MCP istemcileri için Entra ID kimlik doğrulama köprüsü: mcp-sso
MCP sunucularında Entra ID gibi sağlayıcılar DCR desteklemediği için OAuth akışı kırılıyor; mcp-sso açık kaynak köprüsü bunu çözüyor.
MCP sunucularını kurumsal ortamlarda kullanan mühendisler için basit API anahtarı çözümleri kalıcı, revoke edilemeyen ve tek bir paylaşılan sırrın sızmasına açık bir güvenlik riski oluşturuyor. MCP spesifikasyonu OAuth 2.1'i önerir ve istemciler (Claude Code, claude.ai gibi) bir URL yapıştırıldığında otomatik olarak kayıt olabilmek için Dynamic Client Registration (DCR) protokolüne güveniyor. Sorun şu: Entra ID ve Cloudflare Access gibi yaygın kimlik sağlayıcılar DCR uç noktası sunmuyor, bu da 'URL'yi yapıştır, bağlan' deneyimini kırıyor ve manuel OAuth entegrasyonuna geri dönülmesini gerektiriyor.
mcp-sso adlı açık kaynak proje bu boşluğu dolduran bir ara katman sunuyor. İstemcilere karşı DCR, PKCE ve onay akışlarını standart bir OAuth sunucusu gibi konuşuyor, kimliği gerçek IdP üzerinden (Cloudflare Access veya Entra ID) doğruluyor ve yalnızca kendi sunucusuna özgü, sınırlı kapsamlı tokenlar üretiyor — böylece IdP'nin asıl token'ları hiçbir zaman istemciye ulaşmıyor. Proje; Claude Code, Codex CLI, claude.ai, ChatGPT ve resmi MCP SDK dahil beş gerçek istemciyle Cloudflare Access üzerinden uçtan uca test edilmiş; Entra ID entegrasyonu da Claude Code ve Claude Desktop ile gerçek bir kurumsal ortamda doğrulanmış.
Güvenlik tarafında proje minimal bağımlılık (jose), fail-closed davranış, tek kullanımlık hash'lenmiş kodlar/token'lar, yayımlanmış bir STRIDE tehdit modeli ve Sigstore provenance ile imzalı npm yayınları sunuyor. MIT lisanslı ve şu an Cloudflare Access ile Entra ID'yi desteklerken, yol haritasında genel OIDC, Google/GitHub ön ayarları ve cihaz akışı bulunuyor. IdP'niz zaten DCR destekliyorsa bu araca ihtiyacınız yok; mcp-sso özellikle bu desteğin olmadığı kurumsal senaryolar için tasarlanmış.