L’AUTORISATION POUR LE PROTOCOLE DE CONTEXTE DE MODÈLE

Sécurisez vos serveurs MCP avec cidaas MCP Authorization

OAuth 2.1. PKCE. Dynamic Client Registration. Protected Resource Metadata. DPoP. Resource Indicators. Tout ce que prévoit spécification MCP pour une utilisation sûre de l´IA.

Demandez une démo
cidaas icon banner OAuth OAuth 2.1
PKCE
Dynamic Client Registration
RFC 9728 PRM
DPoP
Resource Indicators
cidaas icon banner eu hosted EU sovereign

Le model Context Protocol (MCP) normalise la communication sécurisée entre les modèles d´IA, les agents et les outils ou API externes. cidaas MCP Authorization protège ces accès à l´aide de méchanismes OAuth et Zero Trust de pointe, pour des intégrations d`IA côntrolées, traçables et prêtes pour la production.

MCP AUTHORIZATION – LE PROBLÈME EN GÉNERAL

Tout le monde peut mettre en place un serveur MCP,
mais en sécuriser un est plus difficile

La spécification MCP s´appuie sur les normes OAuth modernes pour assurer une communication sécurisée entre le serveur et l´agent. La mise en œvre de l´autorisation, de la confiance et de la gestion des jetons reste toutefois complexe.

Ce dont MCP Authorization a besoin

  • Un serveur d’autorisation OAuth 2.1 opérationnel.
  • Un système d’enregistrement dynamique des clients permettant aux clients MCP de s’enregistrer eux-mêmes.
  • Des métadonnées sur les ressources protégées à des fins de découverte.
  • Le protocole PKCE sur chaque flux de code d’autorisation.
  • Des jetons d’accès à durée de vie limitée et liés à un public spécifique.
  • Le protocole DPoP en option pour les jetons soumis à des contraintes d’expéditeur.

Pourquoi le développer sur cidaas?

cidaas complète MCP avec des fonctionnalités d’autorisation d’entreprise: OAuth 2.1, enregistrement dynamique des clients, politiques de jetons, traçabilité et contrôle d’accès centralisé pour les agents et outils d’IA. Les serveurs MCP existants peuvent être sécurisés sans refonte de l’architecture et intégrés aux processus IAM, de conformité et de sécurité existants.

Les exigences d´autorisation MCP en détail

Chaque fonctionnalité est conforme à une spécification RFC publique ou de l’OpenID Foundation. Aucun protocole propriétaire.

Conformément aux spécifications MCP

CAPABILITY
STANDARD
STATUS
OAuth 2.1 authorization server
draft-ietf-oauth-v2-1
Production
Authorization Code + PKCE
RFC 7636
Production
Dynamic Client Registration
RFC 7591 / 7592
Production
Protected Resource Metadata
RFC 9728
Production
Authorization Server Metadata
RFC 8414
Production
Audience-bound tokens
RFC 8707
Production
Bearer token usage
RFC 6750
Production

Recommandé pour les déploiements en environnement de production

CAPABILITY
STANDARD
STATUS
DPoP
RFC 9449
Production
Pushed Authorization Requests (PAR)
RFC 9126
Production
JWT-secured Authorization Requests (JAR)
RFC 9101
Production
mTLS client authentication
RFC 8705
Production
private_key_jwt client auth
RFC 7523
Production
FAPI 2.0 profile
OpenID Foundation
Certified

Les nouvelles normes d´action

CAPABILITY
STANDARD
STATUS
Identity Assertion Authorization Grant
draft-ietf-oauth-identity-assertion-authz-grant
⟳ Roadmap
Cross-domain Identity Mediation (CIMD)
Emerging
⦿ Tracking
Agent-to-Agent (A2A) trust
Emerging
Patterns supported
Consultez nos experts
COMMENT ÇA MARCHE

Déposez cidaas devant n’importe quel serveur MCP

Découverte, enregistrement et autorisation basés sur des normes – sans dépendance vis-à-vis d’un SDK.

Client MCP Claude · ChatGPT · Cursor /.well-known discovery cidaas Serveur OAuth 2.1 your-tenant.cidaas.eu Serveur MCP Serveur de ressources your-mcp.example.com 1. Requête initiale → 401 + pointeur de métadonnées RFC 9728 2. Découverte du serveur d’autorisation 3. POST /register (DCR) 4. Code d’autorisation + PKCE → jeton 5. Invocation d’outil → jeton bearer lié à l’audience
Étape 1 sur 5

Chaque étape repose sur des standards ouverts. Aucune poignée de main propriétaire. Aucun SDK fournisseur requis.

Accéder à MCP Authorization en trois étapes

Configurez votre serveur MCP, laissez les clients s'enregistrer eux-mêmes, validez les jetons. C'est tout.

01

Configurer votre serveur MCP

Configurez l'authentification de votre serveur MCP WWW-Authenticate pour qu'elle pointe vers cidaas. Votre .well-known/oauth-protected-resource document fait référence à votre tenant cidaas.

02

Permettre aux clients MCP de s'inscrire eux-mêmes

cidaas expose l'enregistrement dynamique des clients selon la norme RFC 7591 à /register. Les clients MCP (Claude Desktop, ChatGPT, Cursor) se détectent et s'enregistrent automatiquement.

