JAWS_AI_Builders_Day_2025_AgentCore_Gateway_Copilot_Studio

Transcript

1. AgentCore Gateway × AgentCore Runtime × MCP × Copilot Studio：

   エンタープライズ実装のベストプ ラクティス KINTO Technologies 2025/12/20

2. ©KINTO Corporation. All rights reserved. 2 本日ご紹介するサービス Amazon AgentCore Gateway

   AWS Cognito Azure EntraID AWS Lambda Amazon AgentCore Runtime

3. ©KINTO Corporation. All rights reserved. 3 プロフィール KINTOテクノロジーズ株式会社 コーポレートIT部 AIファーストG

   生成AIエンジニア 喬 禹 /Alex マーケティングリサーチ、知的財産SaaSにおけるカスタマーサクセ ス・PMを経て、AI開発PMとして技術・ビジネス両面からプロジェク トを推進。現在は生成AIエンジニアとして、技術検証から導入まで一 貫して携わっている。 直近では、AIエージェント開発の社内共通基盤の開発や、社内MCP開 発の推進に参画している。

4. ©KINTO Corporation. All rights reserved. 4 プロフィール KINTOテクノロジーズ株式会社 コーポレートIT部 AIファーストG

   生成AIエンジニア 陸 興琨 / Xingkun LU クラウドエンジニア、AIコンサルタントとして、クラウド基盤および AIソリューションの設計・構築・開発を経験した。 現在は、生成AIエンジニアとして、技術検証〜設計・実装〜導入まで 一気通貫で担当している。 直近では、AIチャットボット、Agent・MCP、AI活用基盤整備、AIア バター等を推進している。

5. ©KINTO Corporation. All rights reserved. 55 ※11/21 時点のHPより引用

6. ©KINTO Corporation. All rights reserved. 6 弊社について グループ内では「KTC」 だと呼ばれている

7. ©KINTO Corporation. All rights reserved. 77

8. ©KINTO Corporation. All rights reserved. 8 前提の整理

9. ©KINTO Corporation. All rights reserved. 9 KTCでのAgent・MCP利活用の推進状況について AI エージェントの利活用推進 内製

   AI エージェント開発促進 MCP利活用推進 内製MCP開発推進 2025年1月 2025年4月 2025年7月 2025年10月 2026年1月 KTC Agent Store v1.0 リリース 現在地

10. ©KINTO Corporation. All rights reserved. 10 KTC での AI エージェント利活用促進の現在地

    対象者 内製 MS Atlassian Google Cloud Github Anthropi c AWS その他 初心者 KTC AI Web M365 Copilot Rovo Gemini - - - - ジェネラリスト KTC AI Web M365 Copilot / Copilot Studio Rovo Gemini - - - n8nなど エンジニア KTC AI Web M365 Copilot / Copilot Studio Rovo Gemini Github Copilot Claude Code Amazon Q Cursor / Codex Cli / n8n など KTC社内で利用可能な AI エージェント Client の例

11. ©KINTO Corporation. All rights reserved. 11 KTC での内製 AI エージェント開発促進の現在地

    内製 AI エージェントの開発に関しても、マルチプラットフォームで進めている

12. ©KINTO Corporation. All rights reserved. 12 KTC での内製 AI エージェント開発促進の現在地

    内製 AI エージェント開発のプラットフォームとしての「KTC Agent Store」 Agentの内製開発をより便利にするために、社員がAgentを自由に開発、 共有、ダウンロードして再利用するプラットフォーム、「KTC Agent Store」のv1.0を5月にリリースした Agent Store v1.0では以下の二つの要素で構成している • Amazon Bedrock エージェントをGithub Actions + Cloudformation でデプロイする CICD フロー • エージェントの Cloudformation を社内で公開するための Github リポジトリ KTCテックブログでは詳し くご紹介している リンク

