コアコンセプト
| 概念 | 説明 |
|---|---|
| Vault | 複数の Credential を保持できる認証情報コンテナ |
| Credential | 具体的な MCP サーバー URL にバインドされた個別の認証情報 |
auth.type | Credential の認証タイプ:static_bearer、mcp_oauth、または environment_variable |
vault_ids | Session 作成時に参照する Vault ID のリスト |
セキュリティ
access_tokenは API レスポンスで決して返却されません。token、refresh_token、client_secret、secret_valueなどのその他のシークレットも返却されません。- 認証情報はサーバー側で暗号化保管されます。
- 関連付けられた Session のみが実行時に認証情報内容を読み取れます。
エンドツーエンドフロー
Credential を追加する
ネストされた レスポンスは
auth を指定して Vault に Credential を追加します。type: "vault_credential" とサニタイズされた auth オブジェクトを返します。シークレットの値は含まれません。パラメータ
| パラメータ | 型 | 必須 | 説明 |
|---|---|---|---|
display_name | string | はい | Vault の表示名 |
metadata | object | いいえ | カスタムメタデータ |
auth.type | string | Credential では必須 | static_bearer、mcp_oauth、または environment_variable |
auth.mcp_server_url | string | MCP Credential では必須 | MCP サーバー URL |
auth.token | string | static_bearer では必須 | Bearer トークンの値。書き込み専用 |
よくある質問
Q: Credential のトークンを更新できますか? A: 旧 Credential を削除し、新たに作成することでローテーションします。 Q: 1 つの Session に Vault を何個関連付けられますか? A: ハードリミットはありませんが、整理のためサービス単位でグループ化してください。 Q: トークンが漏洩しました。どうすればよいですか? A: 直ちに該当 Credential を削除し、サードパーティプラットフォームでトークンを失効させたうえで、新しい Credential を作成してください。 Q: 保管したトークンを参照できますか? A: できません。セキュリティ上、認証情報のシークレットは書き込み専用であり、削除して再作成することのみ可能です。環境ごと (開発/本番) に独立した Vault を使用し、認証情報の混在を避けてください。
次のステップ
Session の開始
環境に対して Agent を実行する。
Agent の定義
Agent の構成を確認する。
永続メモリの構築
Session をまたいだ永続メモリを Agent に与える。
クラウド環境
ランタイムをカスタマイズする。