企业管理授权扩展现在已稳定。组织可以集中管理 MCP 服务器的授权，最终用户可以通过单一登录访问所有连接的 MCP 服务器。该扩展正在被 Anthropic、Microsoft、Okta 和越来越多的 MCP 服务器采用。企业管理授权（EMA）扩展现在已稳定。我们从社区了解到，来自连接的 MCP 服务器的授权和重复同意提示是管理企业环境中的连接性时最大的痛点之一。该扩展帮助解决了这个问题。EMA 允许组织通过其受信任的身份提供者集中控制对 MCP 服务器的访问。对于最终用户，这意味着零接触设置：他们所需的 MCP 服务器在首次登录时自动连接，无需单独配置每个应用的 OAuth。每个用户的授权具有高摩擦性。标准的 MCP 授权模型旨在用户范围内并绑定到传统的交互式授权规范。虽然这可能适用于更一般的消费者场景，在这些场景中，个人决定哪些接触他们的数据，但对于企业部署而言，这并不好扩展：每个员工都必须单独授权每个服务器：入职意味着手动连接一个又一个服务。安全团队无法强制执行一致的政策：访问权限由每个用户授权，而没有中央控制或审计轨迹。工作和个人账户模糊在一起：没有办法要求使用企业身份，因此用户可以将个人账户连接到工作工具。这一系列因素的组合 slows MCP adoption and pushes people toward brittle workarounds. 由于没有通用标准来保持共享身份状态，每个人都在创造自己的定制解决方案。数据和工具是可用的，但每个用户的授权税让大多数人保持关闭状态。一次授权，处处继承。企业管理授权使组织的身份提供者成为 MCP 服务器访问的权威决策者。管理员定义一次政策，用户可以使用其现有身份登陆 MCP 主机。身份提供者可以根据组成员身份、角色和条件访问规则授予或拒绝访问。在幕后，客户端在单点登录期间从身份提供者获得身份声明 JWT 授权授权（ID-JAG），并将其兑换为 MCP 服务器授权服务器的访问令牌。用户永远不会通过每个服务器的同意屏幕进行重定向。该流程蕴含三个特性：一次授权，处处继承：管理员为组织启用服务器。用户会自动获得，限制在他们已经拥有的组和角色中。集中政策和审计：访问决策存在于身份提供者管理控制台中，具有一个可审计的跨所有连接器的审计轨迹。消除个人/企业混淆：通过消除交互式帐户选择步骤，更容易防止个人和企业账户之间意外或妥协的数据流动。我们将此视为企业 MCP 的全新基线。当用户登录时，他们的客户端应连接到他们被授权使用的工具和数据之间没有额外的步骤。早期采用者此发布带来了三个紧密合作以使实施成为现实的团队：身份提供者：Okta 是第一个支持的身份提供者。使用 Okta 的组织可以通过任何支持的客户端为支持的服务器配置 MCP 访问，使用 Okta 的跨应用访问（XAA）。客户端：Anthropic 在其共享的 MCP 层中为 Claude 实现了该扩展。管理员可以在 Claude、Claude Code 和 Cowork 中为用户授权 MCP 服务器。此外，Visual Studio Code 也在 IDE 中添加了对 EMA 的支持。服务器：Asana、Atlassian、Canva、Figma、Granola、Linear 和 Supabase 现在支持 EMA，Slack 和其他更多也在积极添加支持。我们期待更多的身份提供者、客户端和服务器采用企业管理身份，以帮助减少与授权相关的疲劳，并显著改善其实施者的安全性和可观察性。 "MCP 周围的动力是不可思议的，但随着我们朝着互联的 AI 劳动力发展，安全不能成为事后的想法。通过将跨应用访问协议嵌入到 MCP 中作为企业管理授权扩展，我们将身份转变为集中治理平台，让安全团队获得严格的合规控制，让用户获得无缝、安全的体验。" — Aaron Parecki，Okta 身份标准总监"Figma 的 MCP 将代码和画布的力量结合在一起，使团队能够更快地移动、探索更多并且推出引人注目的产品。随着 MCP 的采用增加，XAA 使企业能够安全地扩展其 MCP 部署，而不会减缓团队的速度。" — Devdatta Akhawe，Figma 工程副总裁"一次登录，并且自动让您所有的 MCP 连接器自动