13. ©KINTO Corporation. All rights reserved. 13 KTC での内製 MCP サーバーの開発の現在地

    KTC では、以下の課題により内製 MCP 開発についてはまだ普及前の段階にある • セキュリティー、認証認可面ではまだ対応が充実ではない印象 • 社内DBにアクセスするMCPなどを内製開発する際の最大の懸念点 • 公式では OAuth 2.0 Dynamic Client Registration（DCR）の実装が必須と記載しているがほとん どの著名サービスの認可サーバーにはまだ DCR に非対応しているイメージ（*2025年10月調べ） • KTCで使用している Microsoft Entra ID に関しても、公式の問い合わせでは2025年8月21日に 「対応する計画がありません」と言及する返信があった • MCP サーバーの数が増えると認証認可の管理が大変そう • MCP サーバーを開発するための学習コストの存在 期待 • Claude Code や Github Copilot などのエンジニア向けのツールだけから呼び出せるだけではなく、非 エンジニアでも使いこなせるツール（M365 Copilot など）からでも呼び出せるようにしたい

14. ©KINTO Corporation. All rights reserved. 14 KTC で実現したい MCP サーバーのアーキテクチャー

15. ©KINTO Corporation. All rights reserved. 15 KTC で実現したい MCP サーバーのアーキテクチャー

    異なるMCPサーバーを 一つのGatewayで管理す ることで、認証認可の管 理をシンプルにしたい。 Entra ID とも連携できたら なお便利。 内製MCPサー バーの開発ハード ルを下げるサービ スがあったら試し てみたい 非エンジニアで も使いこなせる ツール（M365 Copilot など） からでも呼び出 せるようにした い

16. ©KINTO Corporation. All rights reserved. 16 AgentCore リリース当初の KTC の感想

    技術調査をしていた時の感想 • KTCでは、既存サービスの大多数が AWS で構築・運用しているため、AgentCore Gateway の「既存の Lambda 関数を、ほぼコードを書かずに AI エージェントが使える MCPツールに変換できる」特徴が非常に強力だと考えている • すでに MCP を呼び出すことができるクライアントを社内で複数導入しているので、これで MCP 開発を進めれば社内のMCP開発・利用が一気に浸透しそう 論点 • MCP の認証認可の課題も、AgentCore Gateway で解決できそうだけど、社内で使ってい る Entra ID と連携できる？ • AgentCore RuntimeにデプロイしたMCPサーバーも、Gatewayに追加できる？ • （AgentCore の機能とは別論点になるが）M365 Copilot みたいな、誰でも使えるクライ アントから MCP サーバーを呼び出せる？ ここの 検証を やって みた

17. ©KINTO Corporation. All rights reserved. 17 M365 Copilot から MCP

    サーバーにアクセスするためには M365 Copilot から MCP サーバーにアクセスするためには、 呼び出し側のエージェントを Copilot Studio で作成する必 要がある • Copilot Studio は、マイクロソフトが提供している、AI エージェント（Copilot）を開発・カスタマイズできるロー コードプラットフォーム • KTCでは、特に非エンジニア向けに M365 Copilot、 Copilot Studio の導入を勧めしている

18. ©KINTO Corporation. All rights reserved. 18 今回試したこと

19. ©KINTO Corporation. All rights reserved. 19 連携後のイメージ – 採択したもの Amazon

    AgentCore Gateway AWS Cognito Azure EntraID /mcp List tools Invoke tool OIDC認証・ トークン発行 （IdP） フェデレーション （OIDC） OIDC認証 Agentの クライア ント Authorization: Bearer <access_token> AWS Lambda Amazon AgentCore Runtime (MCP Server) AWS Cloud Amazon AgentCore Code Interpreter

20. ©KINTO Corporation. All rights reserved. 20 連携後のイメージ – 採択したもの Amazon

    AgentCore Gateway AWS Cognito Azure EntraID /mcp List tools Invoke tool OIDC認証・ トークン発行 （IdP） フェデレーション （OIDC） OIDC認証 Agentの クライア ント Authorization: Bearer <access_token> AWS Lambda Amazon AgentCore Runtime (MCP Server) AWS Cloud Amazon AgentCore Code Interpreter 目的は検証のため、一旦AgentCore公式で 提供しているCode Interpreterで実装 今日の天気に ついて「晴 れ」とレスポ ンスする Lambdaで 実装

