OAuth بدون تماس (Zero-Touch): حل بحران احراز هویت عاملهای هوش مصنوعی
احراز هویت استاندارد هوش مصنوعی در مقیاس بالا با شکست مواجه میشود.
اگر ۵۰۰ مهندس را مدیریت کنید که هر کدام از ۸ سرور MCP استفاده میکنند، با ۴,۰۰۰ جریان دستی OAuth روبرو خواهید بود. این موضوع یک «مالیات احراز هویت» ایجاد میکند.
مشکلات احراز هویت استاندارد MCP:
- نیروهای جدید باید هر سرور را به صورت دستی مجاز کنند.
- تیمهای امنیتی کنترل مرکزی خود را از دست میدهند.
- حسابهای شخصی با حسابهای کاری ترکیب میشوند.
- فرآیند خروج از سازمان (Offboarding) کند و پرخطر است.
پروتکل Model Context Protocol اکنون راهکاری ارائه میدهد: احراز هویت مدیریتشده سازمانی (EMA).
EMA از ارائهدهنده هویت (IdP) موجود شما مانند Okta یا Azure Entra ID استفاده میکند. این کار هویت را به منبع اصلی حقیقت (source of truth) برای تمام دسترسیهای MCP تبدیل میکند.
نحوه عملکرد برای کاربران:
- شما از طریق SSO شرکتی وارد میشوید.
- تمام سرورهای MCP تایید شده به طور خودکار متصل میشوند.
- دیگر خبری از صفحات تایید (consent screens) یا توکنهای دستی نیست.
هسته فنی این فرآیند، تبادل توکن ID-JAG است.
جریان به این صورت است:
- کلاینت یک توکن از IdP درخواست میکند.
- IdP یک Identity Assertion JWT (ID-JAG) صادر میکند.
- کلاینت این ID-JAG را با یک توکن دسترسی محدودشده (scoped access token) در سرور MCP تعویض میکند.
این امر امنیت را بسیار قویتر میکند:
- لغو فوری دسترسی: یک کاربر را در Okta غیرفعال کنید، و تمام دسترسیهای MCP متوقف میشود.
- توکنهای کوتاهمدت: میتوانید از توکنهای ۵ دقیقهای بدون آسیب به تجربه کاربری استفاده کنید.
- حسابرسی بهتر: هر اقدام به یک هویت شرکتی تایید شده مرتبط است.
- عدم نشت حسابهای شخصی: IdP هویت شرکتی را اعمال میکند.
اگر سرورهای MCP میسازید، پشتیبانی از EMA اکنون برای فروش سازمانی الزامی است. اگر از کلاینتهای MCP مانند VS Code یا Claude استفاده میکنید، برای خودکارسازی جریان کاری خود به دنبال تنظیمات EMA باشید.
عصر OAuth دستی برای عاملهای هوش مصنوعی به پایان رسیده است.
انجمن یادگیری اختیاری: https://t.me/GyaanSetuAi