تقوم أنظمة إدارة دورة الهوية التقليدية على فرضية أساسية: كل هوية مرتبطة بإنسان له سجل وظيفي، مدير مباشر، وتاريخ مغادرة محدد. لكن مع انتشار الوكلاء الذكاء الاصطناعي داخل بيئات المؤسسات، يظهر خلل هيكلي في النموذج، إذ لا يملك هؤلاء الوكلاء سجلات موارد بشرية أو علاقات تنظيمية، ما يجعل أدوات الحوكمة الرقمية عاجزة عن رصدهم أو ضبط صلاحياتهم.
النموذج البشري يعتمد على أحداث محددة: انضمام موظف جديد، انتقاله إلى قسم آخر، أو مغادرته المؤسسة. هذه الأحداث تولد إشارات واضحة تُغذي أنظمة الحوكمة وتُفعّل عمليات التزويد أو الإلغاء. أما الوكلاء الآليون فيدخلون الإنتاج عبر منصات تطوير أو خطوط نشر آلية، حاملين بيانات اعتماد جاهزة دون أي سجل حوكمي أو موافقة إدارية.
أين يفشل النموذج التقليدي أمام الوكلاء الآليين
- غياب المصدر الموثوق: الموظف يُسجل عبر نظام الموارد البشرية، بينما الوكيل يُنشأ عبر ملف إعداد أو استدعاء API، دون أي ارتباط بمنصة IGA.
- نطاق ديناميكي: الموظف يُحدد دوره مسبقًا، أما الوكيل فيوسع نطاق وصوله أثناء التشغيل، فيستدعي واجهات لم تُحدد مسبقًا أو يكتب بيانات في أنظمة خارج صلاحياته الأصلية.
- تعدد البيئات: هوية بشرية تعمل في مكان واحد، بينما الوكيل يمكن أن يُشغّل عشرات النسخ المتوازية عبر السحابة والحاويات وواجهات SaaS، ما يعقد المشهد ويضاعف المخاطر.
- غياب إشارات الانضمام أو المغادرة: لا توجد أحداث “Joiner” أو “Leaver” للوكلاء، ما يعني أن بيانات اعتمادهم تبقى فعالة حتى بعد توقفهم عن العمل، مولدة مسارات وصول غير مُراقبة.
مخاطر عملية في التزويد والمراجعة والإلغاء
- التزويد المفرط: الوكلاء غالبًا يُمنحون صلاحيات واسعة لضمان نجاح المهمة، ما يجعل الإفراط في الصلاحيات نقطة انطلاق طبيعية.
- مراجعات بلا جدوى: حملات المراجعة تعتمد على علاقة مدير-موظف، بينما الوكلاء بلا مالك بشري واضح، ما يجعل الشهادات شكلية بلا قيمة تشغيلية.
- إلغاء غير موجود: عند مغادرة موظف، تُغلق صلاحياته تلقائيًا. أما الوكلاء، فبيانات اعتمادهم تبقى نشطة في مديري الأسرار أو خوادم OAuth حتى بعد تقاعدهم، مولدة ثغرات أمنية خطيرة.
كيف يمكن تمديد الحوكمة لتشمل الوكلاء الآليين
- اكتشاف آلي مستمر: يجب رصد الهويات عبر أنظمة IAM السحابية، خوادم OAuth، حسابات Kubernetes، ومديري الأسرار، لأن الوكلاء يظهرون في أماكن لا تغطيها أدوات IGA التقليدية.
- نمذجة سمات جديدة: بدلًا من “الوظيفة والقسم”، يجب تحديد الفريق المالك، الغرض التشغيلي، الأنظمة المصرح بها، وتاريخ النشر، إضافة إلى مراقبة السلوك الفعلي للوكلاء.
- تزويد قائم على السياسات: منح أقل قدر من الصلاحيات اللازمة، وربط بيانات الاعتماد بمالك محدد يتحمل مسؤولية أي توسع في النطاق.
- مراقبة سلوكية مستمرة: بدلًا من مراجعات دورية، يجب تتبع استدعاءات الوكلاء في الزمن الحقيقي، ورصد أي انحراف عن الصلاحيات الممنوحة.
- إلغاء مرتبط بالحالة التشغيلية: ربط إلغاء بيانات الاعتماد بمؤشرات النشاط، مثل توقف استخدام مفتاح API لفترة محددة، مع تفعيل إجراءات إلغاء تلقائية.
دور Orchid Security في سد الفجوة
منصة Orchid Security تقدم مقاربة عملية عبر:
- اكتشاف مستمر للهويات غير المُدارة.
- رسم “رسم بياني للهوية” يربط كل وكيل بمالكه وصلاحياته وسلوكه.
- تطبيق ضوابط قائمة على السياسات، ومراقبة الانحرافات السلوكية، وإلغاء بيانات الاعتماد عند توقف النشاط.
بهذا، تتحول إدارة دورة الهوية من نموذج بشري جامد إلى منظومة قادرة على استيعاب واقع الوكلاء الآليين الذين يوسعون سطح الهجوم المؤسسي بشكل غير مسبوق.






























