Okta Japan株式会社は5月25日、エージェント型アプリの大規模展開を阻んでいた認証・認可システムにおけるカスタム開発の手間を解消する「Auth0 for AI Agents」の最新機能を発表した。
「Auth0 for AI Agents」は、業界横断的なセキュリティ基盤を提供することで、銀行やヘルスケアなど規制の厳しい分野で、支払い取引や電子医療記録(EMR)へのアクセスといった重要度の高いAIエージェント活動の追跡が可能となる。顧客向け小売用コパイロットをバックオフィスの在庫システムから分離したり、法務調査エージェントに案件レベルの厳格なアクセス制限を課して内部データの露出を防ぐことも可能で、最終的にあらゆる業界の組織が、データ漏えいのリスクや手動による資格情報管理の負担なしに、複雑なマルチテナント環境でAIエージェントを運用できるようになる。
「Auth for MCP」、「Agent as Principal」、「On-Behalf-Of Token Exchange」、「Token Vault with Organizations Support」、「FGA Permissions Index」といった最新機能で、企業はあらゆる自律的なアクションを安全に認証・認可・監査でき、開発者は本番環境に対応したAIエージェントを安全にリリースすることが可能となる。
新機能で可能になることは下記の通り。
・エージェントに欠けていたアイデンティティ基盤の実装
「Agent as Principal」により、組織はAIエージェントに対し、サービス対象のユーザーや組み込み先のアプリとは異なる独自のアイデンティティを割り当てできる。
・妥協のない安全な「エージェント対ツール」の接続
「Auth for MCP」が、検証済みユーザーに代わるすべてのエージェント操作が、必要なツールやAPIのみに限定されることを保証する。
「On-Behalf-Of Token Exchange」が、サーバがユーザーのアクセストークンを適切にスコープ設定されたダウンストリームトークンと安全に交換できるようにすることで共有シークレットを排除し、すべてのAPIアクションが最小限の被害範囲で正しいユーザーに紐付けられるようにする。
・組織全体での認可のスケールと隔離
「FGA Permissions Index」が、低速なAPIコールを置き換え、アプリケーションが一貫して低レイテンシで大規模なデータセットをフィルタリングできるようにすることで、高性能なパーミッションチェックを可能する。
「Token Vault with Organizations Support」が、マルチテナントSaaSプラットフォームが顧客組織ごとにサードパーティの資格情報を安全に隔離するのを支援し、テナント間の混在リスクを排除する。
Auth0の最高製品責任者(CPO)のGareth Davies氏は「AIエージェントが数十もの異なるツールにアクセスする必要がある場合、開発者はAPIキーをコードに直接書き込んだり、カスタムの認可ロジックをゼロから構築したりすることを余儀なくされることが多く、これが生産性を低下させ、情報漏洩のリスクを指数関数的に高めています。Auth0 for AI Agentsの最新機能により、開発者は収益につながる優れた体験の構築に集中できるようになります。」とコメントしている。
「Auth for MCP」と「On-Behalf-Of Token Exchange」は5月25日から一般提供(GA)を開始、「Agent as Principal」と「FGA Permissions Index」はデベロッパープレビューとして提供される。「Token Vault with Organizations Support」は6月上旬に提供開始予定。
