← На главную

EMA для MCP стабилизировался: IdP-политики и SSO без ручных согласий

18.06.2026 21:54 · hackernews

Расширение Enterprise-Managed Authorization (EMA) для протокола MCP наконец-то стабилизировалось. Оно решает главную боль enterprise-среды: бесконечные запросы на авторизацию от каждого MCP-сервера. Раньше каждому сотруднику приходилось вручную подключать каждый сервер, проходить OAuth и соглашаться на доступ — не было централизованного контроля, личные и рабочие аккаунты смешивались. Безопасники не могли задать единую политику, аудит отсутствовал.

EMA меняет правила. Вся логика авторизации переезжает в корпоративный identity provider (IdP). Администраторы определяют политику один раз, а пользователи логинятся через SSO — и всё: нужные MCP-серверы подключаются автоматически. Никаких дополнительных согласий на каждый сервис. Под капотом клиент получает от IdP специальный токен — Identity Assertion JWT Authorization Grant (ID-JAG) — и обменивает его на access-токен у сервера. Пользователь даже не видит экранов согласия.

Три ключевых свойства: авторизуешь один раз — сервер доступен всем участникам группы; политика и аудит живут в консоли IdP; личные аккаунты больше не просачиваются в рабочее окружение.

Первыми внедрили EMA три стороны. Identity-провайдер — Okta (использует свою технологию Cross App Access (XAA)). Клиенты — Anthropic (расширение встроено в Claude, Claude Code и Cowork), а также Visual Studio Code прямо в IDE. Серверы — Asana, Atlassian, Canva, Figma, Granola, Linear и Supabase уже поддерживают EMA, Slack и другие на подходе.

Аарон Пареки из Okta говорит, что MCP движется к взаимосвязанному AI-персоналу, и безопасность не может быть послесловием — XAA превращает идентичность в централизованную плоскость управления. Девдатта Акхаве из Figma отмечает, что XAA упрощает масштабирование MCP в enterprise без замедления команд. А Том Мур из Linear назвал автоматическую настройку всех коннекторов после одного логина «магией».

Разработчиков приглашают присоединиться к обсуждению в EMA Interest Group и добавлять поддержку нового стандарта в свои продукты.

Читать оригинал →