在企业 IT 的世界里,"用户自助授权"这四个字从来都让管理员头疼——每个新人都要重复一次 OAuth 跳转、每个离职员工都得手动清理一遍第三方授权,而当这些操作的对象换成 MCP 连接器时,风险又被放大了:工具一旦接入 Claude,读取的可能是整个代码库、客户数据库或财务系统。Anthropic 显然听到了这种焦虑,于是给 Claude Enterprise 上了"企业托管授权"这道锁。
新功能的核心逻辑很直接:让身份提供商(IdP)替管理员干活。率先接入的是 Okta,组织可以在 IdP 端统一配置好 Asana、Atlassian、Canva、Figma、Granola、Linear、Supabase 等 MCP 提供商的应用授权,Slack 也即将加入支持名单。当员工首次登录 Claude 时,授权会自动下发到对应账号,零点击、零跳转——这种"零接触设置"对动辄上千人规模的企业意味着 IT 工单量会断崖式下降。更关键的是,授权管理直接嵌入到企业现有的 IdP 工作流里:管理员可以按组限定可见的连接器范围,一旦员工离职或调岗,在 IdP 端一键撤销就能立刻切断 Claude 对敏感工具的访问,权限生命周期终于和企业身份系统对齐了。
这背后是一套名为 Enterprise-Managed Authorization 的 Model Context Protocol 扩展,它解决的其实是 MCP 生态从"个人极客玩具"迈向"组织级基础设施"时最棘手的那一步:谁能用什么工具、谁能切断访问、谁对此负责。Anthropic 还特别强调了一项约束——连接器可被配置为"仅通过 IdP 连接",这相当于强制把工作账号和个人账号的使用场景切开,避免员工拿同一个 Claude 实例把公司数据往个人 Notion 里搬。从工具调用到权限治理,Claude 正在用企业 IT 熟悉的那套语言,把 AI 助理真正塞进 SaaS 管理的既有轨道里。
