OIDC

与「OIDC」相关的文章

共 2 篇文章

成为前向部署工程师(FDE)需要了解的事项

本文是一篇成为Forward Deployed Engineer(FDE)的实践指南。FDE是由Palantir在21世纪初推广的工程角色,现扩展至Anduril、Snowflake、Databricks、Scale AI等AI基础设施公司,这些公司提供的FDE岗位基本年薪达18万至28万美元,显著高于普通软件工程师。FDE需要同时具备深厚的软件工程能力、企业安全与网络知识,以及将技术约束转化为业务方案的沟通能力。技术栈方面,FDE必须精通企业身份认证与身份管理,包括SAML 2.0、OIDC和SCIM协议,以实现与Microsoft Azure AD、Okta、Google Workspace等身份提供商集成;网络安全架构配置,如AWS VPC Peering、Transit Gateway、AWS PrivateLink、GCP Private Service Connect和mTLS,确保数据在私有网络中传输;数据管道设计,包含ETL、CDC模式和PII字段的哈希匿名化处理,以及通过JSON配置驱动的适配器中间件实现客户特定数据模式到公司标准模式的映射,避免将定制逻辑硬编码进核心产品。非技术层面,FDE需要掌握范围澄清、主动风险通报和高管级汇报等客户沟通技巧。FDE面试循环包含数据转换与集成脚本调试的编码轮、带安全约束的系统设计轮、客户故障诊断角色扮演以及跨职能协作评估。文章通过代码示例展示了安全增量数据同步和可配置适配器的实现方式。

dev.to
阅读全文

AI 工具网关:在 Kubernetes 中沙盒化 Agent 访问

本文提出了 AI 工具网关(AI Tool Gateway)的概念,用于在 Kubernetes 中为 AI 智能体提供沙箱化的工具访问控制。作者 Emre Cavunt 指出,当前平台团队大多聚焦于 AI 智能体的能力建设,而忽视了安全层面的威胁模型:AI 智能体的调用是非确定性的,工具调用参数由大语言模型生成,易受提示注入攻击,且能自主串联多个工具调用,默认爆炸半径无界。文章详细阐述了工具网关的七项核心功能:智能体身份认证、调用授权、参数校验与内容审查、速率限制、结构化审计日志、请求转发及结果净化。在 Kubernetes 实现层面,提供了两种方案:一是基于 Envoy Gateway 和 EnvoyProxy 的 BackendTrafficPolicy 资源,按 x-agent-id 请求头实施每智能体独立配额和全局速率限制;二是使用 FastAPI 构建专用网关服务,通过代码示例展示了工具白名单、智能体授权校验、速率限制(内存中)、危险模式屏蔽(如 rm -rf、DROP TABLE、os.system)以及 JSON 结构化审计日志。网络隔离方面,结合 Cilium NetworkPolicy 确保智能体 Pod 只能访问网关,无法直连工具服务,形成软件层和网络层的双重强制。可观测性方面,通过 Promtail 采集网关日志至 Loki 进行查询,并用 Prometheus 计数器与直方图监控工具调用次数与时长,设定 403 状态码告警规则以识别提示注入或权限越狱行为。文章最终强调,AI 智能体不是需要全新安全模型的计算类别,而是需要将最小权限、边界认证、速率限制、审计日志和网络隔离等已有原则系统性应用到新类型调用者上。平台团队应尽早构建网关,以便在生产环境中安全地部署 AI 智能体工作负载。

emrecavunt.com
阅读全文