2026年7月18日(土)掲載 2,747本日 29
HN5819

MCPで実現する「ゼロタッチOAuth」:認証体験の未来へ

Zero-Touch OAuth for MCP

niyikiza30日前

議論

10
1RVuRnvbM2e30日前

普通のOAuthと比べて何がそんなにいいのかいまいち分からないな。認証フローの比較例が必要かも。

2paulddraper30日前

「ワトソン君、君には自明なことを観察する素晴らしい才能があるようだね」 - シャーロック・ホームズ

3lorecore30日前

MCPにおける認証はかなり激動の旅路だったよね。エンタープライズ向けのSkillsなんかと比べても、これは本当に価値のある差別化要因だよ。チームのみんな、リリースおめでとう。

4maxwellg30日前

Okta、A、Microsoft、Figma、Linearなどの関係者の皆さん、本当におめでとう!

MCPに懐疑的な人たちも心配しないで、あなたたちにとってもメリットがあるはずだから:)

これはID-JAGという新しいトークン形式(https://datatracker.ietf.org/doc/draft-ietf-oauth-identity-assertion-authz-grant/ )で動いていて、MCP専用というわけじゃないんだ。同じSSOプロバイダーを使うアプリ間でデータをやり取りする場所ならどこでも、安全にデータ共有するためにID-JAGが使えるよ。

5ericchiang30日前

待って、これ最高じゃないか。エンタープライズOAuth2.0の大きな課題は、バラバラなアプリの管理だよね。それぞれがスコープ管理やトークン有効期限の不完全な仕組みを個別に持ってて、デバイス紐付けセッションの制御もできないし。

それじゃあ代わりに、ユーザーやデバイス、要求スコープや期間を検証して、全アプリのポリシーを強制するような中央集権的なインフラを構築できるってこと?

他のOAuth 2.0クライアントでも使えるようにならないかな。

6sean_lynch30日前

「MCPはオワコン、Skillsが最強」っていういつもの議論に深入りする前に言っておきたいんだけど

MCPがSkillsやCLIと比べて真に価値があるのは、認証フローをエージェントのコンテキストウィンドウの外、あるいはハーネス全体から切り離せることだよね。セキュリティの観点から当然価値があるし、一般ユーザーやAIツールを導入する大企業にとっても圧倒的に体験が良い。コンテキストの肥大化やツール呼び出しの冗長性については不満も聞くけど、この認証の仕組みはマジで価値があると思う。

MCPの理想形は、APIの認証ゲートウェイとしての役割に特化することかもしれないね。それだけでも十分勝ちだよ。

7dend30日前

みんな、こんにちは。僕はOktaや複数のMCPパートナーと協力してこれをリリースしたAnthropicの一員です。Claude(もちろん、EMAが安定版拡張機能となったMCP仕様も!)でこれが形になったことをとても嬉しく思っているし、他のIDプロバイダーやクライアントにも採用を広げていきたいと考えています。

もしフィードバックがあれば、ここにどんどん書き込んでください!皆さんの体験談を聞いて、より良くしていきたいので。

8hparadiz30日前

gcloudやknife、npmみたいなCLIツールにもこれが必要だよね。OktaベースのJWTとかでさ。

9flashgordon30日前

これは素晴らしい。ここ数ヶ月、MCPのメンバーと一緒にSEP(と自分の実験用Go SDK)に関われて本当に幸運だったよ。昔は僕も懐疑派だった。「ただのAPIじゃん」とか「また新しい抽象化を作りやがった」とか言ってたしね。

みんな分かってないのは、MCPの「P(プロトコル)」という言葉に惑わされていることなんだ。普通のアプリを作る時って、フォームやUI、リクエスト/レスポンス処理、双方向通信、長時間タスク、認証などを全部自分で構築しなきゃいけないだろ。

MCPを使えば、こうした共通層の8割は片付いてしまう。だからMCPはプロトコルというより「アプリフレームワーク」なんだよ(まあプロトコルでもあるんだけど)。

統合認証は本当に大きなプラスだね。これから面白いものが増えていくのが楽しみ!