Autentikasi dengan vault

Vault dan kredensial adalah primitif autentikasi yang memungkinkan Anda mendaftarkan kredensial untuk layanan pihak ketiga sekali dan mereferensikannya berdasarkan ID saat pembuatan sesi. Ini berarti Anda tidak perlu menjalankan penyimpanan rahasia Anda sendiri, mengirimkan token pada setiap panggilan, atau kehilangan jejak pengguna akhir mana yang ditindaklanjuti oleh agen.

Referensi vault adalah parameter per-sesi, sehingga Anda dapat mengelola produk Anda di tingkat agen dan pengguna Anda di tingkat sesi.

Buat vault

Vault adalah koleksi credentials yang terkait dengan pengguna akhir. Berikan display_name dan secara opsional tandai dengan metadata sehingga Anda dapat memetakannya kembali ke catatan pengguna Anda sendiri.

vault_id=$(curl --fail-with-body -sS https://api.anthropic.com/v1/vaults \
  -H "x-api-key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: managed-agents-2026-04-01" \
  -H "content-type: application/json" \
  --data @- <<'EOF' | jq -r '.id'
{
  "display_name": "Alice",
  "metadata": {"external_user_id": "usr_abc123"}
}
EOF
)
echo "$vault_id"  # "vlt_01ABC..."

Respons adalah catatan vault lengkap:

{
  "type": "vault",
  "id": "vlt_01ABC...",
  "display_name": "Alice",
  "metadata": { "external_user_id": "usr_abc123" },
  "created_at": "2026-03-18T10:00:00Z",
  "updated_at": "2026-03-18T10:00:00Z",
  "archived_at": null
}

Tambahkan kredensial

Setiap kredensial mengikat ke satu mcp_server_url. Ketika agen terhubung ke server MCP saat runtime sesi, API mencocokkan URL server terhadap kredensial aktif di vault yang direferensikan dan menyuntikkan token.

Kredensial disimpan seperti yang disediakan dan tidak divalidasi sampai runtime sesi. Token yang buruk muncul sebagai kesalahan auth MCP selama sesi, yang dipancarkan tetapi tidak memblokir sesi dari melanjutkan.

Batasan:

• Satu kredensial aktif per mcp_server_url per vault. Membuat kredensial kedua untuk URL yang sama mengembalikan 409.
• mcp_server_url tidak dapat diubah. Untuk menunjuk ke server yang berbeda, arsipkan kredensial ini dan buat yang baru.
• Maksimal 20 kredensial per vault. Ini sesuai dengan jumlah maksimal server MCP per agen.

Putar kredensial

Hanya muatan rahasia dan beberapa bidang metadata yang dapat diubah. mcp_server_url, token_endpoint, dan client_id terkunci setelah pembuatan.

Referensikan vault saat pembuatan sesi

Lewatkan vault_ids saat membuat sesi:

Perilaku runtime:

• Kredensial diselesaikan kembali secara berkala selama sesi, sehingga rotasi atau arsip menyebar ke sesi yang berjalan tanpa restart.
• Ketika vault tidak memiliki kredensial untuk server MCP, koneksi dicoba tanpa autentikasi dan menghasilkan kesalahan.
• Ketika beberapa vault mencakup server MCP, vault pertama dengan kecocokan menang.

Operasi lainnya

• Daftar vault atau kredensial: Dipaginasi, terbaru terlebih dahulu. Catatan yang diarsipkan dikecualikan secara default (lewatkan include_archived=true untuk memasukkannya).
• Arsipkan vault: POST /v1/vaults/{id}/archive. Kaskade ke semua kredensial. Rahasia dihapus; catatan dipertahankan untuk audit. Sesi masa depan yang mereferensikan vault ini gagal; sesi yang berjalan berlanjut.
• Arsipkan kredensial: POST /v1/vaults/{id}/credentials/{cred_id}/archive. Menghapus muatan rahasia; mcp_server_url tetap terlihat. Membebaskan mcp_server_url untuk kredensial pengganti.
• Hapus vault atau kredensial: Penghapusan keras. Catatan tidak dipertahankan. Gunakan arsip jika Anda memerlukan jejak audit.