Mit Vaults authentifizieren

Vaults und Anmeldedaten sind Authentifizierungsprimitiven, mit denen Sie Anmeldedaten für Drittanbieterdienste einmal registrieren und bei der Sitzungserstellung anhand der ID referenzieren können. Das bedeutet, dass Sie keinen eigenen Secret Store ausführen müssen, keine Token bei jedem Aufruf übertragen müssen und nicht den Überblick verlieren, für welchen Endbenutzer ein Agent tätig war.

Die Vault-Referenz ist ein Parameter pro Sitzung, sodass Sie Ihr Produkt auf Agent-Ebene und Ihre Benutzer auf Sitzungsebene verwalten können.

Erstellen Sie einen Vault

Ein Vault ist die Sammlung von credentials, die einem Endbenutzer zugeordnet sind. Geben Sie ihm einen display_name und markieren Sie ihn optional mit metadata, damit Sie ihn Ihren eigenen Benutzerdatensätzen zuordnen können.

vault_id=$(curl --fail-with-body -sS https://api.anthropic.com/v1/vaults \
  -H "x-api-key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: managed-agents-2026-04-01" \
  -H "content-type: application/json" \
  --data @- <<'EOF' | jq -r '.id'
{
  "display_name": "Alice",
  "metadata": {"external_user_id": "usr_abc123"}
}
EOF
)
echo "$vault_id"  # "vlt_01ABC..."

Die Antwort ist der vollständige Vault-Datensatz:

{
  "type": "vault",
  "id": "vlt_01ABC...",
  "display_name": "Alice",
  "metadata": { "external_user_id": "usr_abc123" },
  "created_at": "2026-03-18T10:00:00Z",
  "updated_at": "2026-03-18T10:00:00Z",
  "archived_at": null
}

Fügen Sie Anmeldedaten hinzu

Jede Anmeldedaten bindet sich an eine einzelne mcp_server_url. Wenn der Agent sich zur Laufzeit der Sitzung mit einem MCP-Server verbindet, gleicht die API die Server-URL mit aktiven Anmeldedaten im referenzierten Vault ab und injiziert das Token.

Anmeldedaten werden wie bereitgestellt gespeichert und werden erst zur Laufzeit der Sitzung validiert. Ein ungültiges Token wird als MCP-Authentifizierungsfehler während der Sitzung angezeigt, der ausgegeben wird, aber die Sitzung nicht blockiert.

Einschränkungen:

• Ein aktives Anmeldedaten pro mcp_server_url pro Vault. Das Erstellen eines zweiten Anmeldedatensatzes für dieselbe URL gibt einen 409 zurück.
• mcp_server_url ist unveränderlich. Um auf einen anderen Server zu verweisen, archivieren Sie diese Anmeldedaten und erstellen Sie neue.
• Maximal 20 Anmeldedaten pro Vault. Dies entspricht der maximalen Anzahl von MCP-Servern pro Agent.

Rotieren Sie Anmeldedaten

Nur die geheime Nutzlast und eine Handvoll Metadatenfelder sind veränderbar. mcp_server_url, token_endpoint und client_id sind nach der Erstellung gesperrt.

Referenzieren Sie den Vault bei der Sitzungserstellung

Übergeben Sie vault_ids beim Erstellen einer Sitzung:

Laufzeitverhalten:

• Anmeldedaten werden während der Sitzung regelmäßig neu aufgelöst, sodass eine Rotation oder Archivierung ohne Neustart auf laufende Sitzungen übertragen wird.
• Wenn ein Vault keine Anmeldedaten für den MCP-Server hat, wird die Verbindung unauthentifiziert versucht und erzeugt einen Fehler.
• Wenn mehrere Vaults den MCP-Server abdecken, gewinnt der erste Vault mit einer Übereinstimmung.

Weitere Operationen

• Vaults oder Anmeldedaten auflisten: Paginiert, neueste zuerst. Archivierte Datensätze sind standardmäßig ausgeschlossen (übergeben Sie include_archived=true, um sie einzubeziehen).
• Archivieren Sie einen Vault: POST /v1/vaults/{id}/archive. Kaskadiert zu allen Anmeldedaten. Geheimnisse werden gelöscht; Datensätze werden für die Überwachung beibehalten. Zukünftige Sitzungen, die auf diesen Vault verweisen, schlagen fehl; laufende Sitzungen werden fortgesetzt.
• Archivieren Sie Anmeldedaten: POST /v1/vaults/{id}/credentials/{cred_id}/archive. Löscht die geheime Nutzlast; mcp_server_url bleibt sichtbar. Gibt die mcp_server_url für Ersatzanmeldedaten frei.
• Löschen Sie einen Vault oder Anmeldedaten: Hartes Löschen. Der Datensatz wird nicht beibehalten. Verwenden Sie Archivierung, wenn Sie einen Audit-Trail benötigen.