事件经过
2026年6月23日,Okta宣布了跨应用访问(XAA)的25+生态系统合作伙伴——一个OAuth扩展(基于IETF ID-JAG草案),通过企业IdP而非静态API密钥路由AI代理连接。合作伙伴跨越请求应用(Claude、Cursor、Docker、VS Code、Zoom)、资源应用(Asana、Atlassian、Datadog、Figma、Slack、Supabase)和网关基础设施(Cloudflare、Zuplo)。XAA现是MCP的官方企业托管授权扩展,该扩展于2026年6月18日稳定。Okta Workforce GA通过集成网络计划于2026年8月;Auth0 EA于7月。
影响分析
用IdP策略管理的短期令牌替换每个AI代理连接的静态API密钥治理——实现即时撤销、完整审计跟踪和集中访问控制。IBM数据显示,97%的遭受AI相关违规的组织缺乏适当的AI访问控制。以Claude、Cursor和20多个其他合作伙伴作为启动合作伙伴,这是成为事实上的代理授权标准的领先候选。
适用范围
任何通过MCP连接工具部署AI代理的企业;Okta客户应注册8月GA;非Okta客户应现在评估XAA/ID-JAG一致性。