MCP Zero-Touch OAuth, enterprise agent 도입의 지루한 병목을 겨냥

MCP의 Enterprise-Managed Authorization이 stable로 올라왔다. 요지는 간단하다. 회사가 identity provider에서 MCP server 접근 정책을 한 번 정하면, 사용자는 첫 로그인 때 필요한 서버를 자동으로 연결받는다. 서버마다 OAuth 동의 화면을 다시 밟는 방식이 아니라, 조직의 IdP가 권한 판단의 기준이 된다.

공식 글은 이 방식을 zero-touch OAuth로 설명한다. 사용자는 MCP host에 기존 회사 계정으로 로그인하고, 클라이언트는 single sign-on 과정에서 Identity Assertion JWT Authorization Grant, 즉 ID-JAG를 받아 MCP server의 authorization server에서 access token으로 교환한다. 관리자는 group, role, conditional access 같은 기존 규칙으로 접근을 제어하고, 감사 기록도 IdP 쪽에 모을 수 있다.

초기 채택자 목록도 enterprise 방향을 분명히 보여준다. Okta가 첫 지원 identity provider로 언급됐고, Anthropic은 Claude, Claude Code, Cowork에 걸친 shared MCP layer에 구현했다. Visual Studio Code도 IDE에서 지원을 추가했다. 서버 쪽에서는 Asana, Atlassian, Canva, Figma, Granola, Linear, Supabase 등이 이름을 올렸고 Slack도 추가 중이라고 설명됐다.

HN 댓글의 관심은 “MCP 대 skills” 같은 표면 논쟁보다 인증 구조에 모였다. agent의 context window 밖에서 인증을 처리하고, 개인 계정과 회사 계정이 섞이는 문제를 줄이며, 중앙 정책과 감사가 가능해진다는 점이 핵심이다. 실제 기업 배포에서는 connector 하나를 붙일 때마다 사용자가 동의 화면을 통과하는 것만으로도 도입이 늦어진다.

이 업데이트는 화려한 모델 성능 뉴스가 아니다. 하지만 enterprise agent가 실제 업무 도구에 닿으려면 권한, 감사, 계정 경계가 먼저 풀려야 한다. Zero-touch OAuth는 그 지루한 부분을 표준으로 밀어 넣는 움직임이다.

Source: Hacker News discussion and Model Context Protocol blog.