21. ©KINTO Corporation. All rights reserved. 21 連携後のイメージ – 初期案 Amazon

    AgentCore Gateway Azure EntraID /mcp List tools Invoke tool AWS Lambda OIDC認証・ トークン発行 （IdP） OIDC認証 Authorization: Bearer <access_token> Agentの クライア ント Amazon AgentCore Runtime (MCP Server) AWS Cloud Amazon AgentCore Code Interpreter

22. ©KINTO Corporation. All rights reserved. 22 連携後のイメージ – 初期案 Amazon

    AgentCore Gateway Azure EntraID /mcp List tools Invoke tool AWS Lambda OIDC認証・ トークン発行 （IdP） OIDC認証 Authorization: Bearer <access_token> Agentの クライア ント Amazon AgentCore Runtime (MCP Server) AWS Cloud Amazon AgentCore Code Interpreter ここの連携の設 定がうまくいか なかった

23. ©KINTO Corporation. All rights reserved. 23 AgentCore Gateway 側の設定方法

24. ©KINTO Corporation. All rights reserved. 24 設定手順① – Entra ID、Lambda

    の準備 Azure EntraID 側でアプリケーションを作成 1. 「アプリの登録」で今回使用するアプリケーションを作成 2. 「アプリの登録」→「エンドポイント」でエンドポイントの情報を控える AgentCore Gateway に追加したい Lambda を用意する • 今回は、天気に関する問い合わせに「晴れ」と返すテス ト用の Lambda を用意

25. ©KINTO Corporation. All rights reserved. 25 設定手順② - AgentCore Runtime

    に MCP サーバーをデプロイ AgentCore Runtime に MCP サーバーをデプロイする • 公式の bedrock-agentcore-starter-toolkit を利用する • ローカルコードと作成した Cognito User Pool を使用して「agentcore configure」コマンドを実 行し、.bedrock_agentcore.yamlとDockerfileを生成する。 Cognito でアプリケーションクライアントを作成する • AgentCore Runtime認証用のUser Poolを作成する • アプリケーションクライアントを作成し、アプリケーションタイプはM2Mにする ローカルで MCP サーバーのメインプログラムを作成する • コード内にAgentCore Code Interpreterにアクセスしコードを実行するためのMCPサーバーを実装 % agentcore configure \ --name my_mcp_server \ --entrypoint main.py \ --authorizer-config "{ \"customJWTAuthorizer\": { \"discoveryUrl\": \"https://cognito-idp.us-west-2.amazonaws.com/${COGNITO_USER_POOL_ID}/.well-known/openid-configuration\", \"allowedClients\": [\"${COGNITO_CLIENT_ID}\"] } }" \ --protocol MCP

26. ©KINTO Corporation. All rights reserved. 26 設定手順② - AgentCore Runtime

    に MCP サーバーをデプロイ Amazon Bedrock AgentCore Identity でアウ トバウンド認証を作成する • アウトバウンド認証を新規追加する • プロバイダは「カスタムプロバイダー」にする • プロバイダーの設定を「検出URL」にし、検出 URL 欄には先ほど作成した Runtime 用の Cognito の検出 URL を追加

27. ©KINTO Corporation. All rights reserved. 27 設定手順③ - AgentCore Gateway

    の作成 Amazon Bedrock AgentCore Gateway を作成する • 作成したUser Poolの情報をInbound Authとして使用する • ターゲットに事前に用意したLambdaをARNで追加し、イン ラインスキーマエディタJSONを編集 AgentCore Gateway 用の Cognito を作成 • Cognito上でAgentCore Gateway認証用のUser Poolを作成 する

