
一句话看懂:Model Context Protocol(MCP)团队正式将企业托管授权扩展(EMA)提升至稳定状态。这意味着企业可以通过身份提供商(如 Okta)集中控制所有 MCP 服务器的访问权限,员工仅需一次登录即可使用多个已授权的 AI 工具,无需逐一处理烦琐的授权弹窗。
事件核心:发生了什么
MCP 团队在发布声明中宣布,EMA 扩展已经稳定,并被 Anthropic、Microsoft、Okta 以及 Asana、Atlassian、Canva、Figma、Linear、Supabase 等多家服务器端厂商采纳。该方案采用“身份断言 JWT 授权授予机制”(ID-JAG),由 MCP 服务器的授权服务器将身份令牌兑换为访问令牌。核心目标是替代过去每个服务器单独弹出的授权提示,实现零接触访问流程:员工在客户端登录一次,即可自动继承企业已审批的全部服务器访问权限。值得注意的是,EMA 仅负责连接级授权,不控制智能代理接入系统后的具体操作行为,企业仍需针对敏感运行时动作另行搭建管控体系。
为什么重要
社区普遍反馈,重复授权提示是企业大规模部署 MCP 时的最大痛点之一。传统模型以用户为范围、绑定了交互式身份验证,导致安全团队难以统一执行权限策略,也容易混淆个人账户与工作账号。EMA 的思路是将身份策略与工具调用本身分离,授权决策从每个用户、每台服务器转移到企业身份提供商层面。这不仅是技术改进,更是 MCP 生态从面向个人开发场景向企业级部署过渡的关键支撑。Okta 是此次首个适配的身份提供商,但机制需要身份提供商与 MCP 服务器双方同时支持才能生效,因此仍然属于阶段性举措——未使用支持身份提供商的企业仍需备用方案。
对用户/开发者/创作者的影响
对普通用户(企业内部员工):预计会明显感受授权流程简化,不再需要反复登录或手动批准每个 AI 工具的访问申请,只需单次企业认证即可使用已对接的 MCP 服务。安全性不会降低,因为策略由安全团队统一配置。对开发者与 AI 应用集成方:EMA 降低了将 AI 代理接入企业内部系统时的人工配置工作量。开发者不再需要为每个集成场景单独处理 OAuth 凭据,而是通过企业身份提供商统一声明。对于正在搭建智能代理或 MCP 客户端的团队,这意味着集成验证周期可能缩短,但需注意操作级控制仍需自行实现。对企业 IT 采购决策者:EMA 让 MCP 的部署更像成熟的 SaaS 安全模型,如果计划在内部规模化使用 AI 助手(如 Claude、Claude Code 等),通过 EMA 能显著减少安全审计和权限管理负担。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
第一,身份提供商与 MCP 服务器双方均需适配 EMA 才能生效,目前 Okta 已入局,后续是否有更多主流身份平台(如 Azure AD、谷歌 Workspace)跟进是关键。第二,该扩展不覆盖运行时授权,意味着企业仍需搭建独立策略引擎来管控 AI 代理实际执行的动作,这部分落地实践目前公开信息尚不充分。第三,Asana、Figma、Slack 等生态合作方陆续完成适配后,能否推动更多原本对 MCP 持观望态度的企业客户加速采用,值得在接下来几个季度密切观察。
来源:InfoQ CN


