MCPで実現する「ゼロタッチOAuth」:認証体験の未来へ
Zero-Touch OAuth for MCP
Zero-Touch OAuth for MCP
Model Context Protocol (MCP) におけるゼロタッチOAuthの実装について。ユーザーの介在を最小限に抑え、認証プロセスをシームレスに自動化するための手法や設計思想に関する議論です。
普通のOAuthと比べて何がそんなにいいのかいまいち分からないな。認証フローの比較例が必要かも。
「ワトソン君、君には自明なことを観察する素晴らしい才能があるようだね」 - シャーロック・ホームズ
MCPにおける認証はかなり激動の旅路だったよね。エンタープライズ向けのSkillsなんかと比べても、これは本当に価値のある差別化要因だよ。チームのみんな、リリースおめでとう。
Okta、A、Microsoft、Figma、Linearなどの関係者の皆さん、本当におめでとう!
MCPに懐疑的な人たちも心配しないで、あなたたちにとってもメリットがあるはずだから:)
これはID-JAGという新しいトークン形式(https://datatracker.ietf.org/doc/draft-ietf-oauth-identity-assertion-authz-grant/ )で動いていて、MCP専用というわけじゃないんだ。同じSSOプロバイダーを使うアプリ間でデータをやり取りする場所ならどこでも、安全にデータ共有するためにID-JAGが使えるよ。
待って、これ最高じゃないか。エンタープライズOAuth2.0の大きな課題は、バラバラなアプリの管理だよね。それぞれがスコープ管理やトークン有効期限の不完全な仕組みを個別に持ってて、デバイス紐付けセッションの制御もできないし。
それじゃあ代わりに、ユーザーやデバイス、要求スコープや期間を検証して、全アプリのポリシーを強制するような中央集権的なインフラを構築できるってこと?
他のOAuth 2.0クライアントでも使えるようにならないかな。
「MCPはオワコン、Skillsが最強」っていういつもの議論に深入りする前に言っておきたいんだけど
MCPがSkillsやCLIと比べて真に価値があるのは、認証フローをエージェントのコンテキストウィンドウの外、あるいはハーネス全体から切り離せることだよね。セキュリティの観点から当然価値があるし、一般ユーザーやAIツールを導入する大企業にとっても圧倒的に体験が良い。コンテキストの肥大化やツール呼び出しの冗長性については不満も聞くけど、この認証の仕組みはマジで価値があると思う。
MCPの理想形は、APIの認証ゲートウェイとしての役割に特化することかもしれないね。それだけでも十分勝ちだよ。
みんな、こんにちは。僕はOktaや複数のMCPパートナーと協力してこれをリリースしたAnthropicの一員です。Claude(もちろん、EMAが安定版拡張機能となったMCP仕様も!)でこれが形になったことをとても嬉しく思っているし、他のIDプロバイダーやクライアントにも採用を広げていきたいと考えています。
もしフィードバックがあれば、ここにどんどん書き込んでください!皆さんの体験談を聞いて、より良くしていきたいので。
gcloudやknife、npmみたいなCLIツールにもこれが必要だよね。OktaベースのJWTとかでさ。
これは素晴らしい。ここ数ヶ月、MCPのメンバーと一緒にSEP(と自分の実験用Go SDK)に関われて本当に幸運だったよ。昔は僕も懐疑派だった。「ただのAPIじゃん」とか「また新しい抽象化を作りやがった」とか言ってたしね。
みんな分かってないのは、MCPの「P(プロトコル)」という言葉に惑わされていることなんだ。普通のアプリを作る時って、フォームやUI、リクエスト/レスポンス処理、双方向通信、長時間タスク、認証などを全部自分で構築しなきゃいけないだろ。
MCPを使えば、こうした共通層の8割は片付いてしまう。だからMCPはプロトコルというより「アプリフレームワーク」なんだよ(まあプロトコルでもあるんだけど)。
統合認証は本当に大きなプラスだね。これから面白いものが増えていくのが楽しみ!