集中管理 MCP 连接器的授权

Centrally manage authorization for MCP connectors

📅2026-06-18👤AnthropicClaude Blog
✍️翻译:DeepSeek

企业级 MCP 连接器授权管理:从分散配置到集中管控

Centrally Manage Authorization for MCP Connectors

核心贡献

Key Contributions

Anthropic 在 Claude Blog 中宣布了一项面向企业客户的重要更新:管理员现在可以通过身份提供商(Identity Provider,IdP)集中管理 MCP(Model Context Protocol)连接器的授权。该功能首先在 Okta 上落地,标志着 MCP 生态从“开发者自配置”向“企业级集中管控”迈出了关键一步。其核心贡献在于:用户首次登录时即可自动获得连接器访问权限,而授权策略由组织统一配置,无需每个用户单独操作。这大幅降低了企业部署 AI 工具时的管理成本和安全风险。

💡 背景:MCP 是 Anthropic 提出的开放协议,旨在让 AI 模型安全地访问外部工具和数据源。此前,每个用户需要手动授权 MCP 连接器,这在企业大规模部署时效率低下且难以审计。

研究背景

Background

在企业环境中,AI 助手需要访问内部系统(如 CRM、代码仓库、文档库)才能发挥最大价值。然而,传统的授权方式存在两大痛点:一是每个用户必须单独完成 OAuth 流程,体验割裂且容易出错;二是管理员无法统一控制哪些连接器可以被哪些角色使用,导致安全合规风险。Anthropic 观察到,企业客户迫切需要一种“一次配置、全员生效”的授权模式。因此,他们选择与 Okta 等主流 IdP 集成,将 MCP 连接器的授权逻辑嵌入到企业已有的身份治理体系中,从而让 AI 工具的接入与组织现有的权限策略对齐。

技术方法

Technical Approach

该方案的技术核心在于将 MCP 连接器的授权委托给身份提供商。具体而言,管理员在 Okta 管理控制台中创建 MCP 连接器应用,并配置允许访问的用户组或角色。当用户首次登录 Claude Enterprise 时,系统通过 Okta 的 SCIM(System for Cross-domain Identity Management)协议自动同步用户身份和组信息,并依据预配置的策略为用户“预授权”相应的 MCP 连接器。用户无需再手动点击“授权”按钮,即可在对话中直接调用已授权的工具。整个流程对用户透明,且授权状态由 IdP 持续同步,当用户被移出组时,连接器访问权限也会自动撤销。

⚠️ 注意:目前该功能仅支持 Okta,但 Anthropic 表示未来会扩展至 Azure AD、Google Workspace 等其他主流 IdP。

主要发现

Key Findings

从实际部署效果来看,集中授权带来了三个显著变化:第一,用户 onboarding 时间从分钟级缩短至秒级,新员工首次登录即可使用所有已授权的连接器;第二,安全审计变得可追溯,管理员可以在 IdP 侧查看谁在何时访问了哪个连接器,满足 SOC 2 等合规要求;第三,权限变更即时生效,当员工转岗或离职时,连接器访问权限随 IdP 中的组变更自动更新,无需手动清理。此外,Anthropic 发现企业客户对“最小权限原则”的执行意愿显著提升,因为集中管理让细粒度授权变得可行。

意义与影响

Significance & Impact

这一更新对 MCP 生态和企业 AI 落地具有双重意义。对 MCP 协议本身而言,它证明了该协议不仅适用于个人开发者,也能嵌入企业级身份治理体系,从而拓宽了其应用场景。对企业客户而言,集中授权消除了 AI 工具推广中的最大障碍之一——安全与合规顾虑。当管理员可以像管理 VPN 或 SaaS 应用一样管理 AI 连接器时,企业更愿意开放更多内部数据源给 AI 助手,从而释放更大的生产力价值。长远来看,这种“身份驱动”的授权模式可能成为 AI 工具在企业中标准化的最佳实践。