Okta 發布 Secure AI 架構與 Cross-App Access 協定 鎖定企業 AI Agents 身份治理需求

隨著企業導入 AI Agents 的比例持續攀升，身份安全廠商 Okta 正式發布 Secure AI 架構，並同步推出專為 AI Agents 設計的 Cross-App Access（XAA）協定，協助企業將 AI Agents 納入既有身份治理體系，解決跨應用存取的權限管控難題。

根據產業調查，近八成企業已開始導入 AI Agents，且 88% 的高階主管預期未來一年將持續加碼投資。然而，當 AI Agents 逐步成為能自動執行任務的「數位勞動力」，企業卻普遍缺乏有效的身份識別與授權控管機制，使 AI Agents 可能演變為新一代 Shadow IT，帶來資料外洩、權限濫用及合規風險。

Secure AI 架構：將 AI Agents 納入身份管理核心

Okta Secure AI 架構的核心理念，是將 AI Agents 視為正式的數位身份，納入 Okta Platform 進行集中管理。透過 Universal Directory，企業可為每個 AI Agent 建立清楚的身份標示、賦予適當權限，並在必要時即時撤銷存取權。

Okta 指出，在 AI 時代，身份就是新的安全邊界。透過 Secure AI 架構，AI 不再是系統邊緣的黑盒子，而是像正式員工一樣，被納入可信任、可治理、可稽核的身份安全標準之中。這項設計讓 IT 團隊能清楚掌握哪些 AI Agents 正在連線、連線到哪些應用，以及存取了哪些資料與功能。

Cross-App Access 協定：補足 OAuth 與 MCP 的治理缺口

作為 Secure AI 架構的核心技術，Cross-App Access（XAA）是專為 AI Agents 打造的存取協定，能在應用程式與 AI Agents 之間建立可信任、可控且可稽核的連線機制。

Okta 說明，現行多數做法仍停留在零散或封閉式的權宜解法。OAuth（Open Authorization）並非為具備自主決策能力的 AI 行為所設計；MCP（Model Context Protocol）雖能提升 Agent 之間的可觀測性，卻不負責身份治理與授權控管。XAA 協定正是為了補上這個缺口，將「控制權與同意權」交還給 IT 管理者，為 AI Agents 建立專屬的身份安全基礎。

應用場景：內部 AI 助理的跨應用存取治理

在實際應用中，企業內部 AI 助理正成為員工日常工作的關鍵工具。員工下達指令後，AI 助理便能彙整會議內容、整理文件，甚至產出專案報告。然而，完成這些任務需要跨越多個企業核心應用，包括通訊平台、文件儲存系統及專案管理工具。

在缺乏統一治理機制下，跨應用存取往往仰賴個別授權與分散的存取權杖。員工須反覆登入並同意 AI 工具存取不同系統，使用體驗破碎，IT 團隊也難以掌握實際存取行為，AI 更可能成為「看不見的高權限使用者」。

透過 Secure AI 與 XAA 協定，AI 助理只需向 Okta 一次性請求跨應用存取權限，由 Okta 依據身份、政策與風險條件集中判斷是否授權。授權通過後，AI 助理即可在受控且可稽核的前提下與多個應用互動，所有行為皆留下完整紀錄。

在地觀點：奧登資訊強調身份治理決定 AI 導入成敗

Okta 台灣合作夥伴奧登資訊從實務經驗中觀察到，許多企業導入 AI 初期往往先追求效率，卻在後期才意識到治理與合規缺口。一旦 AI 被賦予過高的存取權限，便可能成為企業內部最具風險的「數位超級使用者」。

奧登資訊總經理洪志昇表示，Okta Secure AI 與 XAA 協定提供了可落地、可視化及可規模化的治理路徑。透過以身份為核心的設計，企業得以在兼顧創新速度的前提下，建立政策邊界、集中控管與稽核能力，讓 AI Agents 像正式員工一樣納入身份治理體系。

洪志昇強調，在 AI 成為企業核心勞動力的時代，身份治理將決定企業能走多快、也能走多遠。這正是奧登持續強調的原則：讓 AI 加速創新，但永遠不失控。