إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
ينطبق على: المطور | أساسي | الإصدار 2 الأساسي | قياسي | الإصدار 2 القياسي | Premium | Premium v2
من خلال دعم خادم MCP في إدارة واجهة برمجة التطبيقات، يمكنك عرض الوصول إلى خوادم MCP وأدواتها وإدارته. توضح هذه المقالة كيفية تأمين الوصول إلى خوادم MCP المدارة في إدارة واجهة برمجة التطبيقات، بما في ذلك كل من خوادم MCP المكشوفة من واجهات برمجة تطبيقات REST المدارة وخوادم MCP الحالية المستضافة خارج إدارة واجهة برمجة التطبيقات.
يمكنك تأمين الوصول الوارد إلى خادم MCP أو كليهما (من عميل MCP إلى إدارة واجهة برمجة التطبيقات) والوصول الصادر (من إدارة واجهة برمجة التطبيقات إلى خادم MCP).
الوصول الوارد الآمن
المصادقة المستندة إلى المفتاح
إذا كان خادم MCP محميا بمفتاح اشتراك إدارة واجهة برمجة التطبيقات الذي تم تمريره في رأس، Ocp-Apim-Subscription-Key فيمكن لعملاء MCP تقديم المفتاح في الطلبات الواردة، ويمكن لخادم MCP التحقق من صحة المفتاح. على سبيل المثال، في Visual Studio Code، يمكنك إضافة headers قسم إلى تكوين خادم MCP لطلب مفتاح الاشتراك في رؤوس الطلبات:
{
"name": "My MCP Server",
"type": "remote",
"url": "https://my-api-management-instance.azure-api.net/my-mcp-server",
"transport": "streamable-http",
"headers": {
"Ocp-Apim-Subscription-Key": "<subscription-key>"
}
}
ملاحظه
قم بإدارة مفاتيح الاشتراك بأمان باستخدام إعدادات مساحة عمل Visual Studio Code أو المدخلات الآمنة.
المصادقة المستندة إلى الرمز المميز (OAuth 2.1 مع معرف Microsoft Entra)
يمكن لعملاء MCP تقديم رموز OAuth المميزة أو JWTs الصادرة عن معرف Microsoft Entra باستخدام عنوان Authorization والتحقق من صحته بواسطة إدارة واجهة برمجة التطبيقات.
على سبيل المثال، استخدم نهج validate-azure-ad-token للتحقق من صحة الرموز المميزة لمعرف Microsoft Entra:
<validate-azure-ad-token tenant-id="your-entra-tenant-id" header-name="Authorization" failed-validation-httpcode="401" failed-validation-error-message="Unauthorized. Access token is missing or invalid.">
<client-application-ids>
<application-id>your-client-application-id</application-id>
</client-application-ids>
</validate-azure-ad-token>
إعادة توجيه الرموز المميزة إلى الواجهة الخلفية
يتم توجيه رؤوس الطلبات تلقائيا (مع بعض الاستثناءات) إلى استدعاءات أدوات MCP، مما يبسط التكامل مع واجهات برمجة التطبيقات التالية التي تعتمد على الرؤوس للتوجيه أو السياق أو المصادقة.
إذا كنت بحاجة إلى إعادة توجيه صريحة للرأس Authorization للتحقق من صحة الطلبات الواردة، يمكنك استخدام أحد الطرق التالية:
حدد
Authorizationبشكل صريح كرأس مطلوب في إعدادات واجهة برمجة التطبيقات وإعادة توجيه الرأس في السياسةOutbound.مثال على مقتطف السياسة:
<!-- Forward Authorization header to backend --> <set-header name="Authorization" exists-action="override"> <value>@(context.Request.Headers.GetValueOrDefault("Authorization"))</value> </set-header>استخدم مدير بيانات اعتماد إدارة واجهة برمجة التطبيقات وسياساته (
get-authorization-context،set-header) لإعادة توجيه الرمز المميز بشكل آمن. راجع الوصول الآمن للخارج للحصول على التفاصيل.
لمزيد من خيارات التفويض الوارد والنماذج، راجع:
الوصول الآمن للخارج
استخدم مدير بيانات اعتماد API Management لإدخال رموز OAuth 2.0 المميزة بأمان لطلبات واجهة برمجة التطبيقات الخلفية التي يتم إجراؤها بواسطة أدوات خادم MCP.
خطوات تكوين الوصول الصادر المستند إلى OAuth 2
الخطوة 1: تسجيل تطبيق في موفر الهوية.
الخطوة 2: قم بإنشاء موفر بيانات اعتماد في إدارة واجهة برمجة التطبيقات المرتبط بموفر الهوية.
الخطوة 3: تكوين الاتصالات داخل مدير بيانات الاعتماد.
الخطوة 4: تطبيق نهج إدارة واجهة برمجة التطبيقات لجلب بيانات الاعتماد وإرفاقها ديناميكيا.
على سبيل المثال، يقوم النهج التالي باسترداد رمز وصول مميز من مدير بيانات الاعتماد وتعيينه في Authorization رأس الطلب الصادر:
<!-- Add to inbound policy. -->
<get-authorization-context
provider-id="your-credential-provider-id"
authorization-id="auth-01"
context-variable-name="auth-context"
identity-type="managed"
ignore-error="false" />
<!-- Attach the token to the backend call -->
<set-header name="Authorization" exists-action="override">
<value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
</set-header>
للحصول على دليل تفصيلي لاستدعاء مثال للواجهة الخلفية باستخدام بيانات الاعتماد التي تم إنشاؤها في مدير بيانات الاعتماد، راجع تكوين مدير بيانات الاعتماد - GitHub.