企业托管授权扩展现已稳定，组织可通过身份提供商集中管理MCP服务器访问权限，终端用户只需一次登录即可自动连接所有授权服务器，无需逐个配置OAuth。该扩展已被Anthropic、微软、Okta等采用。

企业托管授权扩展现已稳定，组织可集中管理MCP服务器的授权，终端用户只需一次登录即可访问所有已连接的MCP服务器。该扩展正被Anthropic、Microsoft、Okta及越来越多的MCP服务器采用。

企业托管授权扩展解决了企业环境中授权和重复同意提示这一主要痛点。它允许组织通过受信任的身份提供商集中控制MCP服务器访问，对终端用户而言，这意味着零接触设置：首次登录时即可自动连接所需MCP服务器，无需逐个进行OAuth授权或单独配置。

标准MCP授权模型要求每个用户单独授权每台服务器，安全团队无法执行一致策略，且工作和个人账户容易混淆。这些因素阻碍了MCP的采用，导致人们采用脆弱的变通方案。

企业托管授权使组织的身份提供商成为MCP服务器访问的权威决策者。管理员定义一次策略，用户即可使用现有身份登录MCP主机。身份提供商可根据组成员身份、角色和条件访问规则授予或拒绝访问。底层机制中，客户端在单点登录期间从身份提供商获取身份断言JWT授权授权，并将其交换为MCP服务器授权服务器的访问令牌，用户无需经过每个服务器的同意屏幕。这带来三个特性：一次授权，处处继承；集中策略和审计；消除个人/企业账户混淆。

早期采用者包括：身份提供商Okta是首个受支持的身份提供商；客户端方面，Anthropic在Claude的共享MCP层实现了该扩展，Visual Studio Code也在IDE中添加了支持；服务器方面，Asana、Atlassian、Canva、Figma、Granola、Linear和Supabase现已支持EMA，Slack等正在积极添加支持。

我们期待更多身份提供商、客户端和服务器采用企业托管授权，以减少授权相关疲劳，显著改善实施者的安全性和可观测性。欢迎客户端、服务器和身份平台审查扩展规范并添加支持，可查阅企业托管授权页面、ext-auth仓库和草案规范，或加入EMA兴趣小组讨论。

根据评论内容，总结主要观点如下：

1. 对MCP认证新方案（EMA）的积极评价 - 多位评论者认为EMA解决了企业OAuth2.0的痛点，如管理随机应用、控制范围、令牌过期和设备绑定会话（评论6）。 - 评论7指出，MCP相比Skills/CLI的真正价值在于将认证流程隔离在代理上下文窗口之外，提升安全性和用户体验。 - 评论10强调，MCP作为“应用框架”统一了80%的通用层（如认证），EMA是巨大提升。 - 评论11表示，EMA解决了内部MCP和产品中MCP网关的认证痛点，期待与Linear等集成。 - 评论12认为，EMA比之前的设计更合理，体现了与专家合作的设计思路。

关键引用： - "A huge issue with Enterprise OAuth2.0 is managing all the random apps... So instead, you can run centralized infra to validate a user, device, what scopes their requesting and duration, and enforce policies for all your apps?" (评论6) - "The real valuable capability MCP offers over skills/CLI is isolating the auth flow outside of the agent’s context window... This is valuable from a security perspective... much easier user experience for normies and large businesses adopting AI tools." (评论7) - "With mcp 80% of this common layer is taken care for you. So mcp is really an 'app framework' than a protocol... Unified auth is a huuuge boost." (评论10)

2. 对MCP的质疑与批评 - 评论1表示不理解MCP认证相比常规OAuth的优势，需要示例对比。 - 评论3认为MCP是“集体妄想”。 - 评论14批评MCP不支持Web和长期Cookie，认为其设计“愚蠢”，并描述了自行破解的替代方案。

关键引用： - "I don't quite understand the advantage of this over regular oauth. I think I need an example comparison of the authz flows." (评论1) - "I thought we’re over this collective delusion called MCP" (评论3) - "If only they would support the web and let you just issue a long running cookie.... I hacked the spec to pass through a cookie via the oauth handshake to do this without needing an oauth server. Its really dumb they don't want to allow this." (评论14)

3. 对MCP认证的扩展应用建议 - 评论5指出，EMA基于新的令牌格式ID-JAG，不限于MCP，可用于任何使用相同SSO提供商的应用间安全数据共享。 - 评论9建议将类似机制用于CLI工具（如gcloud、knife、npm）。

关键引用： - "This is powered by a new token format called an ID-JAG... and isn't MCP specific at all. ID-JAGs can be used for safe and secure data sharing anywhere where data is shared between applications that use the same SSO provider." (评论5) - "Need this for CLI tools like gcloud, knife, npm, etc. Maybe an Okta based JWT." (评论9)

4. 对团队工作的认可与感谢 - 评论4、5、8、11、15对Anthropic、Okta、Microsoft、Figma、Linear、Atlassian等团队的合作与发布表示祝贺和感谢。

关键引用： - "Auth has been a wild journey in MCP. It really is a valuable differentiator to things like Skills for enterprises though. Congrats to the team on the ship." (评论4) - "Huge congrats to the folks behind this at Okta, A, Microsoft, Figma, Linear, etc..." (评论5) - "Hey folks - I am one of the folks at Anthropic that helped deliver this in partnership with Okta and a handful of MCP partners." (评论8)