Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュアな認可付きリモートMCPサーバーをAWSマネージドサービスでつくろう! / Let's...

Avatar for 株式会社カミナシ 株式会社カミナシ
October 10, 2025
Technology
0
8

セキュアな認可付きリモートMCPサーバーをAWSマネージドサービスでつくろう! / Let's build an OAuth protected remote MCP server based on AWS managed services

2025/10/11
JAWS FESTA 2025 in 金沢
https://jawsfesta2025.jaws-ug.jp/

セキュアな認可付きリモートMCPサーバーをAWSマネージドサービスでつくろう!

高井 真人
ソフトウェアエンジニア

Avatar for 株式会社カミナシ

株式会社カミナシ

October 10, 2025
Tweet

More Decks by 株式会社カミナシ

See All by 株式会社カミナシ
そのWAFのブロック、どう活かす? サービスを守るための実践的多層防御と思考法 / WAF blocks defense decision
Avatar for 株式会社カミナシ kaminashi
0
7
カミナシ社の『ID管理基盤』製品内製 - その意思決定背景と2年間の進化 #AWSUnicornDay / Kaminashi ID - The Big Whys
Avatar for 株式会社カミナシ kaminashi
3
1.2k
CSテラコヤ - 新規プロダクトの市場探索と顧客体験設 計 立ち上げのリアルをお話します 編 / CS Terracoya - Market exploration and customer experience design for new products - The reality of launching
Avatar for 株式会社カミナシ kaminashi
0
470
Sentry初心者が便利だなと思ったポイントと活用事例 / Helpful Points and Use Cases for Sentry Beginners
Avatar for 株式会社カミナシ kaminashi
0
82
読書会から始める関数型ドメインモデリング / Learning Functional Domain Modeling Through a Reading Group
Avatar for 株式会社カミナシ kaminashi
3
160
プロダクト進化とグロースを加速させる「強いCS組織」の秘訣 / The secret to a strong customer service organization that accelerates product evolution and growth
Avatar for 株式会社カミナシ kaminashi
0
170
"サービスチーム" での技術選定 / Making Technology Decisions for the Service Team
Avatar for 株式会社カミナシ kaminashi
1
470
「チームで勝つ」カミナシCSのミッションとチーム作り / "Win as a team" - Kaminashi CS's mission and team building
Avatar for 株式会社カミナシ kaminashi
0
170
TypeScript と歩む OpenAPI の discriminator / OpenAPI discriminator with TypeScript
Avatar for 株式会社カミナシ kaminashi
1
520

Other Decks in Technology

See All in Technology
Shirankedo NOCで見えてきたeduroam/OpenRoaming運用ノウハウと課題 - BAKUCHIKU BANBAN #2
Avatar for marokiki marokiki
0
150
GC25 Recap+: Advancing Go Garbage Collection with Green Tea
Avatar for Takuto Nagami logica0419
1
430
Where will it converge?
Avatar for Ibukun Adedeji ibknadedeji
0
190
【Oracle Cloud ウェビナー】クラウド導入に「専用クラウド」という選択肢、Oracle AlloyとOCI Dedicated Region とは
Avatar for oracle4engineer oracle4engineer
PRO
3
120
組織観点から IAM Identity CenterとIAMの設計を考える
Avatar for NRI Netcom nrinetcom
PRO
1
190
10年の共創が示す、これからの開発者と企業の関係 ~ Crossroad
Avatar for SORACOM soracom
PRO
1
540
スタートアップにおけるこれからの「データ整備」
Avatar for ShoMaekawa/ウィル shomaekawa
1
240
実装で解き明かす並行処理の歴史
Avatar for ZOZO Developers zozotech
PRO
1
530
いまさら聞けない ABテスト入門
Avatar for 木村彩恵(skmr2348) skmr2348
1
210
pprof vs runtime/trace (FlightRecorder)
Avatar for task4233 task4233
0
170
BtoBプロダクト開発の深層
Avatar for 16bit_idol 16bitidol
0
380
Large Vision Language Modelを用いた 文書画像データ化作業自動化の検証、運用 / shibuya_AI
Avatar for Sansan R&D sansan_randd
0
110

