Japanese Translation:

Enterprise-Managed Authorization（EMA）拡張機能が安定した状態に移行し、組織が信頼されるアイデンティティプロバイダーを介して MCP サーバーへのアクセスを集中管理できるようになりました。EMA は、標準的な MCP モデルの高度な摩擦による制約である、手動オンボーディング、集中ポリシー制御の欠如、個人アカウントと仕事用アカウントの混在といった問題を解消します。組織の IdP を権威ある決定主体とし、グループメンバーシップ、ロール、条件付きアクセス規則を活用することで解決します。シングルサインオン時、クライアントは IdP から Identity Assertion JWT Authorization Grant（ID-JAG）を取得し、これを用いてアクセストークンを取得します。これにより、「ゼロタッチ」の体験が可能となり、ユーザーは一度許可を与えるとすべての場所で権限を引き継ぐことが可能になり、各サーバーごとの同意画面やリダイレクトが不要になります。集中ポリシー決定は IdP の管理コンソールに保存され、すべてのコネクタにわたる統一された監査可能な履歴を提供します。早期の採用者には、Okta（Cross App Access を使用した最初に対応する IdP）、Anthropic の Claude 向け共有 MCP レアヤー（Claude Code および Cowork を含む）、Visual Studio Code、そして Asana、Atlassian、Canva、Figma、Granola、Linear、Supabase などのサーバーがあり、Slack は積極的にサポートを追加しています。EMA 関心グループとリソース（要件ページ、ext-auth リポジトリ/仕様）が用意されており、継続的なコミュニティ協力と今後のアップデートを促進します。

企業管理型認証（EMA）拡張機能：安定稼働と広範な導入開始

概要

企業管理型認証拡張機能は現在安定版として提供されています。組織側と最終ユーザーの両面で以下の利点を実現しています。

組織側：MCP サーバーおよび最終ユーザーの認証を一元的に管理可能に。
ユーザー側：単一のログイン（シングルサインオン）を通じて、すべての接続済み MCP サーバーへアクセス可能に。
導入拡大：アンソニック社、マイクロソフト社、Okta 社などの主要企業に加え、数多くの MCP サーバーで導入が進んでいます。

背景と課題解決

現状の課題

エンタープライズ環境において、MCP サーバーからの認証処理や繰り返し表示される同意プロンプトは、接続性管理における最大の課題の一つでした。これを本拡張機能で解決します。

従来の個別認証の課題

標準的な MCP 認証モデルは消費者向けでは有効ですが、組織内の規模拡大には不向きです。主な課題は以下の通りです。

手動設定の負担：オンボーディング時に、各サービスごとに従業員が個別に認証と接続設定を行わなければなりません。
ポリシー統制の難しさ：セキュリティチームが一貫したアクセス権限ポリシーを策定・強制できず、中央集権的な管理や監査証跡が不足します。
アカウント境界の曖昧化：企業のアイデンティティを義務付ける仕組みがないため、ユーザーが誤って個人アカウントを業務ツールに接続するリスクがあります。

これにより、MCP の導入が遅延し、脆弱な代替策への依存や「利用できない状況」が続いていました。

仕組みについて

企業管理型認証では、組織の**アイデンティティプロバイダー（IdP）**を MCP サーバーアクセスにおける最終的な決定権者とします。

技術的な流れ

ユーザーが組織の IdP でログイン（シングルサインオン）。
クライアントから IdP にて**「Identity Assertion JWT Authorization Grant（ID-JAG）」**を取得。
この ID-JAG を MCP サーバーの認証サーバーと引き換え、アクセストークンを取得。
同意画面でのリダイレクトや追加の手動操作不要。

実現される特性

ワンクリックで全サービス利用可能：管理者が組織向けにサーバーを有効化すると、ユーザーは既存のグループ・役割に基づいて自動的にアクセス可能です（ゼロタッチセットアップ）。
一元管理と監査：アクセス決定は IdP の管理コンソール内で一元化され、各コネクタについて監査可能な証跡が維持されます。
アカウント混同の解消：インタラクティブなアカウント選択ステップを廃止することで、意図的・偶発的なデータ移動を防ぎます。

先行採用者とパートナーシップ

本リリースでは、以下の三つのグループが密接に協力し、実装を現実のものとしています。

アイデンティティプロバイダー

Okta：最初の対応対象 IdP。Okta クロスアプリケーションアクセス（XAA）機能を活用し、あらゆる対応クライアントからサーバーへの MCP アクセスを準備可能。

クライアント

アンソニック社：Claude の共有 MCP レイヤーに拡張機能を実装。ユーザーは Claude、Claude Code、Cowork 全体で認証可能なサーバーにアクセス可能。（Visual Studio コードも対応追加中）

サーバー（サポート済みサービス）

Asana, Atlassian, Canva, Figma, Granola, Linear, Supabase
Slack も他社とともに支援を拡大中

コメントとメッセージ

各社のリーダーから、セキュリティとユーザー体験の両立への期待が寄せられています。

「Cross App Access プロトコルを企業管理型認証拡張機能として MCP に埋め込むことで、アイデンティティを中央集権的なガバナンスプレーンに変え、セキュリティチームに厳格なコンプライアンス制御を与えつつ、ユーザーにはシームレスで安全な体験を提供できます。」 — Aaron Parecki, Okta アイデンティティ標準担当ディレクター

「Figma MCP はコードの力をキャンバスと融合させます。XAA によりエンタープライズはチームの速度を落としながらも、セキュリティを保証したまま MCP 展開をスケーリングしやすくなります。」 — Devdatta Akhawe, Figma エンジニアリング担当 VP

「一度ログインして、すべての MCP コネクタが自動的に設定されるのはとても魔法のような体験です。」 — Tom Moor, Linear エンジニアリング担当ヘッド

ご参加を募ります

拡張機能の仕様レビューや、新基準製品の追加へのご協力を歓迎します。

要件の確認：企業管理型認証ページのドキュメントでフローを詳述しています。

資料のご活用：最新 EMA の進化やサポート資料については、以下のリポジトリとドラフト仕様をご覧ください。

ext-auth リポジトリ
ドラフト仕様（Draft Spec）

コミュニティへの参加：議論の参加や互換性レポートの共有、拡張機能の改善をご希望の場合は、EMA インターグループにご加入ください。

謝辞

企業管理型認証は MCP コミュニティによる共同作業の成果です。

SEP-990 の作成者
ext-auth リポジトリのメンテナ
早期実装を検証し仕様を前進させたアイデンティティおよび MCP プロバイダー

皆様へのお礼申し上げます。

MCP を採用するゼロタッチ OAuth