Inicio/Blog/Agentes en SaaS Arquitectura SaaSAgentes de IA en paneles administrativos de SaaS
Un agente que resume una cuenta es una función de producto. Un agente que modifica facturación, cierra tickets, exporta informes o desactiva usuarios es un operador privilegiado. El backend debe tratarlo como tal.
Publicado el 18 de jun. de 202614 min de lecturaOperaciones Delegadas
No entregues al agente una sesión administrativa reutilizable
El camino más corto también es el peor modelo de seguridad: dejar que el agente herede una cookie humana o credencial amplia y llame las mismas APIs internas del panel. Eso mezcla autoridad del usuario, identidad del agente, límite del tenant, intención y aprobación en un único bearer secret.
El agente debe ser un principal de primera clase. Cada acción debe conservar quién delegó y qué agente actuó, junto con tenant, objeto, operación, límites, expiración y contexto. OAuth Token Exchange aporta semántica de delegación y actor; Rich Authorization Requests permite expresar detalles estructurados y finos más allá de scopes genéricos.
Identidad¿Qué usuario delegó, qué instancia de agente actúa y qué tenant posee los objetos?
Intención¿Qué resultado se pidió, qué plan exacto se aprobó y cuándo expira la autoridad?
Política¿Qué acciones, objetos, importes, campos, destinos y tasas están permitidos?
Evidencia¿Qué entradas, decisiones, aprobaciones, llamadas, resultados y compensaciones explican el estado final?
Separa planificación probabilística de ejecución determinista
El modelo puede interpretar intención y proponer un plan. No debe ser la autoridad final para decidir si una etapa está permitida. Convierte la propuesta en operaciones tipadas como draft_reply, issue_credit, disable_user o export_report. Valida schemas, resuelve IDs en servidor y pasa cada etapa por autorización y política conscientes del tenant.
Las herramientas deben exponer comandos de negocio estrechos, no acceso bruto a base de datos ni una función de “llamar cualquier API”. Prompt injection puede influir una propuesta, pero no debe fabricar permiso. OWASP describe excessive agency y riesgos agentic porque herramientas poderosas, permisos amplios y autonomía ambigua se multiplican.
Ejecución de agente vinculada a aprobación01 SolicitarIntención del usuarioCaptura actor, tenant, objetivo, objetos fuente, plazos y restricciones explícitas.
02 ProponerPlan tipado y previewResuelve objetivos, muestra cambios por campo, impacto financiero, destinatarios y efectos.
03 DecidirAutorización y políticaVerifica usuario, agente, tenant, relaciones, condiciones, riesgo, límites y segregación.
04 AprobarDecisión humanaVincula aprobación al hash del plan, alcance, importe, objetivos, aprobador, expiración y quorum.
05 DelegarCredencial por tareaEmite autoridad breve solo para operaciones aprobadas, conservando sujeto y actor.
06 EjecutarWorkflow duraderoEjecuta pasos idempotentes, reintentos, timers, callbacks, rate limits y compensaciones.
07 VerificarPoscondicionesLee estado autoritativo, detecta resultados parciales, compara con el plan y reconcilia.
08 ExplicarAuditoría y recursoPresenta evidencia, cambios, fallos, overrides, rollback y responsable del seguimiento.
La aprobación debe autorizar un cambio concreto
Un diálogo que dice “¿Permitir que el agente gestione facturación?” no es aprobación útil. El revisor necesita ver factura, cliente, importe, motivo, efectos y datos que saldrán del tenant. La aprobación debe vincularse a un digest inmutable del plan y expirar si cambian el plan, los objetivos o el estado relevante.
Los niveles de riesgo hacen utilizable la interfaz. Resúmenes read-only y drafts pueden ejecutarse automáticamente. Mensajes, campos de bajo impacto o informes programados pueden usar límites de política. Reembolsos, créditos, suspensión, exportaciones, cambios de rol y acciones destructivas requieren aprobación fuerte, step-up authentication o varias personas.
| Clase de acción | Ejemplo | Autonomía predeterminada | Controles necesarios |
|---|
| Observar | Resumir historial de cuenta o analizar tendencias de soporte. | Automática dentro del permiso de lectura existente. | Filtro por tenant, redacción sensible, enlaces fuente y retrieval trazable. |
| Redactar | Preparar respuesta, informe o nota de factura. | Draft automático, sin efecto externo. | Marcar contenido generado, conservar fuentes y exigir envío o publicación explícitos. |
| Mutación rutinaria | Actualizar etiqueta, asignar ticket o programar informe existente. | Controlada por política dentro de campos y volumen limitados. | Autorización de objeto, clave idempotente, rate limit, verificación y undo. |
| Comunicación externa | Enviar email a cliente o payload de webhook. | Aprobación, salvo template y política de destinatario estrechos. | Preview de contenido y destinos; bloquear destinatarios ocultos y fuga sensible. |
| Cambio financiero o de acceso | Emitir crédito, cambiar plan, suspender usuario o modificar rol. | Aprobación step-up explícita; a veces control por dos personas. | Límites de importe y rol, segregación, token vinculado al plan y evidencia inmutable. |
| Acción destructiva o masiva | Eliminar datos, cerrar cuentas en lote o exportar todo el tenant. | Nunca totalmente autónoma por defecto. | Dry run, conteo de impacto, demora, quorum, ventana de cancelación y recuperación. |
El trabajo prolongado necesita estado duradero y reintentos seguros
Las acciones administrativas esperan aprobaciones, APIs externas, pagos, generación de informes, webhooks o respuestas humanas. Un workflow duradero conserva historial entre fallos, pero las actividades externas todavía necesitan claves idempotentes y verificación de poscondiciones. Un reintento no puede emitir otro reembolso ni reenviar el mismo mensaje.
Las llamadas al modelo y herramientas deben considerar replay. Persiste decisiones y resultados externos como eventos del workflow en vez de regenerarlos durante recuperación. Versiona workflows para que una tarea en curso no cambie de significado cuando se desplieguen prompts, políticas o schemas.
La auditoría debe reconstruir autoridad y causalidad
Una pista útil conecta solicitud, versiones de agente y modelo, contexto recuperado, plan, política, aprobación, credencial delegada, llamadas, resultados, poscondiciones, overrides y compensación. Context propagation de OpenTelemetry enlaza la interacción con policy engine, workflow y servicios; el ledger conserva evidencia de negocio que los traces pueden muestrear o redactar.
No registres prompts crudos, tokens ni datos sensibles por defecto. Guarda referencias estructuradas, hashes, versiones de política, entradas saneadas y evidencia con acceso controlado. Los auditores necesitan reconstruir sin crear otra superficie de fuga.
Lo que construiría
Construiría un gateway de operaciones de agentes entre el modelo y cada API mutable del SaaS. Ofrecería comandos tipados, autorización por tenant, políticas, dry-run, vinculación de aprobación, credenciales por tarea, idempotencia, ejecución duradera, verificación y ledger de evidencia.
El panel separaría trabajo propuesto de trabajo en ejecución. Los operadores verían alcance, riesgo, dependencias, aprobación, etapa actual, evidencia, cancelación y compensación sin leer transcripciones del modelo.
El principio de diseño
El agente puede decidir cómo proponer una solución; la plataforma decide qué autoridad existe. Haz estrecha la delegación, concreta la aprobación, duradera la ejecución, conscientes del resultado los reintentos y reconstruible cada acción relevante.