こんにちは。CData Software Japan リードエンジニアの杉本です。
この度、先月発表された「Connect AI Q1リリース」で触れられていた「カスタムOAuth アプリ」の機能がリリースされて、皆様の環境で利用できるようになりました!
https://jp.cdata.com/blog/custom-mcp-tools-on-prem-data-cdata-connect-ai
CData Connect AI ではOAuth とBasic、2つの認証パターンを利用できるようになっています。
ただし、OAuth の場合は基本的にはあらかじめCData 側でClaude などの各サービス毎に組み込んだClientId、ClientSecret を利用して使うものとなっており、ユーザーが開発した独自のAI アプリケーションやまだCData が公式にサポートしていないAI サービスではBasic 認証のみが実質的に選択肢でした。
(実はサポートチームにリクエストすることで独自のOAuth アプリを作成してもらえたのですが、手間がかかるフローでした)
それが、今回のリリースにより、ユーザー側がセルフサービスでCData Connect AI への認証・認可のためのOAuth アプリを自由に作成できるようになりました!
これにより、Postman やDify といったアプリケーションからもフレキシブルに、OAuth の認証・認可を実現してもらえます。
というわけで今回はちょっと技術的にも細かい点がわかりやすいように、Postman およびDify のMCP クライアント機能からの接続をカスタムOAuth アプリを通じて実施する手順を紹介したいと思います。
記事としてはOAuth やMCP などを知っている技術者向けの内容としてカバーしていますが、設定手順だけであればDify などのライトユースな方にもご理解いただける内容かなと思います。
なお、サポートしているOAuth Grant Type は「Authorization Code Grant」「Client Credentials Grant」の2種類です。
今回の記事ではおそらくメインで使うことが多いであろう、ユーザーがそれぞれ認証・認可を行う「Authorization Code Grant」の方法で紹介します。
カスタムOAuth アプリの作成
CData Connect AI 上からカスタムOAuth アプリを作成するには、「Settings」→「OAuth Apps」から行います。
「+Create App」をクリックすることで以下のようなダイアログが表示されます。
ここに任意の名前と「Authorization Flow」から「User-based (Authorization Code)」、Callback URL に対象となるアプリが受け付けるリダイレクト先のURL を指定します。
Postman がサポートしているOAuth によるブラウザ接続では「https://oauth.pstmn.io/v1/callback
」となりますので、今回はこちらを入力しました。
これで保存することで、以下のようにClient Id、Client Secret が入手できます。
各OAuth エンドポイント
ここから実際にクライアント上からの利用方法を解説していきますが、その前に各OAuth エンドポイントを確認しておきましょう。
クライアントアプリケーションによってはあまり意識しないですが、以下のURL を通じてOAuthのAuthorization Endpoint やToken Endpoint の情報が確認可能です。
https://mcp.cloud.cdata.com/.well-known/oauth-authorization-server
Postman での設定方法
それではPostman から早速利用してみましょう。
Postman を立ち上げてMCP リクエスト機能を立ち上げます。MCPのタイプは「HTTP」、URL には「https://mcp.cloud.cdata.com/mcp」を指定します。
その後、Authorization タブで以下のように設定します。
この状態で「新しいアクセストークンの取得」ボタンをクリックすることで、ブラウザが立ち上がり、CData Connect AI への認証・認可およびCallback URL へのリダイレクトが行われます。
これで以下のようにアクセストークンが取得できます!
あとは通常通り、Postman からCData Connect AI のMCP に接続してツールコールのやり取りができます。
念のため、コンソールで確認してみると、取得したBearer Token がリクエストヘッダーに指定されていることがわかります。
Dify からの設定方法
よく問い合わせをいただくDify からの設定方法も簡単に解説しておきます。
Dify の場合は、クラウド版、ホスティング版があるのでそれぞれでCallback URL が変わりますが、クラウド版の場合は「https://cloud.dify.ai/console/api/mcp/oauth/callback」を指定しておきます。
その後、「ツール」→「MCP」→「MCPサーバー(HTTP)を追加」へ移動
設定画面で以下のように値を入力します。
プロパティ | 値 | 備考 |
|---|
サーバーURL | https://mcp.cloud.cdata.com/mcp | |
名前とアイコン | 例:CData Connect AI | |
サーバー識別子 | 例:cdata-connect-ai | |
動的クライアント登録を使用する | OFF | DCRをサポートしていないためチェックを外す |
クライアントID | カスタムOAuth App のClient Id を指定 | |
クライアントシークレット | カスタムOAuth App のClient Secret を指定 | |
これでDify 上からOAuth で認証・認可が実行できるようになります。承認ボタンをクリックすることで、CData Connect AI のログイン画面が表示されます。
制約・注意点
CData Connect AI のOAuth ですが、OAuth2.0 PKCE で実装されています。そのため、PKCEをサポートしていないクライアントからの接続はできませんのでご注意ください。私が過去に検証した中ではGemini Enterprise でのAI エージェントが未サポートのようでした。
MCP 周りでよく取り上げられるDCR(Dynamic Client Registration)はサポートしていません。そのためDCR のみが利用できるMCP クライアントからの接続はできませんのでご注意ください。(registration_endpointがあるので、勘違いしやすいですが)
