JML Agent Fleet 导读

本文介绍的JML Agent Fleet是一个开源的企业级身份生命周期自动化项目，基于多智能体架构，利用7个Claude驱动的AI智能体实现Joiner/Mover/Leaver全流程自动化。该系统具备零信任架构、UEBA行为分析、漂移检测等高级安全特性，可替代SailPoint和Saviynt等传统IGA平台的核心功能，旨在通过自动化和智能化手段革新企业身份生命周期管理。

项目背景与核心挑战

现代企业IT环境中，员工身份管理涉及入职（Joiner）、岗位变动（Mover）、离职（Leaver）等环节的大量繁琐操作（如创建账户、分配许可证、管理权限等）。传统依赖人工或昂贵商业IGA平台（如SailPoint、Saviynt）的方式，存在成本高、难以适应业务快速变化的问题。

JML Agent Fleet作为开源解决方案应运而生，通过AI智能体架构实现全流程自动化，同时内置企业级安全控制与审计机制，以解决上述挑战。

系统架构与智能体设计

多智能体协作架构

系统包含7个各司其职的Claude驱动智能体：

• Joiner智能体：处理新员工入职，创建Entra ID账户、分配许可证等；
• Mover智能体：处理岗位变动，更新用户属性、调整权限；
• Leaver智能体：分阶段处理离职（软离职→硬离职），含双重审批；
• Enroller智能体：设备注册与合规群组分配；
• Approver智能体：人机协同审批，提供风险评分与RBAC；
• Provisioner智能体：应用注册，默认禁用、按需启用；
• Auditor智能体：持续监控审计，执行UEBA、漂移检测等。

零信任安全架构

• 风险评分引擎（0-100分）：综合基线风险、冻结窗口、敏感权限等因素；
• SoD策略引擎：通过sod-policy.json检测并阻止违规操作；
• PIM for Groups：特权群组即时激活，权限有时间限制；
• 双重审批：高风险操作需第二个操作员30分钟内审批。

技术实现与集成能力

Microsoft Graph API深度集成

通过Graph API与Microsoft 365/Entra ID集成，支持账户管理、许可证分配、群组操作、会话撤销等，所有操作通过ticketRef追踪（离职操作需关联票据）。

智能推荐与决策支持

• Peer-Group推荐：分析同部门员工配置，推荐权限组合并提供置信度；
• UEBA行为分析：监控非工作时间操作、高频变更等6类异常；
• 漂移检测：定期对比当前状态与基线，识别未授权变更。

企业集成与可观测性

• HRIS集成：通过Azure Functions接入BambooHR等，自动触发工作流；
• 审计合规：哈希链式日志，支持多渠道导出（Windows事件日志、Sentinel等）；
• 通知机制：Teams消息卡片实时告警关键操作。

桌面操作控制台

项目提供Electron桌面应用，包含以下模块：

• Dashboard：智能体健康状态总览；
• JML Fleet：对话式提交JML/设备注册操作；
• Auditor：审计日志查询与报告生成；
• Security：实时UEBA、漂移检测等发现；
• Exports：存储与Sentinel导出状态管理；
• Approvals：待处理双重审批令牌；
• Operations：直接操作调度；
• Access Reviews：权限认证活动管理；
• Integrations：HRIS、通知等配置。

实践价值与应用前景

替代传统IGA平台

开源AI方案替代昂贵商业软件，具备更强灵活性与可定制性，可实现SailPoint/Saviynt核心功能。

降低运维成本

自动化后入职流程从30-60分钟缩短至几分钟，错误率大幅降低。

提升安全合规

内置UEBA、漂移检测、SoD等机制，帮助满足SOX、GDPR等合规要求。

推动AI落地

证明LLM可胜任复杂业务逻辑处理，为AI在企业IT运维中的应用提供实践案例。

总结与展望

JML Agent Fleet代表企业身份管理的技术演进方向：从人工→规则自动化→AI智能体驱动。其多智能体架构、零信任设计、Microsoft生态集成，为同类项目提供参考。

未来，更多企业IT管理场景将采用智能体架构，实现高效、安全的运维。对于希望降低IGA成本、提升身份管理效率的企业，JML Agent Fleet是值得尝试的开源方案。