OAuth بدون تدخل: حل أزمة مصادقة وكلاء الذكاء الاصطناعي
تفشل عمليات مصادقة الذكاء الاصطناعي القياسية عند التوسع.
إذا كنت تدير 500 مهندس يستخدم كل منهم 8 خوادم MCP، فستواجه 4,000 تدفق OAuth يدوي. وهذا يخلق ما يسمى بـ "ضريبة المصادقة" (auth tax).
المشكلات في مصادقة MCP القياسية:
- يجب على الموظفين الجدد منح الإذن لكل خادم يدويًا.
- تفقد فرق الأمن السيطرة المركزية.
- تختلط الحسابات الشخصية بحسابات العمل.
- عملية إنهاء الخدمة (Offboarding) بطيئة ومحفوفة بالمخاطر.
يقدم بروتوكول سياق النموذج (Model Context Protocol) الآن حلاً: التفويض المدار من قبل المؤسسة (Enterprise-Managed Authorization - EMA).
يستخدم EMA مزود الهوية (IdP) الحالي لديك مثل Okta أو Azure Entra ID. فهو يحول الهوية إلى المصدر الموثوق (source of truth) لجميع عمليات الوصول إلى MCP.
كيف يعمل بالنسبة للمستخدمين:
- تقوم بتسجيل الدخول عبر نظام تسجيل الدخول الموحد (SSO) الخاص بالشركة.
- تتصل جميع خوادم MCP المعتمدة تلقائيًا.
- لا مزيد من شاشات الموافقة أو الرموز (tokens) اليدوية.
الجوهر التقني هو تبادل رموز ID-JAG.
يسير التدفق على النحو التالي:
- يطلب العميل رمزًا (token) من مزود الهوية (IdP).
- يصدر مزود الهوية (IdP) رمز Identity Assertion JWT (ID-JAG).
- يستبدل العميل رمز ID-JAG هذا برمز وصول محدد النطاق (scoped access token) لدى خادم MCP.
هذا يجعل الأمن أقوى بكثير:
- إلغاء فوري: قم بتعطيل مستخدم في Okta، وسيتوقف جميع وصول MCP فورًا.
- رموز قصيرة الأمد: يمكنك استخدام رموز صالحة لمدة 5 دقائق دون التأثير على تجربة المستخدم.
- عمليات تدقيق أفضل: يرتبط كل إجراء بهوية مؤسسية موثقة.
- لا تسريبات للحسابات الشخصية: يفرض مزود الهوية (IdP) الهوية المؤسسية.
إذا كنت تقوم ببناء خوادم MCP، فإن دعم EMA أصبح الآن إلزاميًا لمبيعات المؤسسات. وإذا كنت تستخدم عملاء MCP مثل VS Code أو Claude، فابحث عن إعدادات EMA لأتمتة سير عملك.
لقد انتهى عصر OAuth اليدوي لوكلاء الذكاء الاصطناعي.
مجتمع تعليمي اختياري: https://t.me/GyaanSetuAi