Kimlik yaşam döngüsü yönetimi (ILM), onlarca yıldır insan çalışanların işe alım, rol değişikliği ve işten ayrılma süreçlerini otomatikleştirmek için tasarlandı. Bu sistem, İK platformlarındaki kayıtlara dayanarak çalışır: yeni bir çalışan eklendiğinde yetkiler otomatik olarak atanır, departman değişikliğinde roller güncellenir ve işten ayrılma durumunda tüm erişimler iptal edilir. Ancak AI ajanları, bu modelin temel varsayımlarını tamamen altüst ediyor: onların İK kaydı, yöneticisi veya önceden tanımlı bir ayrılış tarihi yok. Bu nedenle, geleneksel IGA araçları bu yeni nesil dijital varlıkları yönetmekte yetersiz kalıyor.
AI ajanları, genellikle mühendisler tarafından yapılandırma dosyaları, API çağrıları veya orkestrasyon platformları (LangChain, AutoGen, AWS Bedrock Agents gibi) aracılığıyla oluşturulur. Bu süreçler, IGA platformuna hiçbir bildirim göndermez; dolayısıyla ajanlar, elle oluşturulmuş servis hesapları veya API anahtarlarıyla sisteme sızarlar. Oysa bu ajanlar, statik birer makine kimliği değil; API sınırlarını aşan, araç çağrıları yapan ve bağlamına göre erişimini genişleten otonom varlıklardır. Geleneksel kimlik yönetimi, bu dinamik davranışı izleyemez veya denetleyemez.
Rol tabanlı erişim kontrolü (RBAC), insanların sabit iş fonksiyonlarına dayanır. Bir muhasebeci belirli sistemlere, bir veritabanı yöneticisi başka sistemlere erişir. AI ajanları ise sabit sınırlar içinde çalışmaz; örneğin, dahili belgeleri özetlemek üzere eğitilmiş bir ajan, RAG veya araç çağrıları yoluyla yetkisiz API'lere erişebilir, çıktıları farklı depolara yazabilir veya zincirleme eylemlerle kapsamını genişletebilir. Bu durum, geleneksel IGA'nın denetim mekanizmalarını (erişim sertifikasyonu, görev ayrılığı kontrolleri) işlevsiz hale getirir.
Peki, AI ajanlarını kimlik yönetimine dahil etmek için ne yapılmalı? İlk adım, ajanların oluşturulma anından itibaren bir kimlik kaydı oluşturmak ve bunu IGA platformuna entegre etmek. Bunun için, CI/CD hatlarına veya orkestrasyon platformlarına IGA bağlayıcıları eklenmeli. İkinci olarak, ajanların dinamik erişim desenlerini izlemek için davranışsal analitik kullanılmalı. Son olarak, ajanlara en az ayrıcalık ilkesiyle geçici ve bağlam bazlı yetkiler verilmeli; böylece bir ajanın gereksiz yere geniş yetkilere sahip olması engellenmeli. Bu adımlar, kurumların AI ajanlarını güvenli bir şekilde yönetmesini sağlayabilir.