MCP検証済みユーザーアクセス
検証済みユーザーアクセスはランタイムユーザーコネクションを通じて機能し、認証を必要とするツールにアクセスする際に、各エンドユーザーが自分の認証情報で認証できるようにします。 これにより、ワークフローは個々のユーザーのIDと権限を使用してアクションを実行します。 MCP検証済みユーザーアクセスはレシピ関数をサポートします
検証済みユーザーアクセスはプロキシMCPサーバーで使用できます。 これにより、各ユーザーが自分の認証情報で認証しながら、SalesforceやSnowflakeなどの外部システムにリクエストをルーティングできます。 ユーザーは初回接続時に外部システムへのサインインを求められ、その後はWorkatoが自動的に処理します。 詳細については、プロキシMCPサーバーの作成を参照してください。
MCP検証済みユーザーアクセスは、次のレシピタイプのみをサポートします:
- OAuth 2.0認可コードグラントを使用するレシピ関数。 長時間アクションを使用するレシピ関数は、MCP検証済みユーザーアクセスではサポートされていません。
- OAuth 2.0認可コードグラントを使用するAPIレシピ。
MCP検証済みユーザーアクセスでは、エンドユーザーがWorkato Identityで認証する必要があります。 詳細については、MCP Workato Identityアクセス方法とエンドユーザーグループ設定を参照してください。
MCP検証済みユーザーアクセスはトークン認証をサポートしません
トークンベースのアクセス方法で検証済みユーザーアクセスを必要とするMCPツールはサポートされていません。 トークン認証は、検証済みユーザーアクセスを使用しないMCPツールでサポートされています。
MCP検証済みユーザーアクセス認証ワークフロー
リクエストが行われると、MCPクライアントはユーザーのコネクションを確認します。 MCPサーバーは、ユーザーが必要な外部サービスへの有効なコネクションを持っているかどうかを検証します。 コネクションがないか期限切れの場合、ユーザーは認証プロンプトを受け取ります。 プロンプトには、ユーザーをWorkato Identityログインページにリダイレクトする、Workatoで生成されたコネクション設定リンクが含まれます。
Workato Identityで認証した後、ユーザーは認可を必要とする外部アプリケーションにリダイレクトされます。 複数のアプリケーションで認可が必要な場合、ユーザーは認可を順番に完了する必要があります。 たとえば、ユーザーはJiraやSalesforceなどの外部サービスのOAuth同意画面にリダイレクトされます。 ユーザーがアクセスを認可すると、システムはユーザーのプロファイルにリンクされたコネクションを保存します。
制限事項
MCP検証済みユーザーアクセスには、サポートされるレシピタイプ、コネクションタイプ、認証方法に関する制限があります。 詳細については、次のセクションを参照してください。
MCP検証済みユーザーアクセスとレシピ関数
長時間アクションを使用するレシピ関数は、MCP検証済みユーザーアクセスではサポートされていません。
MCP検証済みユーザーアクセスツールのレシピ関数には、親レシピから継承される認証のため、特定の設定要件があります。 検証済みユーザーアクセスが有効になっているレシピ関数では、IDを手動で選択する必要があります。
MCP検証済みユーザーアクセスツールは、OAuth 2.0認可コードグラントを使用するレシピ関数のみをサポートします。
シナリオ例
レシピ関数のID要件
- シナリオ: 検証済みユーザーアクセスが有効になっているMCPツールがレシピ関数を使用します。
- 影響: ツールは利用できなくなり、警告アイコンが表示されます。
- 解決策: ツールを有効にするには、IDを選択する必要があります。
レシピ関数のコネクションタイプの不一致
- シナリオ: レシピ関数は親レシピのコネクションを使用し、任意のコネクションタイプを許可します。 検証済みユーザーアクセスを使用するMCPサーバーツールは、OAuth 2.0認可コードグラントのみをサポートします。
- 影響: ツールが互換性のない認証タイプで設定され、失敗につながる可能性があります。
- 解決策: レシピ関数でMCP検証済みユーザーアクセスを使用する前に、親レシピのコネクションがOAuth 2.0認可コードグラントを使用していることを確認する必要があります。
ネストされたレシピ関数でのMCP検証済みユーザーアクセス
検証済みユーザーアクセスは、レシピがツールとして公開されている場合、最初のレベルの親レシピのみをサポートします。 検証済みユーザーアクセスは、親レシピ内にネストされた第2レベルのレシピ関数には適用されません。 これは、親レシピが外部サービスへのユーザー認証を必要とするレシピ関数を呼び出す場合、ネストされた関数はユーザーに自分のアカウントで認証するよう促すのではなく、サービスアカウントの認証情報を使用して実行されることを意味します。
たとえば、ネストされたレシピ関数を呼び出すレシピをツールとして公開できます:
第1レベル(親レシピ)
- 検証済みユーザーアクセスは完全にサポートされています
- ユーザーコネクションは認証用に適切に表示されます
- ユーザーは自分の認証情報で認証するよう求められます
ネストされたレベル(親レシピ内で呼び出されるレシピ関数)
- 検証済みユーザーアクセスは完全にはサポートされていません
- 検証済みユーザーアクセスを使用するアクションはすべて、自動的にサービスアカウントに戻ります
- ネストされたレシピ関数内のユーザーコネクションは、認証のためにエンドユーザーに表示されません
この制限は、ツールとして公開されたレシピ内から呼び出されるレシピ関数と、スキル内から呼び出されるレシピ関数に適用されます。
MCP検証済みユーザーアクセス認証タイプ
MCP検証済みユーザーアクセスツールはDeveloper APIトークンをサポートしていません。 トークン認証は、検証済みユーザーアクセスを使用しないMCPツールでサポートされています。 検証済みユーザーアクセスから開発者トークン認証に切り替えると、MCPツールに警告が表示され、利用できなくなります。
MCP検証済みユーザーアクセスとAPIレシピ
MCP検証済みユーザーアクセスツールは、OAuth 2.0認可コードグラントを使用するAPIレシピのみをサポートします。
その他のリソース
Last updated: