MCP获得缺失的企业授权层

模型上下文协议（MCP）正被各大企业用于将其AI代理连接到工具，但迄今为止，每次授权都需要员工手动点击OAuth提示。现在，MCP项目推出了“企业托管授权”扩展，允许企业通过现有身份提供商集中控制MCP服务器访问。该扩展现已稳定，Anthropic和微软率先在Claude、Claude Code、Claude Cowork和Visual Studio Code中提供支持，Okta则成为首个身份提供商。

MCP最初的设计面向个人，因此授权模型需要手动连接各个服务，安全团队无法强制执行一致策略或维护单一审计追踪，还存在员工将个人账户连接到工作工具的风险。Linear工程主管Tom Moor表示，一次登录即可自动设置所有MCP连接器非常神奇。

企业托管授权使身份提供商成为决策者，决定客户端可访问哪些服务器。管理员一次设置策略，员工使用现有企业身份登录。与OAuth不同，此过程无需同意屏幕：在单点登录期间，客户端从身份提供商获取一个签名的身份断言，证明用户和请求访问的应用的身份，然后将其提交给MCP服务器的授权服务器，返回一个受限访问令牌，供客户端使用。

该断言基于新兴的OAuth扩展“身份断言JWT授权许可（ID-JAG）”，目前已成为IETF草案。Okta的品牌版本称为“跨应用访问”。由于ID-JAG是开放标准，任何身份提供商均可实现，但Okta是首个支持者。

对IT团队而言，这意味著分散审批的终结。管理员可以为整个组织、特定团队或个人启用某服务器，员工及其代理继承访问权限，范围与其已有的群组和角色一致。控制和审计功能集成到身份提供商控制台，访问决策留下统一线索，撤销操作与其他流程一致，因此停用用户会自动切断其MCP访问。由于企业IT控制连接，混用个人和工作账户变得困难。

实践中，Anthropic和Okta的实现允许Claude托管代理被导入企业目录，视为拥有人类所有者的身份，而合规接口则向安全团队反馈休眠代理或错误配置账户等风险信号。

值得注意的是，该扩展授予的权限范围广泛。特定代理是否应在特定时刻对特定资源执行特定操作，由通常位于代理和工具之间的策略引擎和网关管理。

除Anthropic、Okta和微软外，Asana、Atlassian、Canva、Figma、Granola、Linear和Supabase也已支持此扩展。Slack和其他公司即将加入。Okta还将在其Auth0开发者平台中原生支持该协议，让开发者无需从头实现即可公开MCP服务器。