it

MCP Aziendali: dai a tutta l'organizzazione gli stessi superpoteri AI, senza distribuire una sola chiave

Nunzio Fiore

7 min read
Share
MCP Aziendali: dai a tutta l'organizzazione gli stessi superpoteri AI, senza distribuire una sola chiave

Un agente AI vale quanto i sistemi a cui può accedere. Un assistente che "sa tutto" in astratto serve a poco; un assistente che legge le policy su SharePoint, apre un ticket su Dynamics 365, interroga il gestionale o consulta i corsi sull'LMS diventa improvvisamente utile. Il collo di bottiglia, in azienda, non è quasi mai il modello: è il collegamento sicuro ai dati e ai sistemi reali.

E qui nasce un problema che blocca l'adozione su larga scala. Per collegare quei sistemi qualcuno deve inserire delle credenziali: client secret, certificati, connection string, token. Se questo onere ricade sull'utente finale — la persona del marketing, delle risorse umane, del customer care che vuole costruirsi un agente — succedono due cose, entrambe sbagliate. La prima è che non scala: nessuno chiederà a centinaia di colleghi di gestire correttamente dei segreti tecnici. La seconda è che è un rischio di sicurezza: le credenziali iniziano a circolare nelle chat, nei documenti condivisi, negli appunti. È la radice della cosiddetta shadow AI, dove i segreti aziendali si disperdono fuori dal controllo dell'IT.

Con i nuovi MCP Aziendali su AIsuru abbiamo affrontato il problema alla radice, separando due ruoli che non dovrebbero mai coincidere: chi custodisce i segreti e chi crea gli agenti.

Il principio: capacità senza credenziali

L'idea è semplice da enunciare e ha conseguenze profonde sulla sicurezza:

L'amministratore configura un connettore una volta sola, con le credenziali dell'organizzazione. Tutti gli utenti possono poi abilitarlo sui propri agenti con un clic, senza mai vedere né gestire i segreti.

L'agente ottiene la capacità di agire su un sistema, non il segreto per farlo. È la stessa filosofia del nostro MCP Gateway — dare poteri agli agenti senza dare le chiavi all'LLM — portata dal singolo agente all'intera azienda.

Come funziona, passo per passo

1. L'amministratore pubblica il connettore (una volta). Nel pannello Tenant → MCP Aziendali, l'IT sceglie un connettore dal catalogo (SharePoint, Microsoft Dynamics 365, Outlook, un LMS come Docebo, il gestionale su database Firebird, un webhook custom su una propria API…) e inserisce le credenziali aziendali. Da quel momento il connettore compare come "Aziendale", già configurato e pronto.

2. L'utente lo abilita (con un clic). Quando una persona crea o gestisce un agente, nella sezione Estensioni / MCP trova i connettori aziendali contrassegnati come "Aziendale" e li attiva con un interruttore. Non c'è alcun campo credenziali da compilare: i segreti non vengono mai mostrati. L'utente sceglie cosa l'agente può fare; non maneggia mai come vi accede.

3. Il gateway esegue (in sicurezza, a runtime). Quando l'agente usa lo strumento, è il gateway a recuperare la credenziale cifrata, comporre la chiamata autenticata verso il sistema esterno ed eseguirla. Il segreto resta lato server per tutta la durata dell'operazione.

Un dettaglio pratico ma importante: dopo aver attivato un connettore, conviene aggiornare il prompt dell'agente per dichiarare la nuova capacità ("puoi cercare nei documenti HR su SharePoint", "puoi aprire ticket nel CRM"). Il connettore porta lo strumento; il prompt insegna all'agente quando usarlo.

Cosa succede sotto il cofano (e perché è sicuro)

La comodità self-service non deve mai andare a scapito della sicurezza. Al contrario, questo modello è più sicuro di quello in cui ogni utente gestisce le proprie credenziali. Ecco perché.

Le chiavi restano dell'azienda. Le credenziali sono cifrate at-rest e iniettate dal gateway solo a runtime. Non passano dall'utente e non passano dal modello: l'LLM riceve il risultato di un'azione, mai la chiave per compierla. Anche se un prompt venisse manipolato, non c'è alcun segreto da esfiltrare nel contesto della conversazione.

Ogni connettore usa l'autenticazione giusta, gestita centralmente. Non esiste un'unica "password per tutto": ogni tipo di sistema ha il proprio meccanismo, gestito dal gateway.

  • SharePoint / Microsoft Graph: autenticazione applicativa con certificato; gli strumenti che restituiscono documenti vengono arricchiti con un file_url firmato a tempo (link al binario originale con validità limitata, utile ad esempio per l'analisi avanzata senza ri-leggere tutto il contenuto via LLM).
  • Outlook / Exchange via Microsoft Graph: OAuth interattivo con PKCE; i token vengono forniti al server MCP tramite registrazione dinamica e mantenuti cifrati a riposo.
  • Webhook e API custom / LMS: token statico (Bearer) oppure OAuth2 con recupero e refresh automatico del token (client credentials, password, JWT bearer RS256, refresh token). È il connettore generico, ideale per integrare un gestionale esposto via API, un catalogo, o un LMS come Docebo.
  • Gestionale su Firebird: connessione con il protocollo nativo (senza ODBC), pensata per interrogare i dati via SQL ed esplorare lo schema; si consiglia un utente in sola lettura e viste dedicate, così l'agente può consultare ma non alterare i dati.
  • Dynamics 365 / Dataverse: autenticazione via Azure (tenant, client, secret) verso l'ambiente Dataverse.

La revoca è reale e immediata. Tutto è configurato in un unico punto. Se cambi una chiave, ruoti un certificato o chiudi un accesso, la modifica vale ovunque all'istante, su tutti gli agenti che usano quel connettore. Non devi rincorrere dieci configurazioni sparse fatte da dieci persone diverse: questo è esattamente ciò che rende gestibile la sicurezza nel tempo.

La superficie d'attacco si riduce. Niente credenziali copiate in chat, prompt o documenti condivisi. Il segreto esiste in un solo posto, cifrato, sotto il controllo dell'IT.

Tutto resta governato e tracciabile. Gli accessi seguono le policy aziendali, le operazioni passano dal gateway e possono essere registrate per audit, e le capacità dei connettori si aggiornano automaticamente quando ne miglioriamo l'implementazione, senza che nessuno debba riconfigurare nulla.

Tre esempi concreti

1. Sportello HR self-service

Le risorse umane vogliono un agente che risponda ai dipendenti su ferie, permessi, policy interne e formazione, senza diventare l'ennesimo collo di bottiglia.

L'IT pubblica due connettori aziendali: SharePoint (dove vivono i regolamenti e i documenti HR) e l'LMS Docebo (dove vivono i corsi). La responsabile HR, che non sa cosa sia un client secret e non deve saperlo, crea l'agente "Sportello HR", attiva i due connettori con un clic e scrive le istruzioni.

Un dipendente chiede: "Quanti giorni di permesso retribuito ho per un trasloco, e c'è un corso sulla sicurezza che devo ancora completare?" L'agente cerca la risposta nel regolamento reale su SharePoint e verifica lo stato dei corsi su Docebo. La risposta è fondata sui documenti aziendali, non inventata — e in nessun momento le credenziali di SharePoint o dell'LMS sono uscite dall'IT.

2. Customer care collegato al CRM

Il team di assistenza vuole un agente che aiuti gli operatori a trovare lo stato di una pratica e ad aprire una segnalazione.

L'amministratore pubblica il connettore Dynamics 365 e un Webhook custom verso il sistema di ticketing interno (autenticato in OAuth2, con refresh automatico del token gestito dal gateway). L'operatore chiede all'agente lo storico di un cliente; l'agente legge da Dataverse e, se serve, apre un ticket tramite il webhook. Gli operatori usano lo strumento; i segreti del CRM e dell'endpoint di ticketing restano centralizzati. Il giorno in cui l'azienda ruota il client secret di Azure, lo aggiorna in un punto solo e tutti gli agenti continuano a funzionare.

3. Dare voce al gestionale legacy

Molte PMI hanno un gestionale storico su database Firebird, ricco di dati ma difficile da interrogare. Con il connettore GESTIONALE AZIENDALE, l'IT lo pubblica configurando un utente in sola lettura su viste dedicate.

Un responsabile commerciale chiede in linguaggio naturale: "Mostrami i primi dieci clienti per fatturato dell'ultimo trimestre e quali hanno ordini in sospeso." L'agente traduce la domanda in query SQL sulle viste consentite e restituisce dati reali. Nessun export manuale, nessun accesso in scrittura, nessuna credenziale del database nelle mani dell'utente.

Un tassello dentro un disegno più ampio

Gli MCP Aziendali non sono una funzione isolata: sono il livello di governance che si appoggia su due pilastri che abbiamo costruito nel tempo.

Il primo è il connettore universale: incollando la specifica OpenAPI di una qualsiasi API — anche un gestionale su misura sviluppato anni fa — il gateway la espone come strumento all'agente, gestendo l'autenticazione. Questo significa che la libreria di connettori aziendali non è limitata a un elenco predefinito: comprende anche i vostri sistemi.

Il secondo è l'ecosistema di MCP già disponibili — dalla memoria persistente per agente, allo scheduler per attività autonome, all'analisi dati, fino ai database (PostgreSQL, SQL Server, MongoDB) e alle piattaforme (Salesforce, Monday, n8n) — che un'organizzazione può combinare. Gli MCP Aziendali aggiungono a tutto questo la dimensione che mancava alle imprese: distribuire capacità senza distribuire segreti.

È il punto in cui la sicurezza e la produttività smettono di essere in conflitto. L'IT mantiene il controllo dei segreti, applica policy e può revocare in un istante; il business crea agenti utili in autonomia, in self-service. I due ruoli, di solito in tensione sull'AI, qui lavorano insieme — senza scambiarsi una sola password.

In sintesi

  • Un connettore si configura una volta, dall'amministratore, con le credenziali dell'organizzazione.
  • Gli utenti lo abilitano sui propri agenti con un clic, senza mai vedere i segreti.
  • Le credenziali sono cifrate at-rest e iniettate dal gateway a runtime: mai all'utente, mai al modello.
  • Ogni sistema usa l'autenticazione corretta (certificati, PKCE, OAuth2 con refresh, JWT RS256), gestita centralmente.
  • La revoca è immediata e globale, la superficie d'attacco si riduce, tutto resta governato e tracciabile.

Gli MCP Aziendali sono disponibili ora su AIsuru. Se gestisci l'IT della tua organizzazione, è il modo più rapido per portare l'AI agentica dai progetti pilota all'uso quotidiano di tutta l'azienda — senza rinunciare al controllo.

Read more