株式会社 Authlete(オースリート、本社:東京都千代田区、代表取締役:川﨑貴彦、以下 Authlete)は、OAuth・OpenID Connect (OIDC) バックエンドサービス「Authlete 3.0」に最新の Model Context Protocol(MCP) 仕様に採用された OAuth Client ID Metadata Document (CIMD) 仕様、さらに MCP 対応認可サーバーの実運用時のセキュリティ強化と開発効率化を実現する機能を実装しましたのでお知らせします。
SaaS ベンダーや医療・金融・法務などのデータを活用したビジネスを展開する企業、小売・E コマース事業者など、保有するデータや機能を MCP によって AI エージェントに提供するサービス事業者や公的機関は、Authlete を活用することで、OAuth に準拠した認可機能を MCP サービス基盤にセキュアかつ効率的に実装できます。
MCP は、AI(人工知能)アプリケーションから外部システムへの接続に関するオープンソース標準です。2024年に Anthoropic 社が提唱した MCP は、Amazon Web Services、Cloudflare、Google、Microsoft、OpenAI などの大手 IT ベンダーに相次いで採用され、2025年11月には最新版が公開されました。
MCP サーバー(MCP を通じてデータや機能を提供するシステム)をインターネット上に公開するサービス提供者は、セキュリティを担保するために、顧客やパートナーが利用する MCP クライアントにアクセス権限を付与するための OAuth 認可サーバーを自社に構築する必要があります。
MCP の最新版に採用されている OAuth 仕様には、CIMD の他、Authlete が従来より対応している「OAuth 2.1 IETF DRAFT」「Authorization Server Metadata (RFC 8414)」「Dynamic Client Registration Protocol (RFC 7591)」「Resource Indicators for OAuth 2.0 (RFC 8707)」があります。
OAuth の認可フローにおいて、認可サーバーが、クライアントから提示された URL からクライアントの情報(クライアントメタデータ)を取得する仕組みです。CIMD を用いると、これまで一般的だった、認可サーバーにおけるクライアント情報の事前登録が不要となります。そのため、特に MCP のような、クライアントと認可サーバーの動的な連携が想定されている場合に有用です。
認可サーバーの CIMD 対応にあたっては、同仕様が可能にする「動的なクライアント登録」を実現するだけではなく、意図しないクライアントからの登録を防ぎ、さらに取得したクライアントメタデータの内容を適切に処理するためのしくみが必要です。そこで Authlete では、CIMD 仕様に準拠した API の提供に加え、以下の機能を独自に実装しています。
セキュリティ強化に加えて、サービス事業者における認可サーバーの開発を効率化するために、以下の設定を提供しています。
これらの機能の詳細については、開発者向けドキュメント(https://www.authlete.com/ja/developers/cimd/)をご覧ください。
CIMD の実装を含む MCP 対応の認可サーバーの構築に、Authlete を無償でお試しいただけます。弊社ウェブサイト(https://console.authlete.com/register)からご登録ください。
また、CIMD の実装について、2026年2月18日(水)に主催の「OAuth & OpenID Connect 勉強会ー最新 MCP 仕様対応認可サーバー構築ハンズオン」で解説します。参加者は、Authlete を活用して CIMD を含む OAuth 仕様を実装して、MCP に対応した認可サーバーの構築を体験できます。このイベントの詳細と参加登録は、https://authlete.connpass.com/event/380872/ をご覧ください。
.png)
