AI Agent 连接器离职交接怎么处理:OAuth 授权、共享邮箱和机器人账号的撤权清单

Written by

in

很多团队会在员工离职时禁用 SSO 账号,却忽略了此前授权给 AI Agent 的连接器:日历、邮件、云盘、工单或代码仓库可能仍保留刷新令牌;后台任务也可能继续以该用户身份运行。问题不在于“有没有删账号”,而在于能否列出所有代表该身份访问外部资源的路径。

建立身份到连接器的反向索引

每个连接器都应记录授权主体、资源、scope、创建时间、最近使用时间、Owner 和任务引用。不要把连接器仅保存在某个 Agent 配置里,否则人员变动时只能人工翻找。共享邮箱和机器人账号应有独立 Owner,避免把团队能力绑在某位员工的个人 OAuth 授权上。

离职、调岗和供应商切换是三种不同事件

离职通常要求立即撤销个人令牌、停止代表其执行的任务;调岗可能只需缩小 scope 或转移审批人;供应商切换则要同时撤销旧端连接、确认数据导出范围并清理缓存。把三种事件都当作“删除账号”,容易误伤业务或留下残余授权。

后台任务如何安全接管

任务不能在失去原主体后悄悄改用管理员令牌继续跑。更稳妥的做法是暂停、通知新 Owner、重新审批目标与权限,再以服务身份或新授权恢复。对于写操作,恢复前应展示待执行队列和影响范围,防止交接期间重复发送或错误修改。

审计与验证

通过 top-api.cc 统一管理多模型与工具连接时,可按主体查看连接器、令牌指纹和最后一次工具调用,快速完成撤权核查。核查结果应包括撤销 API 的返回、后台任务状态、缓存清理记录和复测失败证据,而不是一句“已处理”。

最小清单

  • 身份禁用触发连接器枚举与告警;
  • 刷新令牌、会话缓存和代理凭证分别撤销;
  • 共享资源迁移到可管理的服务身份;
  • 后台任务暂停并由新 Owner 重新确认;
  • 30 天内复查是否仍出现旧主体的访问日志。

把撤权设计成可重复执行的流程,才能在人员和工具都高速变化时保持权限边界清晰。

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *