MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Cross App Access (XAA), fondé sur le nouveau flux d’autorisation par assertion d’identité adoptée par le groupe de travail OAuth de l’IETF, est intégrée comme extension d’authentification du Model Context Protocol (MCP) dans un projet de spécification.
Adopté formellement depuis le 25 novembre 2025 lors de l’annonce des nouvelles extensions de MCP, cette étape marque un tournant pour l’accès inter-applications. Devenu partie intégrante du MCP, XAA élargit son périmètre passant de la sécurisation directe des intégrations entre applications et agents à la prise en charge de l’identité et de l’autorisation à travers l’ensemble de l’écosystème d’outils d’IA connectés à MCP. L’identité de niveau entreprise est ainsi placée au cœur de la connectivité IA, ouvrant la voie à une automatisation plus sûre et plus intelligente.
Le MCP (Model Context Protocol) offre un moyen standardisé pour que les agents IA (clients) se connectent à des outils externes et des sources de données (serveurs). XAA ajoute la brique manquante : une autorisation véritablement pilotée par l’identité. Chaque requête entre un agent et un système est ainsi authentifiée, traçable et conforme aux politiques de sécurité de l’entreprise. « À mesure que les agents IA opère sur plusieurs systèmes, l’identité et l’autorisation doivent devenir centrales dans l’écosystème », déclare Aaron Parecki, directeur des normes d’identité chez Okta. « En intégrant l’accès inter-applications à MCP, on apporte une confiance de niveau entreprise à la chaîne d’outils IA, offrant aux organisations la visibilité et le contrôle sur ce que leurs agents peuvent réellement faire. »
Les agents IA agissent de plus en plus de façon autonome à travers des applications et des systèmes hétérogènes, créant de nouveaux enjeux de sécurité et de conformité. En intégrant le modèle d’assertion d’identité de XAA dans MCP, entreprises et développeurs bénéficient de :
Accès vérifié et gouverné par les politiques : le fournisseur d’identité autorise les actions des agents et les échanges inter-applications, remplaçant identifiants statiques et jetons API risqués par des politiques centralisées.
Gouvernance unifiée : chaque connexion pilotée par l’IA entre outils, systèmes et sources est gérée et auditée de manière centralisée.
Interopérabilité ouverte : tout éditeur (ISV) ou développeur bâtissant sur MCP peut tirer parti de XAA pour des contrôles d’accès cohérents, fondés sur des standards, à l’échelle entreprise.
Réduction de la fatigue du consentement : XAA limite les demandes répétitives en déléguant les décisions de consentement aux politiques d’entreprise, pour une expérience plus fluide et un contrôle organisationnel renforcé.
Un assistant de réunion s’appuie sur MCP pour se connecter à Zoom, Jira et Box. Avec XAA intégré au flux de travail, il peut demander un accès limité aux fichiers de projet, créer des tâches ou résumer des échanges — sans jetons stockés ni écrans de consentement individuels. L’accès est accordé par des politiques d’identité d’entreprise via le fournisseur d’identité (IdP), de sorte que chaque action est gouvernée, journalisée et révocable.
Pour les développeurs, cette intégration permet de créer des expériences IA puissantes et multi-systèmes avec MCP, tout en bénéficiant d’une autorisation robuste et standardisée via XAA.
