Delega il lavoro al tuo agente

Autenticazione con vault

Registra le credenziali per utente quando crei sessioni.

I vault e le credenziali sono primitive di autenticazione che ti permettono di registrare le credenziali per servizi di terze parti una sola volta e farvi riferimento tramite ID al momento della creazione della sessione. Questo significa che non hai bisogno di gestire il tuo archivio di segreti, trasmettere token ad ogni chiamata, o perdere traccia di quale utente finale un agente ha agito per conto di.

Il riferimento al vault è un parametro per sessione, quindi puoi gestire il tuo prodotto a livello di agente e i tuoi utenti a livello di sessione.

Tutte le richieste all'API Managed Agents richiedono l'intestazione beta managed-agents-2026-04-01. L'SDK imposta automaticamente l'intestazione beta.

Crea un vault

I vault e le credenziali sono limitati all'ambito dell'area di lavoro, il che significa che chiunque abbia accesso alla chiave API può usarli per autorizzare un agente a completare un'attività. Per revocare l'accesso, elimina il vault o la credenziale.

Un vault è la raccolta di credentials associate a un utente finale. Assegnagli un display_name e facoltativamente etichettalo con metadata in modo da poterlo mappare ai tuoi record utente.

vault_id=$(curl --fail-with-body -sS https://api.anthropic.com/v1/vaults \
  -H "x-api-key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: managed-agents-2026-04-01" \
  -H "content-type: application/json" \
  --data @- <<'EOF' | jq -r '.id'
{
  "display_name": "Alice",
  "metadata": {"external_user_id": "usr_abc123"}
}
EOF
)
echo "$vault_id"  # "vlt_01ABC..."

La risposta è il record del vault completo:

{
  "type": "vault",
  "id": "vlt_01ABC...",
  "display_name": "Alice",
  "metadata": { "external_user_id": "usr_abc123" },
  "created_at": "2026-03-18T10:00:00Z",
  "updated_at": "2026-03-18T10:00:00Z",
  "archived_at": null
}

Aggiungi una credenziale

Ogni credenziale si associa a un singolo mcp_server_url. Quando l'agente si connette a un server MCP durante l'esecuzione della sessione, l'API confronta l'URL del server con le credenziali attive sul vault referenziato e inietta il token.

I campi segreti (token, access_token, refresh_token, client_secret) sono di sola scrittura. Non vengono mai restituiti nelle risposte dell'API.

Le credenziali vengono archiviate così come fornite e non vengono validate fino all'esecuzione della sessione. Un token non valido emerge come errore di autenticazione MCP durante la sessione, che viene emesso ma non blocca la continuazione della sessione.

Vincoli:

Una credenziale attiva per mcp_server_url per vault. La creazione di una seconda credenziale per lo stesso URL restituisce un 409.
mcp_server_url è immutabile. Per puntare a un server diverso, archivia questa credenziale e creane una nuova.
Massimo 20 credenziali per vault. Questo corrisponde alla quantità massima di server MCP per agente.

Ruota una credenziale

Solo il payload segreto e alcuni campi di metadati sono mutabili. mcp_server_url, token_endpoint e client_id sono bloccati dopo la creazione.

curl --fail-with-body -sS \
  "https://api.anthropic.com/v1/vaults/$vault_id/credentials/$credential_id" \
  -H "x-api-key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: managed-agents-2026-04-01" \
  -H "content-type: application/json" \
  --data @- <<'EOF' > /dev/null
{
  "auth": {
    "type": "mcp_oauth",
    "access_token": "xoxp-new-...",
    "expires_at": "2026-05-15T00:00:00Z",
    "refresh": {"refresh_token": "xoxe-1-new-..."}
  }
}
EOF

Fai riferimento al vault al momento della creazione della sessione

Passa vault_ids quando crei una sessione:

session_id=$(curl --fail-with-body -sS https://api.anthropic.com/v1/sessions \
  -H "x-api-key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: managed-agents-2026-04-01" \
  -H "content-type: application/json" \
  --data @- <<EOF | jq -r '.id'
{
  "agent": "$agent_id",
  "environment_id": "$environment_id",
  "vault_ids": ["$vault_id"],
  "title": "Alice's Slack digest"
}
EOF
)

Comportamento a runtime:

Le credenziali vengono risolte periodicamente durante la sessione, quindi una rotazione o un archivio si propaga alle sessioni in esecuzione senza un riavvio.
Quando un vault non ha credenziali per il server MCP, il tentativo di connessione viene effettuato senza autenticazione e produce un errore.
Quando più vault coprono il server MCP, il primo vault con una corrispondenza vince.

