Tożsamość agenta to odrębna kategoria tożsamości cyfrowej — obok konta człowieka i konta serwisowego — nadawana agentowi AI w firmowym katalogu, tak by każde jego działanie było przypisane do niego samego, a nie do skryptu, aplikacji czy pracownika, który go uruchomił.
We wstępie do huba postawiliśmy tezę, że Agentic Enterprise rozstrzyga się w warstwie tożsamości, nie modeli. Ta strona wyjaśnia, dlaczego — i czemu dwie kategorie kont, którymi IT posługuje się od dwudziestu lat, przestają wystarczać.
Trzy pytania, na które musi odpowiadać każde konto
Zanim porównamy rodzaje kont, ustalmy, po co konta w ogóle istnieją. Każdy system tożsamości odpowiada na trzy pytania:
Kto to jest? (uwierzytelnienie — czy podmiot jest tym, za kogo się podaje) Co mu wolno? (autoryzacja — jakie ma uprawnienia) Co zrobił? (rozliczalność — czyj ślad widnieje w logach)
Przez dwadzieścia lat te pytania miały dwa komplety odpowiedzi: jeden dla ludzi, drugi dla maszyn. Agent AI psuje ten podział, bo na każde z trzech pytań odpowiada inaczej niż obie dotychczasowe kategorie.
Konto człowieka, konto serwisowe, konto agenta — porównanie
Konto człowieka należy do osoby, która podejmuje decyzje i za nie odpowiada. Ma hasło, MFA, przechodzi onboarding i offboarding w rytmie zatrudnienia. Jego uprawnienia wynikają z roli w organizacji. Gdy człowiek zrobi coś złego, wiadomo, kogo zapytać dlaczego.
Konto serwisowe (i jego kuzyni: klucz API, service principal, konto aplikacji) należy do programu, który robi zawsze to samo. Backup o trzeciej w nocy, synchronizacja danych między systemami, wysyłka faktur. Jego zachowanie jest w pełni przewidywalne, bo zostało zaprogramowane — jeśli konto serwisowe nagle robi coś nowego, to niemal na pewno incydent bezpieczeństwa. Nie potrzebuje nadzoru nad decyzjami, bo żadnych nie podejmuje; potrzebuje tylko pilnowania, czy nikt go nie ukradł.
Agent nie pasuje do żadnej z tych rubryk:
Od konta serwisowego różni go to, że podejmuje decyzje, których nikt nie zaprogramował wprost. Agent od obsługi zgłoszeń sam decyduje, komu odpisać, co odpisać i kiedy eskalować. Jego „nowe zachowanie” nie jest sygnałem włamania — jest normalnym trybem pracy. To unieważnia całą logikę nadzoru nad kontami serwisowymi, opartą na wykrywaniu odstępstw od zaprogramowanego wzorca.
Od konta człowieka różni go to, że nie ponosi odpowiedzialności i nie ma jednego ciała przy klawiaturze. Agent może działać w stu wątkach równolegle, o każdej porze, może zostać sklonowany, zatrzymany i wznowiony. MFA na telefon nie ma sensu, rozmowa dyscyplinująca też nie. Odpowiedzialność musi być przypisana do człowieka-właściciela — ale działania do agenta, bo inaczej logi kłamią.
I stąd trzecia kategoria: tożsamość agenta. Konto, które łączy rozliczalność maszynową (każde działanie podpisane tożsamością agenta, nie właściciela) z nadzorem quasi-ludzkim (właściciel, przegląd uprawnień, cykl życia) — i które katalog tożsamości rozpoznaje jako odrębny typ, z własnymi politykami.
Grzech pierworodny: agent na koncie człowieka
Zanim ta trzecia kategoria stała się produktem, organizacje radziły sobie prowizorką — i ta prowizorka jest dziś najczęstszym stanem faktycznym: agent działa na danych logowania pracownika, który go skonfigurował.
Konsekwencje układają się w kaskadę. Agent dziedziczy wszystkie uprawnienia człowieka — także te, których do zadania nie potrzebuje (przeczytaj: agent od raportów ma dostęp do kadr, bo jego właściciel ma). W logach działania agenta i człowieka są nierozróżnialne — gdy o 2:14 w nocy ktoś pobrał eksport bazy klientów, nie wiadomo, czy to Kowalski, czy jego agent, czy ktoś, kto przejął agenta. A gdy Kowalski odchodzi z firmy i jego konto zostaje wyłączone — agent umiera razem z nim, często odkrywany dopiero wtedy, gdy przestaje działać proces, o którym nikt nie pamiętał, że na nim wisi.
Każdy z tych trzech problemów z osobna wystarcza jako argument za odrębną tożsamością. Razem tworzą sytuację, w której organizacja nie umie odpowiedzieć na żadne z trzech pytań z początku tej strony.
Jak to rozwiązuje rynek — Entra Agent ID jako studium przypadku
Microsoft rozwiązuje to najprościej, jak można: dodając do Entra ID (katalogu, w którym korporacje trzymają tożsamości ludzi) trzeci typ obiektu — tożsamość agenta. Agent tworzony w narzędziach Microsoftu dostaje wpis w katalogu automatycznie, z chwilą powstania; agenci spoza ekosystemu mogą być rejestrowani. Dzięki temu istniejąca maszyneria — polityki dostępu warunkowego, przeglądy uprawnień, wykrywanie anomalii, procesy offboardingu — obejmuje agentów bez budowania równoległego świata.
To jest sedno przewagi, o której pisaliśmy we wstępie huba: nie jakość modeli, lecz fakt, że agenci dostają konta tam, gdzie konta już są. Analogiczne podejście — tożsamość agenta jako obywatel pierwszej kategorii w istniejącym systemie IAM — rozwija Okta i pozostali gracze warstwy tożsamości; różnią się punktem wyjścia (czyj katalog już masz), nie ideą.
Warto przy tym uczciwie zaznaczyć granice: nadanie agentowi tożsamości rozwiązuje pytania „kto” i „co mu wolno”. Nie rozwiązuje pytania, czy jego decyzje są dobre — to domena ewaluacji i observability, którą opisaliśmy w anatomii agenta, i która w Agentic Enterprise staje się obowiązkiem organizacji, nie tylko dobrą praktyką twórcy.
Co z tego wynika w praktyce — trzy zasady na start
Zasada 1: żaden agent na ludzkich danych logowania. To linia, od której zaczyna się porządek. Jeśli dziś nie stać Cię (organizacyjnie) na nic więcej, wyegzekwuj chociaż to — każdy agent na własnym koncie, nawet jeśli na razie jest to „tylko” konto serwisowe z dobrym opisem.
Zasada 2: uprawnienia od zera, nie od pełni. Agent zaczyna bez dostępów i dostaje kolejne w miarę potrzeby zadania — nie odwrotnie. Dziedziczenie pełnych uprawnień właściciela „bo tak szybciej” to dokładnie ten mechanizm, który produkuje agenta od raportów z dostępem do kadr.
Zasada 3: tożsamość ma metadane. Konto agenta powinno nieść ze sobą: kto jest właścicielem, do czego agent służy, kiedy powstał i kiedy podlega przeglądowi. Konto bez tych informacji to przyszły agent sprawl — a stąd już blisko do shadow agents, którym poświęcimy osobną stronę.
Tożsamość to fundament, ale dopiero pierwszy z pięciu — o tym, jak zarządzać nie jednym agentem, lecz flotą, oraz kto odpowiada, gdy agent popełni błąd, w kolejnych gałęziach huba.