28. ©KINTO Corporation. All rights reserved. 28 設定手順③ - AgentCore Gateway

    の作成 Action Group 1 を追加する • ターゲットタイプは Lambda にし、ARN には設定手 順①で作成した Lambda の ARN を記入する • インラインスキーマエディタを記入する Action Group 2 を追加する • ターゲットタイプは MCP server にし、MCP endpoint には設定手順②で作成した AgentCore Runtime 上の MCP サーバーの endpoint を記入する • OAuth クライアントは、設定手順②で作成した AgentCore Identity を選択する

29. ©KINTO Corporation. All rights reserved. 29 設定手順④ - EntraID を

    IdP として設定 Cognito 側で EntraID を IdP として追加する 1. 手順③で作成したユーザープールで、「認証」→ 「ソーシャルプロバイダーと外部プロバイダー」をク リックし、「アイデンティティプロバイダーを追加」 を進める 2. 「OpenID Connect (OIDC)」を選択し、EntraID 側 のエンドポイント情報で追加を完了する （これでMCPサーバー側の設定は一旦完了したが、呼び 出し側の設定を行う際に追加で設定する箇所がある） Azure EntraID 側でリダイレクト URI を設定する 1. 「アプリの登録」→「リダイレクト URI 」にて、下記Cognitoのリダイレクト URIを設定 • https://<your-cognito-domain>.auth.<リージョン >.amazoncognito.com/oauth2/idpresponse

30. ©KINTO Corporation. All rights reserved. 30 設定手順のサマリー ①Entra ID、Lambda の準備

    • Azure EntraID 側でアプリケーションを作成 • AgentCore Gateway に追加したい Lambda を用意 する ②AgentCore Runtime に MCP サーバーをデプロイ • ローカルで MCP サーバーのメインプログラムを作成す る • Cognito でアプリケーションクライアントを作成する • AgentCore Runtime に MCP サーバーをデプロイする • Amazon Bedrock AgentCore Identity でアウトバウ ンド認証を作成する ③AgentCore Gateway の作成 • AgentCore Gateway 用の Cognito を作成 • Amazon Bedrock AgentCore Gateway を作成する • Action Group 1 を追加する ④EntraID を IdPとして設定 • Cognito 側でEntraIDをIdPとして追加する • Azure EntraID 側でリダイレクト URI を設定する

31. ©KINTO Corporation. All rights reserved. 31 Copilot Studio 側の設定方法

32. ©KINTO Corporation. All rights reserved. 32 Copilot Studio でリモート MCP

    サーバーを呼び出したい場合 2025年10月以前 • PowerApps でカスタムコネクタを作成し、それを Agent のツール として設定するという実装方法を公式で紹介されていて、実質その 方法しかなかった • カスタムコネクタは、OAuth2.0、API キー、ID パスワート形式、 3つの認可形式を対応している 2025年10月以降 • Agent 作成→ツール→新しいツールを追加でMCPサーバーの呼び出 しツールを直接追加可能になった • 認証認可方法に関しては、同じく OAuth2.0、API キーをサポート している • 今回はこちらのやり方で検証してみた

33. ©KINTO Corporation. All rights reserved. 33 今回行った設定 Agent と tool

    を新規作成する • Copilot Studioで新しいAgentを作成する • 作成したAgentに入り、上部メニューの「Tools」→ 「+ Add a tool」→「 + Add a tool」をクリックする • 「Model Context Protocol」を選択する

34. ©KINTO Corporation. All rights reserved. 34 今回行った設定 AgentCore GatewayのConnectionを追加する •

    Cognitoから関連情報を入手し、入力する

35. ©KINTO Corporation. All rights reserved. 35 今回行った設定 Cognito 側で Redirect

    URL を設定する • 情報を入力後、「Create」をクリックして初期作成を完了する。自動生成された「Redirect URL」を取得する • 取得した「Redirect URL」を、AgentCore GatewayのCognitoのUser PoolのApp ClientのLogin Page設定に入 力する。