Featured

See All Featured
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
224
10k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
127
17k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
75
5k
How GitHub (no longer) Works
Avatar for Zach Holman holman
315
140k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
331
21k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
248
1.3M
KATA
Avatar for Megan Lloyd mclloyd
32
15k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
514
110k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.5k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
33
2.5k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
32
2.2k

Transcript

  1. セキュアな認可付きリモートMCPサーバーを AWSマネージドサービスでつくろう! Manato Takai, Ph.D. JAWS Festa 2025 in 金沢

  2. 自己紹介 高井 真人 株式会社カミナシでID管理・認証認可基盤 の開発をしています。 好きなRFCは8628。 博士(工学)

  3. 今日話すこと、話さないこと 想定する聴講者 - セキュアなリモートMCPサーバーを自作したい開発者 - 組織内外にリモートMCPサーバーを安全に提供していきたい推進者 セッションのゴール - MCPの認可仕様の概要を把握できている -

    MCPの認可仕様に沿ったMCPサーバーの実装課題を理解できている - 上記実装課題に対してどのような解決策があるかパターンの一つを学べる

  4. MCPと MCPの認可仕様

  5. Model Context ProtocolはAIアプリケーションが外部システムを利用するためのオープンソース標準仕様。 VSCodeやCursorといったクライアントとなるツール側の対応が進んだだけでなく、GitHubやFigma、 Notionなど各種サービスがMCPサーバーを公開してエコシステムが急速に発展している。 Model Context Protocol(MCP)とは IDE Chat

    Agent MCP MCPサーバー#1 MCPサーバー#2 MCPサーバー#3 MCPクライアント

  6. MCPの認可仕様 2025-03-26版の仕様からHTTPトランスポートなMCP限定でOAuth 2.1ベースの認可仕様が策定 この発表では現時点での最新仕様である2025-06-18版を前提として話をすすめる MCPサーバー (OAuthリソースサーバー) 認可サーバー MCPサーバーの認可仕様 2025-06-18版から認可サーバーは リソースサーバーであると明確化された

    RFC Draft OAuth 2.1 RFC9728 保護リソースサーバーメタデータ RFC8414 認可サーバーメタデータ RFC7591 動的クライアント登録 4つのOAuth標準仕様に従って構成される

  7. MCPの認可仕様:基本的なフロー MCPクライアント MCPサーバー 認可サーバー 接続リクエスト WWW-Authentication: <保護リソースメタデータのURL>

  8. MCPの認可仕様:基本的なフロー MCPクライアント MCPサーバー 認可サーバー 接続リクエスト WWW-Authentication: <保護リソースメタデータのURL> MCPサーバーに接続するために、どの認可サーバーから 認可を取得すればいいのかといった情報を取得する 保護リソースメタデータを要求

  9. MCPの認可仕様:基本的なフロー MCPクライアント MCPサーバー 認可サーバー 接続リクエスト WWW-Authentication: <保護リソースメタデータのURL> 認可サーバーとのやり取りに必要な • 動的クライアント登録エンドポイント

    • 認可エンドポイント • トークンエンドポイント の情報を取得 保護リソースメタデータを要求 認可サーバーメタデータを要求

  10. MCPの認可仕様:基本的なフロー MCPクライアント MCPサーバー 認可サーバー 接続リクエスト WWW-Authentication: <保護リソースメタデータのURL> 保護リソースメタデータを要求 認可サーバーメタデータを要求 動的クライアント登録

    MCPクライアントが認可リクエストするために、自身を OAuthクライアントとして登録する。 MCPの仕様では動的クライアント登録に対応していなくても クライアントIDとシークレットをハードコードしてもよいと あるが、例えばMCP Inspectorでは動的クライアント登録の フローを前提として動く。 [1] MCP Inspector: https://github.com/modelcontextprotocol/inspector

  11. MCPの認可仕様:基本的なフロー MCPクライアント MCPサーバー 認可サーバー 接続リクエスト WWW-Authentication: <保護リソースメタデータのURL> 認可コードフローを 実行してユーザーの認可を得る 保護リソースメタデータを要求

