> **Beta Translation:** This document was translated via Machine Learning and as such may not be 100% accurate. All non-English languages are currently classified as Beta.
> מפרט זה מתאר מנגנון אימות בסיסי ברמת השירות עבור כלי MCP. זה **אינו** פתרון אימות שלם ו**אינו מתאים** עבור:
> - סביבות מרובות משתמשים
> - פריסות מרובות דיירים
> - אימות פדרטיבי
> - העברת הקשר משתמש
> - הרשאה ברמת המשתמש
>
> תכונה זו מספקת **טוקן סטטי אחד לכל כלי MCP**, המשותף לכל המשתמשים והסשנים. אם אתם זקוקים לאימות ברמת המשתמש או הדייר, זו אינה הפתרון הנכון.
## סקירה כללית
**שם התכונה**: תמיכה באימות טוקן עבור כלי MCP
**כותב**: Claude Code Assistant
**תאריך**: 2025-11-11
**סטטוס**: בפיתוח
### תקציר
אפשר תצורות של כלי MCP לציין טוקנים סטטיים אופציונליים לאימות עם שרתי MCP מוגנים. זה מאפשר ל-TrustGraph להפעיל כלי MCP המאוחסנים בשרתים הדורשים אימות, מבלי לשנות את סוכן או ממשקי הפעלה של הכלי.
**חשוב**: זוהי מנגנון אימות בסיסי המיועדת לתסריטי אימות בין שירותים בסביבות עם משתמש יחיד. זה **אינו** מתאים עבור:
סביבות מרובות משתמשים שבהן משתמשים שונים צריכים אישורים שונים
פריסות מרובות דיירים הדורשות בידוד לדייר
תרחישי אימות פדרטיביים
אימות או הרשאה ברמת המשתמש
ניהול או רענון אישורים דינמיים
תכונה זו מספקת טוקן סטטי, ברמת המערכת, עבור כל תצורת כלי MCP, המשותף לכל המשתמשים וההפעלה של כלי זה.
### הצגת הבעיה
כיום, כלי MCP יכולים להתחבר רק לשרתי MCP נגישים לציבור. פריסות MCP רבות בייצור דורשות אימות באמצעות טוקנים עבור אבטחה. ללא תמיכה באימות:
כלי MCP לא יכולים להתחבר לשרתי MCP מאובטחים
משתמשים חייבים או לחשוף שרתי MCP לציבור או ליישם שרתי הפוך
אין דרך סטנדרטית להעביר אישורים לחיבורי MCP
לא ניתן לאכוף שיטות עבודה מומלצות לאבטחה בקצוות MCP
### מטרות
[ ] לאפשר לתצורות של כלי MCP לציין פרמטר אופציונלי `auth-token`
[ ] לעדכן את שירות כלי MCP כדי להשתמש בטוקנים בעת חיבור לשרתי MCP
[ ] לעדכן כלים בשורת הפקודה לתמיכה בהגדרת/הצגת טוקני אימות
[ ] לשמור על תאימות לאחור עם תצורות MCP ללא אימות
[ ] לתעד שיקולים אבטחתיים עבור אחסון טוקנים
### לא מטרות
רענון טוקנים דינמי או זרימות OAuth (רק טוקנים סטטיים)
הצפנה של טוקנים המאוחסנים (אבטחת מערכת התצורה אינה בתחום)
שיטות אימות חלופיות (אימות בסיסי, מפתחות API, וכו')
אימות או בדיקת תפוגה של טוקנים
**אימות ברמת המשתמש**: תכונה זו **אינה** תומכת באישורים ספציפיים למשתמש
**בידוד מרובה דיירים**: תכונה זו **אינה** מספקת ניהול טוקנים ברמת הדייר
**אימות פדרטיבי**: תכונה זו **אינה** משתלבת עם ספקי זהות (SSO, OAuth, SAML, וכו')
**אימות מודע הקשר**: טוקנים אינם מועברים בהתבסס על הקשר משתמש או סשן
## רקע והקשר
### מצב נוכחי
תצורות של כלי MCP מאוחסנות בקבוצת התצורה `mcp` עם המבנה הבא:
```json
{
"remote-name": "tool_name",
"url": "http://mcp-server:3000/api"
}
```
שירות הכלי MCP מתחבר לשרתים באמצעות `streamablehttp_client(url)` ללא כותרות אימות.