03

Valider les jetons

Validez les jetons d'accès via la vérification de la signature JWT ou l'introspection RFC 7662, selon ce qui convient le mieux à votre environnement d'exécution.

Ce que MCP ne couvre pas encore - et que cidaas propose

La spécification d'autorisation MCP définit l'autorisation et la portée de base. Les déploiements MCP en production nécessitent davantage.

Per-tool consent

L'utilisateur accorde à l'agent l'autorisation read_calendar mais lui refuse l'autorisation delete_email. cidaas enregistre les autorisations de manière détaillée pour chaque outil et les applique à chaque utilisation, et pas seulement lors de l'étape d'autorisation OAuth.

Multi-tenant isolation

Votre serveur MCP dessert des clients de différents locataires. Les jetons cidaas contiennent des informations relatives au locataire, et les politiques d'autorisation garantissent le respect des limites entre locataires: aucun risque de fuite de données entre locataires due à un outil mal configuré.

Human-in-the-loop approval

Certaines exécutions d'outils sont trop sensibles pour être effectuées de manière autonome. cidaas intègre CIBA pour permettre une validation humaine hors bande.

Audit et analyse

Chaque émission de jeton, accord de consentement, appel d'outil et décision stratégique est consigné dans un journal d'audit immuable. Ces informations sont associées à la fois à l'utilisateur (promoteur) et à l'agent (charge de travail). Conforme aux normes DORA, NIS2 et RGPD.

Rétroaction en temps réel

Les agents agissent rapidement. La révocation aussi. cidaas prend en charge la révocation instantanée des jetons (RFC 7009), le retrait du consentement et l'invalidation des certificats — le tout propagé en quelques secondes.

Cross-server consistency

Exploitez plusieurs serveurs MCP au sein d'un même tenant cidaas. Une identité, des politiques et un audit cohérents sur l'ensemble des terminaux MCP mis à disposition par votre organisation.

L´INTEROPÉRABILITÉ

MCP Authorization fonctionne
avec tous les clients MCP

cidaas est un serveur d'autorisation OAuth 2.1 conforme aux normes. Tous les clients MCP qui implémentent cette spécification fonctionnent dès leur installation.

Claude Desktop

L'assistant IA de bureau natif d'Anthropic

ChatGPT

La plateforme d'IA conversationnelle d'OpenAI

Cursor

L´éditeur de code basé sur l'IA par Anysphere

Les agents des douanes

LangChain, CrewAI & AutoGen

Pas de dépendance vis-à-vis d'un SDK. Pas de processus d'authentification propriétaire. Si c'est compatible avec OAuth 2.1, c'est compatible avec cidaas.

Consultez nos experts

Données qui ne quittent jamais l'UE

La souveraineté numérique commence par la gestion des données d'identité et d'autorisation.

cidaas permet une authentification et une autorisation MCP sécurisées grâce à un hébergement exclusivement européen, un traitement transparent et une conformité aux normes des entreprises.

Secure lock
AuthZEN AuthZEN
OAuth OAuth
EU EU Only
OIDC OIDC
Hosted in EU
Sovereign

L'autorisation MCP telle qu'elle devrait être. Hébergée en Europe.

Consultez notre équipe de la mise en place de cidaas comme serveur d'autorisation MCP: opérationnel en quelques jours, et non en plusieurs mois.

Demandez une démo

FAQs: MCP Auth

cidaas met en œuvre l'ensemble des spécifications d'autorisation MCP: OAuth 2.1 avec PKCE, l'enregistrement dynamique des clients (RFC 7591), les métadonnées des ressources protégées (RFC 9728), les métadonnées du serveur d'autorisation (RFC 8414), les indicateurs de ressources (RFC 8707) et l'utilisation des jetons « Bearer » (RFC 6750). Nous prenons également en charge l'authentification client DPoP, PAR, JAR et mTLS pour les déploiements renforcés.
Oui. cidaas est un serveur OAuth 2.1 conforme aux normes. Configurez le fichier .well-known/oauth-protected-resource de votre serveur MCP pour qu'il pointe vers votre tenant cidaas; ainsi, tout client MCP acheminera automatiquement l'autorisation via cidaas.
Oui - RFC 7591 et RFC 7592. Les clients MCP peuvent s'enregistrer au moment de l'exécution sans configuration manuelle. Vous pouvez également appliquer des règles d'enregistrement des clients, telles que des URI de redirection autorisées, des métadonnées obligatoires et des restrictions de portée.
cidaas prend actuellement en charge les modèles de délégation de type « agent à agent » et suit de près le projet ID-JAG de l'IETF visant à normaliser les autorisations d'assertion d'identité.
Oui. cidaas est certifié FAPI 2.0, ce qui signifie qu'il répond aux exigences de sécurité les plus strictes du profil OAuth pour les environnements financiers et réglementés.
La spécification MCP définit OAuth 2.1 en imposant l'utilisation de PKCE, de l'enregistrement dynamique des clients, des métadonnées de ressources protégées et des jetons liés à un public, ainsi que des flux de découverte propres à MCP.
Oui. Tous les clients MCP qui implémentent la spécification d'autorisation sont compatibles avec cidaas, y compris Claude Desktop, ChatGPT, Cursor et les frameworks d'agents personnalisés.
Retour en haut