ToolHive搭載MCPサーバーのデフォルトでセキュアな認証

ToolHiveは、MCPサーバー内で誰が何を呼び出せるかを制御するソリューションです。認証と認可を分離し、AmazonのCedarポリシー言語を使用してアクセスルールを定義します。認証はIDを検証し、認可はそのIDが何を実行できるかを決定します。ToolHiveはこれらを2つの異なるステップとして扱い、最初に呼び出し元を認証し、次にその呼び出し元が何にアクセスできるかを確認します。このシステムは、認証にOpenID Connectを使用し、MCPアクションに対する独自の権限ルールを適用します。認証と認可を分離することで、ToolHiveは実績のあるIDシステムに依存し、IDとアクセス制御を混同することを避けます。認可フレームワークは、AmazonのCedarポリシー言語に基づいて構築されており、ベースMCPサーバーの最上位レイヤーとして設計されています。ToolHiveのauthZ（認可）を有効にしてMCPサーバーを起動すると、すべてのクライアントリクエストは、サーバーロジックに到達する前に認可チェックを通過します。このプロセスには、クライアントの認証、リクエスト情報の抽出、ポリシー評価、およびポリシー規則に基づいたリクエストの許可または拒否が含まれます。ToolHiveはMCPサーバーの前面でポリシー施行ポイントとして機能し、不正なツール呼び出しをブロックし、悪意のあるリクエストのリスクを軽減します。Cedarポリシー言語は柔軟で表現力豊かであり、ロールベースと属性ベースの両方のルールをサポートし、きめ細かいアクセス制御を可能にします。