### מגבלות
**מגבלות מערכת נוכחיות:**
1.**ללא תמיכה באימות:** לא ניתן להתחבר לשרתי MCP מאובטחים.
2.**חשיפה אבטחתיות:** שרתי MCP חייבים להיות נגישים לציבור או להשתמש באבטחה ברמת הרשת בלבד.
3.**בעיות פריסה בסביבת ייצור:** לא ניתן לעקוב אחר שיטות עבודה מומלצות לאבטחת נקודות קצה של API.
**מגבלות של פתרון זה:**
1.**מתאים רק למערכת משתמש יחיד:** טוקן סטטי אחד לכל כלי MCP, משותף לכל המשתמשים.
2.**ללא אישורים מבוססי משתמש:** לא ניתן לאמת כמשתמשים שונים או להעביר הקשר משתמש.
3.**ללא תמיכה בריבוי משתמשים:** לא ניתן לבודד אישורים לפי משתמש או ארגון.
4.**טוקנים סטטיים בלבד:** ללא תמיכה בחידוש טוקנים, רוטציה או טיפול בתפוגה.
5.**אימות ברמת השירות:** מאמת את שירות TrustGraph, ולא משתמשים בודדים.
6.**הקשר אבטחה משותף:** כל שימוש בכלי MCP משתמש באותו אישור.
### התאמת מקרי שימוש
**✅ מקרי שימוש מתאימים:**
פריסות TrustGraph עם משתמש יחיד.
אימות בין שירותים (TrustGraph → שרת MCP).
סביבות פיתוח ובדיקה.
כלי MCP פנימיים שאליהם ניגש מערכת TrustGraph.
תרחישים שבהם כל המשתמשים חולקים את אותו רמת גישה לכלי MCP.
אישורים שירותיים סטטיים, בעלי אורך חיים ארוך.
**❌ מקרי שימוש לא מתאימים:**
מערכות מרובות משתמשים הדורשות אימות מבוסס משתמש.
פריסות SaaS מרובות משתמשים עם דרישות בידוד משתמשים.
תרחישי אימות מאוחדים (SSO, OAuth, SAML).
מערכות הדורשות העברת הקשר משתמש לשרתי MCP.
סביבות הזקוקות לחידוש טוקנים דינמי או טוקנים בעלי אורך חיים קצר.
יישומים שבהם משתמשים שונים צריכים רמות הרשאות שונות.
דרישות תאימות לרישומי ביקורת ברמת המשתמש.
**תרחיש מתאים לדוגמה:**
פריסה של TrustGraph עבור ארגון יחיד שבהם כל העובדים משתמשים באותו כלי MCP פנימי (לדוגמה, שאילתת מסד נתונים של החברה). שרת ה-MCP דורש אימות כדי למנוע גישה חיצונית, אך לכל המשתמשים הפנימיים יש את אותו רמת גישה.
**תרחיש לא מתאים לדוגמה:**
פלטפורמת SaaS מרובת משתמשים של TrustGraph שבה כל אחד מ-Tenant A ו-Tenant B צריך לגשת לשרתי MCP מבודדים משלהם עם אישורים נפרדים. תכונה זו אינה תומכת בניהול טוקנים ברמת ה-Tenant.
### רכיבים קשורים
**trustgraph-flow/trustgraph/agent/mcp_tool/service.py**: שירות הפעלת כלי MCP.
**trustgraph-cli/trustgraph/cli/set_mcp_tool.py**: כלי שורת פקודה ליצירת/עדכון תצורות MCP.
**trustgraph-cli/trustgraph/cli/show_mcp_tools.py**: כלי שורת פקודה להצגת תצורות MCP.