Início/Blog/Agentes em SaaS Arquitetura SaaSAgentes de IA em painéis administrativos de SaaS
Um agente que resume uma conta é uma funcionalidade. Um agente que altera cobrança, encerra tickets, exporta relatórios ou desativa usuários é um operador privilegiado. O backend precisa tratá-lo dessa forma.
Publicado em 18 de jun. de 202614 min de leituraOperações Delegadas
Não entregue ao agente uma sessão administrativa reutilizável
O caminho mais curto também é o pior modelo de segurança: deixar o agente herdar cookie de sessão humana ou credencial ampla de serviço e chamar as mesmas APIs internas do painel. Isso mistura autoridade do usuário, identidade do agente, fronteira do tenant, intenção da tarefa e aprovação em um único bearer secret.
O agente deve ser um principal de primeira classe. Toda ação precisa preservar quem delegou e qual agente atuou, junto de tenant, objeto, operação, limites, expiração e contexto da tarefa. OAuth Token Exchange oferece semântica para delegação e ator; Rich Authorization Requests permite expressar detalhes estruturados e finos além de scopes genéricos.
IdentidadeQual usuário delegou, qual instância de agente atua e qual tenant possui os objetos?
IntençãoQual resultado foi pedido, qual plano exato foi aprovado e quando a autoridade expira?
PolíticaQuais ações, objetos, valores, campos, destinos e taxas são permitidos?
EvidênciaQuais entradas, decisões, aprovações, chamadas, resultados e compensações explicam o estado final?
Separe planejamento probabilístico de execução determinística
O modelo pode interpretar intenção e propor um plano. Ele não deve ter autoridade final para decidir se uma etapa é permitida. Converta a proposta em operações tipadas como draft_reply, issue_credit, disable_user ou export_report. Valide schemas, resolva IDs de objetos no servidor e passe cada etapa por autorização e política conscientes do tenant.
Ferramentas devem expor comandos de negócio estreitos, não acesso bruto ao banco ou uma função genérica de “chamar qualquer API”. Prompt injection pode influenciar uma proposta, mas não deve fabricar permissão. A OWASP descreve excessive agency e riscos agentic porque ferramentas poderosas, permissões amplas e autonomia ambígua se multiplicam.
Execução de agente vinculada à aprovação01 SolicitarIntenção do usuárioCapture ator, tenant, objetivo, objetos de origem, prazo e restrições explícitas.
02 ProporPlano tipado e previewResolva alvos, mostre mudanças por campo, impacto financeiro, destinatários e efeitos.
03 DecidirAutorização e políticaVerifique usuário, agente, tenant, relações, condições, risco, limites e segregação de funções.
04 AprovarDecisão humanaVincule aprovação ao hash do plano, escopo, valor, alvos, aprovador, expiração e quorum.
05 DelegarCredencial por tarefaEmita autoridade curta apenas para operações aprovadas, preservando sujeito e ator.
06 ExecutarWorkflow durávelExecute etapas idempotentes, retries, timers, callbacks, rate limits e compensações.
07 VerificarPós-condiçõesLeia estado autoritativo, detecte resultados parciais, compare ao plano e reconcilie diferenças.
08 ExplicarAuditoria e recursoApresente evidência, mudanças, falhas, overrides, rollback e responsável pelo acompanhamento.
A aprovação deve autorizar uma mudança concreta
Um diálogo dizendo “Permitir que o agente gerencie cobrança?” não representa aprovação útil. O revisor precisa ver fatura, cliente, valor, motivo, efeitos e dados que sairão do tenant. A aprovação deve se vincular a um digest imutável do plano e expirar se plano, alvos ou estado relevante mudarem.
Faixas de risco tornam a interface utilizável. Resumos read-only e drafts podem rodar automaticamente. Envio de mensagens, atualização de campos de baixo impacto ou agendamento de relatórios podem usar limites de política. Reembolsos, créditos, suspensão, exportações, mudanças de papel e ações destrutivas exigem aprovação forte, step-up authentication ou múltiplas pessoas.
| Classe de ação | Exemplo | Autonomia padrão | Controles necessários |
|---|
| Observar | Resumir histórico da conta ou analisar tendências de suporte. | Automática dentro da permissão de leitura existente. | Filtro por tenant, redação de campos sensíveis, links de origem e retrieval rastreável. |
| Rascunhar | Preparar resposta, relatório ou nota de fatura. | Draft automático, sem efeito externo. | Marcar conteúdo gerado, reter fontes e exigir envio ou publicação explícitos. |
| Mutação rotineira | Atualizar tag, atribuir ticket ou agendar relatório existente. | Controlada por política dentro de campos e volume limitados. | Autorização do objeto, chave idempotente, rate limit, verificação e undo. |
| Comunicação externa | Enviar email ao cliente ou payload de webhook. | Aprovação, salvo template e política de destinatário estreitos. | Preview do conteúdo e destinos; bloquear destinatários ocultos e vazamento sensível. |
| Mudança financeira ou de acesso | Emitir crédito, mudar plano, suspender usuário ou alterar papel. | Aprovação step-up explícita; às vezes controle por duas pessoas. | Limites de valor e papel, segregação, token vinculado ao plano e evidência imutável. |
| Ação destrutiva ou em massa | Excluir dados, fechar contas em lote ou exportar o tenant inteiro. | Nunca totalmente autônoma por padrão. | Dry run, contagem de impacto, atraso, quorum, janela de cancelamento e recuperação. |
Trabalho demorado precisa de estado durável e retries seguros
Ações administrativas aguardam aprovações, APIs externas, pagamentos, geração de relatórios, webhooks ou respostas humanas. Um workflow durável preserva histórico entre falhas, mas atividades externas ainda exigem chaves idempotentes e verificação de pós-condição. Um retry não pode emitir segundo reembolso nem reenviar a mesma mensagem.
Chamadas de modelo e ferramentas precisam considerar replay. Persista decisões e resultados externos como eventos do workflow em vez de regenerá-los silenciosamente durante recuperação. Versione workflows para que uma tarefa em andamento não mude de significado quando prompts, políticas ou schemas forem implantados.
Auditoria deve reconstruir autoridade e causalidade
Uma trilha útil conecta solicitação, versões de agente e modelo, contexto recuperado, plano, decisão de política, aprovação, credencial delegada, chamadas, resultados, pós-condições, overrides e compensação. Context propagation do OpenTelemetry liga a interação ao policy engine, workflow e serviços; o ledger de auditoria preserva evidência de negócio que traces comuns podem amostrar ou redigir.
Não registre prompts brutos, tokens ou dados sensíveis por padrão. Armazene referências estruturadas, hashes, versões de política, entradas sanitizadas e evidência com controle de acesso. Auditores precisam reconstruir o evento sem criar uma segunda superfície de vazamento.
O que eu construiria
Eu construiria um gateway de operações de agentes entre o modelo e toda API mutável do SaaS. Ele ofereceria comandos tipados, autorização por tenant, políticas, dry-run, vinculação de aprovação, credenciais por tarefa, idempotência, execução durável, verificação e ledger de evidências.
O painel separaria trabalho proposto de trabalho em execução. Operadores veriam escopo, risco, dependências, aprovação, etapa atual, evidência, cancelamento e compensação sem precisar ler transcrições do modelo.
O princípio de design
O agente pode decidir como propor uma solução; a plataforma decide qual autoridade existe. Torne a delegação estreita, a aprovação concreta, a execução durável, retries conscientes do resultado e toda ação relevante reconstruível.