36. ©KINTO Corporation. All rights reserved. 36 今回行った設定 Copilot Studio のエージェント側で

    Connection を追加する • Copilot Studioの画面に戻り、「Next」をクリックする。次の画面で「Connection」プルダウンか「Create new connection」をクリックする • 成功すると、前の画面に戻り、 「Connection」プルダウンに新しく作成したConnection名が表示される

37. ©KINTO Corporation. All rights reserved. 37 今回行った設定 Copilot Studio のエージェント側での作成を完了する

    • 「Add and Configure」をクリックして、作成を完了する

38. ©KINTO Corporation. All rights reserved. 38 Copilot Studio での設定手順のサマリー 1.

    CopilotでAgentを新規作成する 2. AgentCore GatewayのConnectionを追加する 3. Cognito 側で Redirect URL を設定する 4. Copilot Studio のエージェント側で Connection を追加する 5. Copilot Studio のエージェント側での作成を完了する

39. ©KINTO Corporation. All rights reserved. 39 最終アーキテクチャ Amazon AgentCore Gateway

    AWS Cognito Azure EntraID /mcp List tools Invoke tool OIDC認証・ トークン発行 （IdP） フェデレーション （OIDC） OIDC認証 Authorization: Bearer <access_token> AWS Cloud AWS Lambda Amazon AgentCore Runtime (MCP Server)

40. ©KINTO Corporation. All rights reserved. 40 動作確認 – 天気を取得するMCP

41. ©KINTO Corporation. All rights reserved. 41 動作確認 – Code Interpreter

    MCP

42. ©KINTO Corporation. All rights reserved. 42 感想 • 内製開発した MCP

    サーバーをセキュリティが担保された前提でアクセスすることができるので、 今後の MCP サーバー開発促進においては AgentCore を優先的に提案してみたくなった • 既存の Lambda を Gateway のターゲットに追加することで MCP サーバーとして機能する点で、 MCP サーバーの開発ハードルをだいぶされられるという印象を得た • Lambdaをどんどん追加することでスケールアップも簡単 • AgentCore Gateway と EntraID を併用する方法については、内製 MCP サーバーのガバナンス についても可能性を感じた • プロダクトごと・チームごと自らの AgentCore Gateway と EntraID アプリケーションを管 理するなど

43. ©KINTO Corporation. All rights reserved. 43 今後について

44. ©KINTO Corporation. All rights reserved. 44 今後について • 今回の構成を引き続き改善していきたい •

    2つの Cognito が作られたので、それを1つにすることができないかをテストしたい • AgentCore Gateway の認証認可で直接 Entra ID を使う方法を模索したい • Tool レベルの認証認可の実現方法を模索してみたい • ダミーの Lambda ではなく、本格的な機能で MCP サーバーを開発してみたい • Github Copilot や Claude Code など、他のクライアントからの接続方法も試してみる • AgentCore の各サービスを CloudFormation でデプロイする仕組みを構築し、社内 CICD の標準フローを構築する • 今回に re:Invent では API Gateway に MCP プロキシサポートが追加されることが発表され、 AgentCore Gateway のターゲットに API Gateway のエンドポイントも追加できるように なったので、それ試してみたい

45. ©KINTO Corporation. All rights reserved. 45 アーキテクチャの将来像 Amazon AgentCore Gateway

    AWS Cognito Azure EntraID /mcp List tools Invoke tool OIDC認証・ トークン発行 （IdP） フェデレーション （OIDC） OIDC認証 Agentの クライア ント Authorization: Bearer <access_token> AWS Lambda Amazon AgentCore Runtime (MCP Server) 社内業務 システム、 DBなど AWS Cloud API Gateway

46. ©KINTO Corporation. All rights reserved. 46 今後も引き続き弊社テックブログで発信していきます KINTOテックブログ

47. ©KINTO Corporation. All rights reserved. 47 以上、 ご清聴ありがとうございました