Home

Research Trail

調査プロセス: OAuth 2.1 PKCEフローとMCP認証認可の実務ガイド

この記事を作るために立てた問い、資料選定、採用しなかった情報、判断基準、更新条件を公開可能な範囲でまとめた記録です。

作成日: 2026-05-15

読み方

この調査ログは、本文の結論を繰り返すためではなく、どの問いを立て、どの資料を優先し、どこを不確実なまま残したかを読者が確認するための記録である。OAuth 2.1 PKCEフローとMCP認証認可の実務ガイドについて、判断の前提、根拠の種類、更新が必要になる条件を分けて残した。

利用環境

調査命令

  • 調査対象: OAuth 2.1 PKCEフローとMCP認証認可の実務ガイド
  • 依頼内容: MCPサーバー、OIDCプロバイダー、OAuthクライアント、Claude系クライアント、OpenAPI-only APIの関係を、初学者向けに通信フローと設定観点で整理する。
  • 指定カテゴリ・slug: developer-tools / oauth21-pkce-mcp-auth
  • 関連タグ: MCP, OAuth 2.1, PKCE, OIDC, Claude
  • 主要な制約: 一次情報または信頼できる公開情報を優先し、主張、根拠、限界、実務含意を分けて書く。
  • 参照した記事ファイル: articles/report/oauth21-pkce-mcp-auth/ja/index.mdx
  • 完了条件: 日本語本文を公開記事として表示し、調査ログで資料選定、採用しなかった情報、判断基準、更新条件を確認できるようにする。

調査目的

MCPサーバー、OIDCプロバイダー、OAuthクライアント、Claude系クライアント、OpenAPI-onlyな既存APIの関係を整理し、初学者でも実装順に追える説明を作る。

調査設計

観点確認したこと使い方
スコープ本文の調査対象と読者の実務判断何を扱い、何を扱わないかを明確にした
根拠公開情報、一次情報、補助資料本文の主要主張を支える材料にした
比較・整理制度、時系列、技術、リスク、実務含意読者が論点を再利用できる形にした
限界未確認事項、時点依存、追加深掘り候補更新時に見直す対象として残した

資料選定の方針

本文では、公開情報と一次情報を優先し、主要な判断の近くに根拠を置く方針にした。二次情報は論点整理や背景理解の補助にとどめ、本文の中心主張は確認可能な資料に基づける。

採用しなかった情報

  • 出典や時点を追えない断定的な情報は、本文の主要根拠にはしない。
  • 速報性の高い情報は、一次情報や複数の公開情報で補強できる場合に限って扱う。
  • 本文の実務判断に直結しない詳細は、追加深掘り候補として分離する。

判断基準

本文では、確認した根拠、比較軸、限界を分け、主張が一次情報・補助資料・公表情報からの推定のどれに基づくかを明示する方針にした。

確認済みの根拠

  • MCP 2025-11-25 の認可仕様を確認した。
  • OAuth 2.1 draft と PKCE RFC を確認した。
  • OIDC Discovery と Authorization Server Metadata の役割を確認した。
  • Anthropic の remote MCP / Claude connector の設定情報を確認した。
  • MCPサーバー、認可サーバー、OAuthクライアント、Claude、OpenAPI-onlyサービスの役割分担を整理した。
  • Mermaid 図を追加した。
  • articles/oauth21-pkce-mcp-auth/index.mdx に公開本文を整備した。

更新が必要になる条件

  • 追加深掘り: Keycloak、Auth0、Entra ID など具体的 IdP 別の設定例を追記する。
  • 追加深掘り: Claude の実際の connector UI と redirect/callback の具体値を、必要なら画面付きで補足する。
  • 追加深掘り: OpenAPI adapter の最小実装テンプレートを別テーマとして切り出す。