- BrainTools - https://www.braintools.ru -

Команда Model Context Protocol перевела расширение Enterprise-Managed Authorisation [1] (EMA) в стабильный статус, предоставив организациям централизованный способ управления доступом к MCP-серверам через собственного корпоративного поставщика идентификации (IdP).
Для российских пользователей важно, что в качестве поставщика (IdP) могут выступать не только Okta и Azure AD, но и совместимые корпоративные системы единого входа, которые смогут контролировать, к каким серверам MCP сотрудники могут получить доступ и при каких условиях. Сотрудники проходят аутентификацию, используя свои корпоративные учетные данные — те же самые, что и для электронной почты и других рабочих инструментов, — а IdP предоставляет или запрещает доступ к серверам MCP на основе правил безопасности, установленных в компании.
По заявлению создателей проекта, цель обновления — заменить ручные запросы на подтверждение прав для каждого отдельного сервера автоматическим процессом. При таком подходе пользователи проходят авторизацию один раз и получают доступ ко всем разрешенным серверам без дополнительной настройки.
В официальном анонсе [2] команда MCP сообщила, что расширение уже поддерживается компаниями Anthropic, Microsoft и Okta, а список совместимых MCP-серверов продолжает расти.
Стандартная модель авторизации в протоколе MCP изначально ориентирована на отдельных пользователей и привязана к традиционным механизмам интерактивной проверки подлинности. Этот подход эффективен для самостоятельных разработчиков, когда каждый сам определяет права доступа к своим данным, однако плохо масштабируется в корпоративной среде по следующим причинам:
Необходимость индивидуальной авторизации: каждый сотрудник вынужден самостоятельно настраивать доступ к каждому MCP-серверу используемому в компании.
Необходимость большого количества рутинных операций: прием на работу нового сотрудника требует ручной авторизации в десятках сервисов.
Невозможность контроля безопасности: ИТ-службы не могут обеспечить контроль за правами доступа. Права определяются действиями конкретных сотрудников, при этом отсутствуют инструменты централизованного отзыва доступов (например, при увольнении сотрудника).
Смешение рабочих и личных учетных записей: из-за отсутствия механизма принудительной авторизации через корпоративные аккаунты пользователи имеют возможность подключать личные профили к рабочим ИТ-инструментам.

Хотите выиграть призы и бонусы на аренду серверов?
Приглашаем решить ИТ-кроссворд! Более 100 вопросов на разные темы из мира ИИ и машинного обучения [3] — ежедневно с 6 по 9 июля.
Механизм Enterprise-Managed Authorization делает корпоративного поставщика удостоверений центральным узлом принятия решений о доступе к MCP-серверам. Администраторы один раз настраивают политики, после чего пользователи проходят аутентификацию на хосте MCP с помощью существующих рабочих учетных данных. При этом IdP одобряет или отклоняет запросы на основе членства сотрудников в группах, их ролей и правил доступа.
С технической точки зрения [5], в процессе единого входа MCP-клиент запрашивает от IdP специальный токен (ID-JAG [6]) и обменивает его на токен доступа на сервере авторизации MCP. Пользователь при этом не перенаправляется на экран подтверждения прав на работу с отдельными MCP-серверами.
Эта архитектура устраняет недостатки стандартной модели для корпоративных клиентов. Теперь решения о предоставлении прав принимаются в консоли администрирования IdP. Это позволяет формировать единый проверяемый журнал событий для всех соединений, а исключение этапа интерактивного выбора профиля снижает риск несанкционированного перемещения данных между личными и корпоративными аккаунтами.
В анонсе также подчеркивается готовность экосистемы к внедрению нового расширения. Компания Anthropic реализовала поддержку EMA в общем слое MCP для Claude, Claude Code и Cowork, а Microsoft добавила соответствующую функциональность в среду разработки Visual Studio Code. На стороне MCP-серверов совместимость с EMA подтвердили Asana, Atlassian, Canva, Figma, Granola, Linear и Supabase. Интеграция со Slack и рядом других платформ в настоящее время находится на стадии разработки.
Широкий круг партнеров на этапе запуска свидетельствует о стремлении создателей проекта сделать централизованную корпоративную аутентификацию стандартным механизмом.
Автор: EkaterinaKoposova
Источник [7]
Сайт-источник BrainTools: https://www.braintools.ru
Путь до страницы источника: https://www.braintools.ru/article/32883
URLs in this post:
[1] Enterprise-Managed Authorisation: https://modelcontextprotocol.io/extensions/auth/enterprise-managed-authorization
[2] В официальном анонсе: https://blog.modelcontextprotocol.io/posts/enterprise-managed-auth/
[3] обучения: http://www.braintools.ru/article/5125
[4] Зарегистрироваться →: https://promo.selectel.ru/itcross_2026?utm_source=habr.com&utm_medium=referral&utm_campaign=itcrossword3_news_mcpema_090726_banner_ord
[5] зрения: http://www.braintools.ru/article/6238
[6] ID-JAG: https://datatracker.ietf.org/doc/draft-ietf-oauth-identity-assertion-authz-grant/
[7] Источник: https://habr.com/ru/companies/selectel/news/1056860/?utm_source=habrahabr&utm_medium=rss&utm_campaign=1056860
Нажмите здесь для печати.