Настройка OAuth авторизации в AgentCore Gateway для MCP-клиентов

Подготовлено редакцией Malakhov AI

AWS Machine Learning Blog·6 дней назад·1 минЛабораторииКод

Amazon Bedrock AgentCore Gateway позволяет реализовать авторизацию через OAuth 2.0 для агентных помощников, таких как Kiro IDE, при доступе к корпоративным MCP-серверам.

Кратко

—AgentCore Gateway выступает как OAuth-ресурсный сервер, проверяющий токены доступа перед обработкой запросов от ИИ-ассистентов.
—Процесс включает перенаправление пользователя на страницу входа Identity Provider (IdP) и получение кода авторизации с PKCE.
—Поддерживаются популярные IdP: Amazon Cognito, Okta, Microsoft Entra ID.
—Опциональный MCP OAuth proxy упрощает интеграцию, стандартизируя обмен данными между клиентом и сервером.
—Результат — каждый запрос ассистента содержит валидный токен, подтверждающий личность пользователя.

Глоссарий · 5 терминов▾

OAuth 2.0: Открытый протокол авторизации, который позволяет делегировать доступ к ресурсам без передачи пароля владельца ресурса сторонним приложениям.
PKCE: Расширение OAuth 2.0 для защиты потока кода авторизации от перехвата кода злоумышленником, использует динамически создаваемый ключ и верификатор.
MCP (Model Context Protocol): Протокол для обмена контекстом и инструментами между ИИ-моделями и внешними серверами, стандартизирующий доступ к данным и функциям.
Identity Provider (IdP): Система, которая управляет идентификацией пользователей и выдаёт токены после успешной аутентификации.
AgentCore Gateway: Компонент сервиса Amazon Bedrock AgentCore, обеспечивающий централизованную авторизацию и маршрутизацию запросов от ИИ-агентов к инструментам.

Amazon Bedrock AgentCore Gateway — компонент управляемого сервиса Amazon Bedrock AgentCore, который обеспечивает централизованную маршрутизацию и безопасность взаимодействия ИИ-агентов с инструментами. В контексте агентных сред разработки, таких как Kiro IDE, возникает необходимость аутентифицировать каждое обращение к корпоративным серверам Model Context Protocol (MCP).

Решение, предложенное AWS, основано на протоколе OAuth 2.0 с использованием потока кода авторизации (authorization code flow) и PKCE. В этой схеме AgentCore Gateway выступает как OAuth-ресурсный сервер: он отклоняет запросы без токена (HTTP 401 с заголовком WWW-Authenticate), после чего MCP-клиент получает Metadata о защищённых ресурсах и перенаправляет пользователя на страницу входа Identity Provider (IdP). Пользователь вводит учётные данные, IdP выдаёт код авторизации, который клиент обменивает на токен доступа. Все последующие запросы к MCP-серверу содержат этот токен в заголовке Authorization.

	Component	Required configuration
1	Identity provider	Create an OpenID Connect (OIDC) web application with Authorization Code and Refresh Token grants enabled.
2	AgentCore Gateway	Set inbound authorization to JWT. Configure the discovery URL to your IdP’s issuer (for example, https://{yourIdPDomain}/oauth2/default/.well-known/openid-configuration).
3	Kiro IDE	Add the Gateway URL in Settings > Connectors (or through the CLI). The client automatically triggers the OAuth flow if the Gateway returns a 401 Unauthorized with the correct auth headers.

Такой подход позволяет организациям использовать существующие системы управления идентификацией (Okta, Microsoft Entra ID, Amazon Cognito) без создания дополнительных сервисов. Для стандартизации взаимодействия между разными IdP и MCP-серверами AWS предлагает опциональный MCP OAuth proxy, который берёт на себя согласование спецификаций. В итоге разработчики получают готовую к эксплуатации конфигурацию, при которой каждое действие агентного ассистента подтверждено легитимной учётной записью пользователя.

Процесс включает перенаправление пользователя на страницу входа Identity Provider (IdP) и получение кода авторизации с PKCE.

Разобраться глубже

Как внедрить ИИ в бизнес в 2026 году: пошаговый план для руководителя

Практический гайд для руководителя: как выбрать первый проект с ИИ, подготовить данные, посчитать экономику и довести пилот до рабочего процесса.

Внедряю ИИ в бизнес — обсудим задачу

Аудит, пилотные проекты, полное внедрение. Начинаем с консультации.

Перейти к услугам

Получать анонсы в Telegram

Ежедневный дайджест лучших материалов об ИИ

Продолжить по разделам