    認可サーバーメタデータを要求 動的クライアント登録 認可コードフロー

  12. MCPの認可仕様に関する 実装上の課題

  13. MCPの認可における実装上の課題 MCPサーバー (OAuthリソースサーバー) 認可サーバー RFC Draft OAuth 2.1 RFC9728 保護リソースサーバー

    メタデータ RFC8414 認可サーバーメタデータ RFC7591 動的クライアント登録 Cognitoも含めて、この2つの仕様に対応して いるIDaaSやOSSの認可サーバーはほぼない 多くの一般的な認可サーバーは認可サーバーメタデータや動的クライアント登録に未対応だが、 MCPの認可仕様に沿った認可付きのリモートMCPサーバーを作るには、これらの仕様に対応した認可 サーバーを用意しなければならない RFC Draft OAuth 2.1

  14. MCPサーバーとクライアントの間に認可やルーティングなどを担うゲートウェイを入れる MCPサーバーで提供したいツール部分と責務が分離して集中管理できるため、特に組織内でスケールして 利活用したい場合に有効に働く MCPゲートウェイパターン MCPゲートウェイ MCPサーバー #1 MCPサーバー #2 MCPサーバー

    #3 認可サーバー ルーティング、レートリミット、認可などの 責務をゲートウェイに集約

  15. MCPゲートウェイの実装パターン MCPサーバーのプロキシとしての ゲートウェイ 例:Bedrock AgentCore Gateway 認可サーバーも含めたMCP仕様との ギャップを埋めるゲートウェイ 例:hyprMCP Gateway、本発表構成

    MCPゲートウェイ MCPサーバー 認可サーバー 認可サーバーメタデータや動的クライアント登録 ができないのでMCP Inspectorなどが通らない MCPゲートウェイ MCPサーバー 認可サーバー 仕様のギャップをMCPゲートウェイで吸収 MCPゲートウェイの実装パターンとして、MCPサーバー(リソースサーバー部分)だけカバーする形式と 認可サーバーの仕様ギャップもカバーする形式の2種類がある。 [2] Hypr MCP Gateway: https://github.com/hyprmcp/mcp-gateway

  16. Amazon API Gatewayと Amazon Cognitoで 実装してみよう

  17. Amazon API GatewayとAmazon Cognitoで認可付きリモートMCPサーバーを作ってみよう MCP Inspector MCPサーバー (AWS Lambda) 認可サーバー

    (Cognito) MCPゲートウェイ (API Gateway) 本発表で構成するMCPゲートウェイの全体構成図。 Lambdaの部分はElastic Container Service(ECS)など他のサービスでも問題ない。 なぜAPI Gatewayなのか: - 追加のコンピューティングリソースを用意しなくてよい - ルーティングやレートリミット、認可に関する基本的な機構はすでに揃っている *APIタイプはREST APIを選択

  18. API Gatewayで対応すべきこと 1 アクセストークンの検証とWWW-Authenticateによるブートストラップ 2 保護リソースサーバーメタデータエンドポイントの実装 3 認可サーバーメタデータエンドポイントの実装 4 動的クライアント登録エンドポイントの実装

  19. MCPゲートウェイで対応すべきこと 1 アクセストークンの検証とWWW-Authenticateによるブートストラップ 2 保護リソースサーバーメタデータエンドポイントの実装 3 認可サーバーメタデータエンドポイントの実装 4 動的クライアント登録エンドポイントの実装

  20. アクセストークンの検証とWWW-Authenticateによるブートストラップ MCPクライアント MCPサーバー 認可サーバー 接続リクエスト WWW-Authentication: <保護リソースメタデータのURL> 保護リソースメタデータを要求 認可サーバーメタデータを要求 動的クライアント登録

    認可コードフロー

  21. アクセストークンの検証とWWW-Authenticateによるブートストラップ Cognitoオーソライザー ゲートウェイレスポンス

  22. MCPゲートウェイで対応すべきこと 1 アクセストークンの検証とWWW-Authenticateによるブートストラップ 2 保護リソースサーバーメタデータエンドポイントの実装 3 認可サーバーメタデータエンドポイントの実装 4 動的クライアント登録エンドポイントの実装

  23. アクセストークンの検証とWWW-Authenticateによるブートストラップ MCPクライアント MCPサーバー 認可サーバー 接続リクエスト WWW-Authentication: <保護リソースメタデータのURL> 保護リソースメタデータを要求 認可サーバーメタデータを要求 動的クライアント登録

