[新製品・サービス]

2025年6月24日(火)IT Leaders編集部、日川 佳三

リスト

　米Oktaの「Cross App Access」は、ID管理/IDaaSサービス「Okta」で利用可能な、AIエージェント向けの認可プロトコルである。2025年第3四半期に、一部のOkta Platformユーザーに提供する。

　後述する、OAuthの拡張機能によって実装している。AIエージェントからGoogleドライブやSlackなどの外部サービスへの接続認可を、IDの認証/アクセス管理を担うIdP（IDプロバイダー）のOktaが、ユーザーの介在なくバックエンドで自動で行う（図1）。

図1：AIエージェント向け認可プロトコル「Cross App Access」のイメージ（出典：米Okta）
拡大画像表示

　一般に、AIエージェントなどのAIツールは、MCP（Model Context Protocol）やAgent2Agent（A2A）といったプロトコルを介して企業内の関連データやアプリケーションなどの外部サービスに接続している。「しかし、こうした外部サービスとの接続には、ユーザーが手動で各サービスにログインし、接続認可の同意を行わなくてはならない。この同意のプロセスはIdPサーバーの管理外で行われている」（Okta）。

　Cross App Accessでは、IdPであるOktaがサービス間を仲介して接続認可を行う。OAuthの拡張機能「Identity and Authorization Chaining Across Domains（ドメイン横断のID/認可チェーン）」（トークン交換のRFC 8693、認可付与のJWTプロファイルのRFC 7523）と、「Identity Assertion Authorization Grant」（認可情報をサービス間で付与する仕組みを定義したドラフト仕様）を組み合わせている。下記と図2は動作の仕組み、図3はシーケンス図である。

1. ユーザーが通常どおりIdPを介してAIアプリケーションにログイン
2. AIアプリケーションが「このユーザーの外部サービスへのアクセス権を要求」というリクエストをIdPに送信
3. IdPが要求を検証し、管理者が認可した接続であることを確認後、中間トークンを発行
4. AIアプリケーションが中間トークンを使って目的の外部サービスからアクセストークンを取得

図2：Cross App Accessの動作の仕組み（出典：米Okta）
拡大画像表示

図3：Cross App Accessのシーケンス図（出典：米Okta）
拡大画像表示