Claude、管理者がMCP接続を一括認可。Oktaで自動付与

結論

Anthropicは6月19日、Claude Enterpriseで外部ツールへの接続を管理者がまとめて認可する仕組みを公開した。社員一人ひとりが各ツールへ手動で連携する必要がなくなり、Oktaのグループや役割に沿って、ログインした初回から必要な接続が使える。退職や異動でアカウントを止めれば、接続権限も同時に消える。情シスがツール連携の棚卸しに追われていた状態を、本人確認の基盤側で一元管理できるようになる。

何が変わったのか

今回の機能はEnterprise-Managed Authorizationと呼ぶ。外部のツールやデータにAIをつなぐ共通規格のMCPに対応したコネクタを、管理者が組織単位で一度認可しておく方式だ。これまではユーザーごとに、AsanaやAtlassianといったツールへ個別に接続許可を出していた。新方式では、ユーザーが普段使うOktaのグループや役割をそのまま接続権限の根拠にする。管理者が一度設定すれば、対象グループの社員はClaudeを開いた最初の瞬間からコネクタを使える。

接続の取り消しも本人確認の基盤に紐づく。社員が退職してOktaのアカウントを無効化すると、その人のMCPコネクタへの接続も他の業務アプリと同じタイミングで失われる。役割が変われば、与えられる接続も自動で変わる。放置された接続が残り続けて情報漏洩の経路になるリスクを、基盤側で抑えられる設計だ。

提供開始時点で対応するコネクタは、Asana、Atlassian、Canva、Figma、Granola、Linear、Supabaseの7つで、Slackは対応作業中とされる。対応する本人確認の基盤は当面Oktaのみで、Microsoft Entra IDやGoogle Workspaceは今後の予定として案内されている。対応範囲は広がっていく見込みのため、自社で使うツールが含まれるかは最新の公式情報で確認してほしい。

現場の実務にどう効くか

AI推進担当と情シスにとって、効くのは権限管理の手間と監査の負担を減らせる点だ。社員が各自で外部ツールに接続する運用では、誰がどのデータにAIをつないでいるか把握しきれず、退職者の接続が残る事故も起きやすい。今回の方式なら、接続の付与と剥奪を本人確認の基盤に寄せられるため、棚卸しの作業をシステム側に任せられる。アクセス権限をどう設計するかは生成AIのアクセス権限管理、無断利用の温床になりやすい接続の整理はシャドーAIのリスクと対策もあわせて確認したい。

Anthropicは直前の6月にも、静的なAPIキーを使わずに短命の認証情報で接続するAPIキー不要の認証を一般提供している。鍵の漏洩や使い回しを避ける流れと、今回の接続権限の一元管理は、いずれも法人がAIを基幹業務に組み込む前提を整える動きだ。MCPを軸にしたツール横断の接続管理という意味では、CognizantによるServiceNowエージェントの横断接続とも地続きにある。

導入を検討するなら、まず自社のOktaグループ設計が、AIで触れてよいデータの線引きと一致しているかを点検するとよい。グループの粒度が粗いと、必要以上の接続を一括で配ってしまう。最初は限られた部署とコネクタで試し、付与と剥奪のログが想定どおり残るかを確かめてから広げる進め方が安全だ。

FAQ

Q. 社員側で特別な設定は必要ですか。 管理者が認可を済ませていれば、社員はClaudeにログインするだけで対象のコネクタを使えます。個別の接続許可の操作は不要です。

Q. 既存の個別接続はどうなりますか。 移行の扱いは環境によって異なります。組織での一括認可に切り替える際の既存接続の整理方法は、最新の公式ドキュメントで確認してください。

出典

• Centrally manage authorization for MCP connectors（Claude公式ブログ）
• Enterprise-Managed Authorization: Zero-touch OAuth for MCP（Model Context Protocol Blog）
• Okta becomes a featured identity provider powering secure AI agent connections for Claude（Okta）