:模仿者代表用戶執行行動(如更新設置、排查故障)。

模仿者然後可以執行行動或訪問資源,就像他們是被模仿的用戶一樣。

模仿的有效使用例有哪些?

客戶支持

就像上面提到的,在客戶支持場景中,模仿允許支持代理或管理員訪問用戶帳戶,以診斷和解決問題而不需要用戶的憑據。

這裡有一些例子

  1. 排查故障:管理員模仿用戶以重現報告的問題並了解發生了什麼。
  2. 帳戶恢復:管理員更新用戶的資料或代表他們重置設置。
  3. 訂閱管理:帳務支持代理通過直接訪問用戶的帳戶來修正訂閱錯誤。

AI 代理

AI 代理可以利用模仿代表用戶行動,自動執行任務或協助工作流程。隨著 AI 更加參與商業流程,模仿在實現自主行動的同時確保身份安全和訪問控制方面發揮了關鍵作用。

這裡有一些例子

  1. 虛擬助手:AI 代理代表用戶安排會議和發送日曆邀請。
  2. 自動回應:AI 聊天機器人回應客戶詢問並使用支持代理的資料直接解決問題。
  3. 任務自動化:AI 助手更新項目管理板或提交報告代表用戶。例如,更新工單狀態(如從“進行中”到“已完成”)。使用管理員的資料發佈評論或反饋。

審核與測試

模仿還常用於審計、測試和質量保證目的。通過模仿不同角色,管理員或測試員可以檢查用戶體驗、工作流程和權限,以確保系統性能和質量。

這裡有一些例子

  1. 角色測試:管理員模仿不同的用戶角色(如管理者、員工或訪客)來檢查訪問控制並確保每個角色有正確的權限訪問合適的資源。
  2. 工作流測試:QA 工程師模擬不同用戶資料的交易以測試系統行為。
  3. 安全審計:審計員模仿用戶以驗證敏感行動會觸發適當的警報或需要多因素認證 (MFA)。

授權訪問

授權訪問允許用戶代表另一個用戶執行行動,通常在企業和團隊協作環境中看到。此用例與典型的模仿不同,因為操作員和委託人身份均被保留。

這裡有一些例子

  1. 管理者批准:管理者代表團隊成員提交工時單或費用報告。
  2. 團隊協作:助理安排會議或從高管的帳戶發送郵件。
  3. 企業工作流程:HR 代表無需員工密碼即可更新員工紀錄。

要實現模仿,需要考慮的安全問題有哪些

模仿允許用戶在系統中暫時替他人行動,這賦予了他們巨大的權力和控制能力。因此,必須考慮多個安全因素以防止濫用。

詳細的審計記錄

記錄每個模仿行為,包括誰做的、做了什麼、何時發生、在何處發生。確保日誌顯示模仿者和被模仿的用戶。安全地儲存日誌,設定合理的保留期限,並啟用任何異常活動的警報。

基於角色的訪問控制 (RBAC)

只允許授權角色(如支持代理)進行模仿。限制模仿範圍(如支持代理只能模仿客戶而非管理員)。遵守最小特權原則並定期審查權限以保持安全。

同意和通知

有時,流程應包含同意和通知。例如:

  1. 模仿前:請求用戶批准進行敏感行動。
  2. 模仿後:通知用戶所做的具體內容。
  3. 對於敏感行業(如醫療、金融),同意是必需的。

AI 代理在認證和授權中使用模仿的用例

隨著 AI 代理在 2025 年變得更加普遍,模仿越來越多地用於讓代理代表用戶行動,同時保持安全性和問責制。

這裡有一些實際的用例:

AI 客戶支持代理

情景:用戶通過聊天聯繫支持以解決帳戶問題。 AI 代理訪問他們的帳戶而不需要用戶的密碼。

它是如何運作的,並且如何設計?

  1. OIDC/OAuth 流程:AI 代理請求允許模仿用戶以更新他們的信息。它使用交換的令牌來訪問用戶的資料並進行更改。
  2. 日誌記錄:行動被記錄在用戶名下,但標記為由 AI 代理執行。
  3. 限制範圍:代理的權限被限制在特定的行動(如重置密碼但不查看敏感付款數據)。

Diagram 1.png

賬戶監控的 AI 安全代理

情景:AI 代理監控用戶會話並自動鎖定受損賬戶。

它是如何運作的,並且如何設計?

  1. 代理具有**“管理員模仿”**權限來檢查並終止可疑會話。
  2. 如果檢測到風險,它會模仿安全團隊來鎖定帳戶並通知用戶。
  3. 所有行動都記錄下來,並標記為代理的身份以便於審計。

Diagram 2.png

為團隊提供工作流程自動化的 AI

情景:在一個項目管理工具中,AI 代理自動分配任務並更新狀態,代表團隊成員行動。

它是如何運作的,並且如何設計?

  1. AI 自動化工作流程可以模仿項目管理者來在正確的用戶名下更新工單。
  2. 代理不能訪問未經授權的區域(如私有板)由於嚴格的RBAC

Diagram 3.png

構建模仿的安全最佳實踐

根據上述場景,這裡有一些設計考量來達成這些目標。

  1. 令牌範圍:使用限制範圍。確保定義和限制訪問令牌可以授權的行動或資源。
  2. 自定義聲明:這對於為模仿過程添加額外的上下文或元數據很有幫助,例如模仿的理由或相關支持票。
  3. 基於角色的訪問控制 (RBAC):僅允許某些角色(如支持代理)模仿用戶,並根據角色的需要限制範圍。
  4. 詳細日誌:記錄所有模仿行動,包括誰執行了它們和什麼事情,以確保問責性和可追溯性。
  5. 同意管理:在進行模仿時通知用戶並給他們選擇批准或撤銷訪問的選擇。

Logto 如何實現模仿?

Logto 通過其管理 API 支援模仿。

查看這篇 指南 - 用戶模仿 以獲取更多細節。 Logto 還提供了將模仿整合在內的額外功能,支持現實世界的產品場景。

功能描述文件鏈接
基於角色的訪問控制根據角色分配用戶權限https://docs.logto.io/authorization/role-based-access-control
自定義令牌聲明把自定義聲明加到訪問令牌中。https://docs.logto.io/developers/custom-token-claims
審計日誌輕鬆監控用戶活動和事件。https://docs.logto.io/developers/audit-logs