AWS Machine Learning Blog→ المصدر

أطلقت AWS تفويض OAuth لخوادم MCP في Bedrock AgentCore Gateway

نشرت Amazon Web Services دليلاً جاهزًا للإنتاج لتأمين خوادم MCP على Bedrock AgentCore Gateway عبر OAuth Authorization Code Flow. وأصبح كل طلب إلى وكيل AI يمر…

معالج بواسطة الذكاء الاصطناعي من AWS Machine Learning Blog؛ بتحرير Hamidun News
أطلقت AWS تفويض OAuth لخوادم MCP في Bedrock AgentCore Gateway
المصدر: AWS Machine Learning Blog. كولاج: Hamidun News.
◐ استمع للمقال

نشرت خدمات أمازون ويب دليلاً تقنياً مفصلاً حول تنفيذ تدفق رمز ترخيص OAuth لخوادم MCP على بوابة Bedrock AgentCore Gateway الخاصة بأمازون — وهو أول قالب مصادقة مؤسسي جاهز للإنتاج لوكلاء الذكاء الاصطناعي.

لماذا OAuth وليس مفاتيح API

الطريقة التقليدية لتأمين أدوات الذكاء الاصطناعي هي إصدار مفتاح API ثابت وإدراجه في كل طلب. يعمل هذا في ظروف المختبر، لكنه ينهار في بيئة المؤسسة: المفتاح غير مرتبط بموظف معين، ولا ينتهي تلقائياً، ويصعب التدقيق فيه. إذا تسرب المفتاح — فمن المستحيل معرفة متى وممن.

يحل تدفق رمز ترخيص OAuth مشكلة مختلفة: كل طلب موجه إلى مساعد ذكاء اصطناعي يحمل رمزاً صادراً عن مزود هوية مؤسسي — سواء كان Okta أو Azure Active Directory أو Amazon Cognito. إذا تم فصل موظف أو تم حظر حسابه، يتوقف الرمز عن العمل في نفس الثانية دون أي تغييرات على جانب نظام الذكاء الاصطناعي. تعمل بوابة AgentCore Gateway كوسيط: تتلقى طلبات MCP الواردة، وتتحقق من الرمز من خلال نقطة نهاية JWKS لمزود الهوية، وفقط بعد ذلك تمرر الاستدعاء إلى الأداة المطلوبة على Bedrock.

وكيل الذكاء الاصطناعي نفسه لا يخزن الأسرار ولا يدير المصادقة — تتم عزل جميع المنطق على مستوى البوابة.

كيفية عمل سلسلة التفويض

تمر الآلية الموضحة في توثيق AWS عبر عدة خطوات متسلسلة:

  • يبدأ المستخدم بطلب في عميل متوافق مع MCP — Claude Desktop أو Cursor أو VS Code مع امتداد MCP
  • يعيد التوجيه إلى صفحة تسجيل الدخول الخاصة بمزود الهوية المؤسسي
  • بعد المصادقة الناجحة، يعيد مزود الهوية رمز التفويض
  • يقوم العميل بتبديل الرمز برمز الوصول ورمز التحديث عبر قناة آمنة
  • تتحقق بوابة AgentCore Gateway من الرمز عند كل استدعاء MCP باستخدام المفتاح العام لمزود الهوية
  • تتلقى الأدوات والنماذج على Bedrock الطلبات مع هوية المستخدم المؤكدة

يتوافق التدفق بأكمله مع معايير RFC 6749 و OpenID Connect — ويمكن توصيله بأي مزود هوية مؤسسي يدعم OIDC دون تعديلات مخصصة.

ما الذي يقدمه هذا لفريق الأمان

بالنسبة لأقسام أمن المعلومات المؤسسية، يوفر التكامل ثلاث مزايا عملية. أولاً، يترك كل طلب ذكاء اصطناعي مسار تدقيق يحمل اسم المستخدم الفعلي، وليس حسابًا خادمًا مجهولاً — وهو أمر حاسم لتحقيقات الحوادث. ثانياً، الإلغاء فوري: أِلغِ رمزاً لدى مزود الهوية — يتوقف الوكيل عن العمل فوراً، دون تحديث إعدادات البوابة. ثالثاً، يمكن بناء سياسات الوصول إلى أدوات الذكاء الاصطناعي على أساس المجموعات والأدوار الموجودة بالفعل في Active Directory أو Okta — لا توجد حاجة إلى نظام أذونات متوازي.

"بنهاية هذا الدليل، سيكون لديك إعداد جاهز للإنتاج، حيث يتم التحقق من

كل طلب مساعد الذكاء الاصطناعي برمز هوية صحيح من مزود المؤسسة," وفقاً لتوثيق AWS الرسمية.

هذا ذو صلة خاصة بالشركات التي تنشر بالفعل وكلاء ذكاء اصطناعي في سير العمل وتواجه متطلبات الامتثال: يتطلب GDPR و SOC 2 و ISO 27001 إمكانية تتبع الإجراءات إلى مستخدم محدد — و OAuth يوفر ذلك افتراضياً.

ما معنى هذا

يتحول MCP من بروتوكول تجريبي للمطورين إلى معيار مؤسسي — وتجعل AWS هذا واضحاً بلا التباس. إن ظهور قالب OAuth جاهز للاستخدام من أكبر مزود سحابة في العالم سيقلل من الحواجز أمام النشر في المؤسسات ويسرع موجة وكلاء الذكاء الاصطناعي المؤسسيين في 2025-2026. الشركات التي أرجلت نشر MCP بسبب مخاوف الأمان لديها الآن شيء تستند إليه.

ZK
Hamidun News
أخبار الذكاء الاصطناعي بدون ضوضاء. اختيار تحريري يومي من أكثر من 400 مصدر. منتج من جمال حميدون، رئيس الذكاء الاصطناعي في Alpina Digital.

هل تحتاج إلى ذكاء اصطناعي يعمل داخل شركتك — وليس فقط في موجز الأخبار؟

أبني ذكاءً اصطناعياً جاهزاً للإنتاج للشركات — أنظمة CRM مخصّصة، أدوات داخلية، وكلاء مستقلون، أتمتة سير العمل. ملك لك، مصمّم وفق عمليتك، دون رسوم لكل مستخدم. من إعداد جمال خميدون، مدير المنتجات في AlpinaGPT (منصة ذكاء اصطناعي، أكثر من 6000 مستخدم).

ما رأيك؟
جارٍ تحميل التعليقات…