    認可コードフロー

  24. アクセストークンの検証とWWW-Authenticateによるブートストラップ Cognitoオーソライザー ゲートウェイレスポンス /.well-known/oauth-protected -resource/mcp Mock統合 Mock統合によって固定レスポンスを返すことができる。 最低限必要な保護リソースメタデータは認可サーバーと MCPサーバーのURLなので、インフラ構築時点で固定。

  25. MCPゲートウェイで対応すべきこと 1 アクセストークンの検証とWWW-Authenticateによるブートストラップ 2 保護リソースサーバーメタデータエンドポイントの実装 3 認可サーバーメタデータエンドポイントの実装 4 動的クライアント登録エンドポイントの実装

  26. アクセストークンの検証とWWW-Authenticateによるブートストラップ MCPクライアント MCPサーバー 認可サーバー 接続リクエスト WWW-Authentication: <保護リソースメタデータのURL> 保護リソースメタデータを要求 認可サーバーメタデータを要求 動的クライアント登録

    認可コードフロー

  27. アクセストークンの検証とWWW-Authenticateによるブートストラップ Cognitoオーソライザー ゲートウェイレスポンス /.well-known/oauth-protected -resource/mcp Mock統合 /.well-known/oauth-authoriza tion-server Mock統合 保護リソースメタデータと同様にMock統合で固定レスポンスを

    返す。

  28. MCPゲートウェイで対応すべきこと 1 アクセストークンの検証とWWW-Authenticateによるブートストラップ 2 保護リソースサーバーメタデータエンドポイントの実装 3 認可サーバーメタデータエンドポイントの実装 4 動的クライアント登録エンドポイントの実装

  29. 動的クライアント登録エンドポイントの実装 Cognitoオーソライザー ゲートウェイレスポンス /.well-known/oauth-protected -resource/mcp Mock統合 /.well-known/oauth-authoriza tion-server Mock統合 /register

    AWSサービス統合 AWSサービス統合によってCognitoのAPI [1]をバックエンドとして利用する。 ただし、RFC 7591とリクエスト形式が異なるため、API Gatewayのリクエスト テンプレートマッピング機能によってMCPクライアントのリクエストを変換して Cognitoにクライントを作成する。 Cognitoの応答もRFC 7591と異なるためレスポンステンプレートマッピング機 能によって仕様ギャップを埋める。 [1] Cognito クライアント作成APIのリファレンス https://docs.aws.amazon.com/ja_jp/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolClient.html

  30. 最終的なAPI Gatewayの設定 Cognitoオーソライザー ゲートウェイレスポンス /.well-known/oauth-protected -resource/mcp Mock統合 /.well-known/oauth-authoriza tion-server Mock統合

    /register AWSサービス統合 認可、トークンエンドポイント /mcp

  31. これからもずっとゲートウェイを自作する必要がある? 現在策定中のMCP仕様のドラフトでは、多くのOpenID Providerが対応している /.well-known/openid-configurationを認可サーバーの情報を取得するためのフォールバック先として 定義している。 これが標準となれば、Amazon Bedrock AgentCore + Cognitoの組み合わせでも問題なく動くはず。

  32. - 2025-06-18版の現行MCP認可仕様は4つのOAuth拡張仕様からできている - 一部の仕様は一般的なIDaaSにおいて非対応のため困ることが多い - MCPゲートウェイというアーキテクチャパターン - ルーティング、レート制限、認可やオブザーバビリティなどを集約できる - 複数のMCPサーバーをまとめて統制できるので組織的なスケールが容易

    - Amazon API GatewayによるMCPゲートウェイの実装 - 追加のコンピューティングリソースが不要 - Mock統合やAWSサービス統合+リクエスト/レスポンスマッピングでCognitoと MCP認可仕様のギャップを埋める - 標準仕様を知ることの面白さ - 仕様を知ることで今なにができないか、これからどうなるかが分かってくる まとめ

  33. 本日の内容に関連したブログとリポジトリもあるのでご興味があれば

  34. 株式会社カミナシ https://kaminashi.jp