> ## Documentation Index
> Fetch the complete documentation index at: https://enterprise-docs.dify.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# MCP サーバーへのユーザー ID 転送

デフォルトでは、Dify は固定のワークスペースレベルの認証情報を1つ使って [MCP サーバー](/ja/3.11.x/use/workspace/tools) を呼び出します。そのため、サーバーから見るとすべての呼び出し元が同じ ID に見えます。**ID 転送**を有効にすると、各呼び出しに*現在ワークフローを実行しているユーザー*を表すトークンが追加で付与され、MCP サーバーはその実ユーザーとして動作できます（ユーザー単位の認可、監査、データスコープの制御）。

<Note>
  本ページでは、転送を有効化する方法と、事前に必要な条件について説明します。信頼モデルや、アイデンティティプロバイダー / MCP サーバーに対する完全な要件については、[MCP ユーザー ID 転送](/ja/3.11.x/administer/sso/mcp-identity-forwarding) をご覧ください。
</Note>

## 前提条件

転送を有効化する前に、以下が満たされていることを確認してください。

* **エンタープライズ版で、ワークスペースに OIDC または OAuth2 SSO が設定されている**こと（SAML はサポートされません）。
* **アイデンティティプロバイダーがログイン時に refresh token を発行する**こと。これにより、Dify は各ユーザーの呼び出しごとのトークンを取得できます。
* **MCP サーバーが、転送されたトークンを同じアイデンティティプロバイダーで検証し**、未認証のリクエストを拒否すること。

<Note>
  ここでは概要のみを示します。完全な要件（共有 issuer のルール、トークンの audience の扱い、MCP サーバーが検証すべき具体的な内容）については、[MCP ユーザー ID 転送](/ja/3.11.x/administer/sso/mcp-identity-forwarding) の手順に従って設定してください。
</Note>

## 転送を有効化する

<Steps>
  <Step title="OIDC または OAuth2 SSO を適用する">
    ワークスペースの SSO を OIDC または OAuth2 として設定・適用します。[SSO 認証の設定](/ja/3.11.x/administer/sso/introduction) をご覧ください。
  </Step>

  <Step title="各ユーザーに一度 SSO でサインインしてもらう">
    Dify が後でユーザーに代わって呼び出しごとのトークンを取得できるよう、各ユーザーは少なくとも一度 SSO でサインインする必要があります。コンソール／ワークスペースのユーザーと、公開された Web App のエンドユーザーの両方が自動的に処理されます。
  </Step>

  <Step title="MCP プロバイダーのトグルをオンにする">
    **ツール → MCP** に移動し、プロバイダーを選択して **編集** をクリックし、**ユーザー ID を転送** を有効にして保存します。

    このトグルは、サインインに SSO が適用されている場合のみ表示されます（コミュニティ版や SSO が未設定の場合は非表示）。トグルは **プロバイダー単位** であり、どの MCP サーバーに呼び出し元の ID を渡すかを管理者が一箇所で決定します。
  </Step>

  <Step title="検証する">
    そのプロバイダーを呼び出す任意のワークフローを実行し、MCP サーバーが転送されたトークンを受け取り、それが実行中のユーザーを表していることを確認します。
  </Step>
</Steps>

## 送信される呼び出しの変化

転送が有効な場合、Dify は MCP サーバーへの各リクエストに専用のヘッダーを追加します。これはプロバイダーに既に設定されている認証情報を置き換えるのではなく、併存します。

```
X-Dify-SSO-Token: <実行中のユーザーを表すトークン>
```

MCP サーバーはこのヘッダーを読み取り、トークンを検証します。サーバーが検証すべき内容については、[MCP ユーザー ID 転送](/ja/3.11.x/administer/sso/mcp-identity-forwarding) をご覧ください。

<Note>
  Service API 呼び出しやスケジュール（Cron）実行は**サポートされません**。これらには対話的なユーザーが存在しないため、これらの実行経路で転送に依存しないでください。
</Note>

## トラブルシューティング

| 状況                                           | 対処                       |
| -------------------------------------------- | ------------------------ |
| 実行中のユーザーが一度も SSO でサインインしていない、またはセッションを更新できない | ユーザーに SSO で（再）サインインしてもらう |
| SSO が未設定または無効                                | 管理コンソールで SSO を設定する       |

サポートされる呼び出し元の一覧や詳細については、[MCP ユーザー ID 転送](/ja/3.11.x/administer/sso/mcp-identity-forwarding) をご覧ください。