Altre operazioni

Elenca vault o credenziali: Paginato, più recente per primo. I record archiviati sono esclusi per impostazione predefinita (passa include_archived=true per includerli).
Archivia un vault: POST /v1/vaults/{id}/archive. Si propaga a tutte le credenziali. I segreti vengono eliminati; i record vengono conservati per il controllo. Le sessioni future che fanno riferimento a questo vault non riescono; le sessioni in esecuzione continuano.
Archivia una credenziale: POST /v1/vaults/{id}/credentials/{cred_id}/archive. Elimina il payload segreto; mcp_server_url rimane visibile. Libera mcp_server_url per una credenziale sostitutiva.
Elimina un vault o una credenziale: Eliminazione permanente. Il record non viene conservato. Usa l'archivio se hai bisogno di un audit trail.

Was this page helpful?

Delega il lavoro al tuo agente

Autenticazione con vault

Registra le credenziali per utente quando crei sessioni.

Il riferimento al vault è un parametro per sessione, quindi puoi gestire il tuo prodotto a livello di agente e i tuoi utenti a livello di sessione.

Tutte le richieste all'API Managed Agents richiedono l'intestazione beta managed-agents-2026-04-01. L'SDK imposta automaticamente l'intestazione beta.

Crea un vault

Un vault è la raccolta di credentials associate a un utente finale. Assegnagli un display_name e facoltativamente etichettalo con metadata in modo da poterlo mappare ai tuoi record utente.

vault_id=$(curl --fail-with-body -sS https://api.anthropic.com/v1/vaults \
  -H "x-api-key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: managed-agents-2026-04-01" \
  -H "content-type: application/json" \
  --data @- <<'EOF' | jq -r '.id'
{
  "display_name": "Alice",
  "metadata": {"external_user_id": "usr_abc123"}
}
EOF
)
echo "$vault_id"  # "vlt_01ABC..."

La risposta è il record del vault completo:

{
  "type": "vault",
  "id": "vlt_01ABC...",
  "display_name": "Alice",
  "metadata": { "external_user_id": "usr_abc123" },
  "created_at": "2026-03-18T10:00:00Z",
  "updated_at": "2026-03-18T10:00:00Z",
  "archived_at": null
}

Aggiungi una credenziale

I campi segreti (token, access_token, refresh_token, client_secret) sono di sola scrittura. Non vengono mai restituiti nelle risposte dell'API.

Vincoli:

Una credenziale attiva per mcp_server_url per vault. La creazione di una seconda credenziale per lo stesso URL restituisce un 409.
mcp_server_url è immutabile. Per puntare a un server diverso, archivia questa credenziale e creane una nuova.
Massimo 20 credenziali per vault. Questo corrisponde alla quantità massima di server MCP per agente.

Ruota una credenziale

Solo il payload segreto e alcuni campi di metadati sono mutabili. mcp_server_url, token_endpoint e client_id sono bloccati dopo la creazione.

curl --fail-with-body -sS \
  "https://api.anthropic.com/v1/vaults/$vault_id/credentials/$credential_id" \
  -H "x-api-key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: managed-agents-2026-04-01" \
  -H "content-type: application/json" \
  --data @- <<'EOF' > /dev/null
{
  "auth": {
    "type": "mcp_oauth",
    "access_token": "xoxp-new-...",
    "expires_at": "2026-05-15T00:00:00Z",
    "refresh": {"refresh_token": "xoxe-1-new-..."}
  }
}
EOF

Fai riferimento al vault al momento della creazione della sessione

Passa vault_ids quando crei una sessione:

session_id=$(curl --fail-with-body -sS https://api.anthropic.com/v1/sessions \
  -H "x-api-key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: managed-agents-2026-04-01" \
  -H "content-type: application/json" \
  --data @- <<EOF | jq -r '.id'
{
  "agent": "$agent_id",
  "environment_id": "$environment_id",
  "vault_ids": ["$vault_id"],
  "title": "Alice's Slack digest"
}
EOF
)

Comportamento a runtime:

Le credenziali vengono risolte periodicamente durante la sessione, quindi una rotazione o un archivio si propaga alle sessioni in esecuzione senza un riavvio.
Quando un vault non ha credenziali per il server MCP, il tentativo di connessione viene effettuato senza autenticazione e produce un errore.
Quando più vault coprono il server MCP, il primo vault con una corrispondenza vince.

Altre operazioni

Elenca vault o credenziali: Paginato, più recente per primo. I record archiviati sono esclusi per impostazione predefinita (passa include_archived=true per includerli).
Archivia un vault: POST /v1/vaults/{id}/archive. Si propaga a tutte le credenziali. I segreti vengono eliminati; i record vengono conservati per il controllo. Le sessioni future che fanno riferimento a questo vault non riescono; le sessioni in esecuzione continuano.
Archivia una credenziale: POST /v1/vaults/{id}/credentials/{cred_id}/archive. Elimina il payload segreto; mcp_server_url rimane visibile. Libera mcp_server_url per una credenziale sostitutiva.
Elimina un vault o una credenziale: Eliminazione permanente. Il record non viene conservato. Usa l'archivio se hai bisogno di un audit trail.

Was this page helpful?