Was ist Token-Propagierung?
Die Token-Weitergabe ist der Mechanismus zur sicheren Übergabe eines Identitäts- oder Zugriffstokens (wie OAuth oder JWT) von einem Dienst oder einer Anwendung an einen anderen, sodass nachgelagerte Systeme im Namen des ursprünglichen Benutzers oder Clients agieren können, ohne eine erneute Authentifizierung durchzuführen. In geschäftlichen Szenarien wird dies häufig in mehrschichtigen Anwendungen eingesetzt, bei denen eine Frontend-Anwendung mehrere Backend-Dienste aufruft, von denen jeder wissen muss, „wer“ der Benutzer ist und was er tun darf. Typische Anwendungsfälle sind Single Sign-On (SSO) über interne Tools hinweg, die Koordination von Workflows über mehrere APIs oder Microservices unter Beibehaltung des Benutzerkontexts, die Durchsetzung einer fein abgestuften Zugriffskontrolle in Datenplattformen sowie die Ermöglichung sicherer B2B-Integrationen, bei denen Partnersysteme interne Dienste unter Verwendung delegierter Berechtigungen aufrufen.
SnapLogic MCP Server und OAuth2
Mit dem SnapLogic MCP Server können Benutzer MCP-Server zur einfachen Integration mit externen Agentensystemen erstellen, konfigurieren und verwalten. Der SnapLogic MCP Server unterstützt OAuth2-Authentifizierungsrichtlinien, die die Weitergabe von Tokens ermöglichen.
Praktische Übungen
In diesem Beispiel betrachten wir einen MCP-Server mit einer MCP-Server-Pipeline, in der das JWT-Token sowohl im Rohformat als auch als aufbereitete Felder verfügbar ist.
ⓘ Die Konfigurationen im Beispiel dienen ausschließlich der Token-Weitergabe und haben keinen Einfluss auf die eigentliche Verarbeitung durch den MCP-Server. Die aufgelösten Ansprüche müssen jedoch vorhanden sein, wenn sie verwendet werden; andernfalls kommt es zu einem Fehler.
Komponenten
- MCP-Server mit konfigurierter OAuth2-JWT-Token-Richtlinie
- Eine MCP-Server-Pipeline
1. Einrichtung der Richtlinie
Die MCP-OAuth2-JWT-Richtlinie unterstützt die Token-Weitergabe in zwei Bereichen:
- Raw-Token weitergeben – Hiermit wird das Raw-Token an die Pipeline-Parameter weitergegeben.
- Hinzuzufügende Header – Hiermit werden die Claims aus dem JWT-Token extrahiert; welche Felder mit einem Ausdruck extrahiert werden können, z. B.
$.suboder die Ansprüche insgesamt unter Verwendung von$.
Die Felder stehen dann in der Pipeline zur Verfügung, sofern die entsprechenden Pipeline-Parameter vorhanden sind.
2. Einrichtung der Pipeline
Nachdem die Richtlinie nun ordnungsgemäß konfiguriert ist, müssen wir den Pipeline-Parametern Schlüssel hinzufügen, damit die Werte an die deklarierten Schlüssel übergeben werden können. In der Richtlinie haben wir Propagate raw token und zwei weitere Headers to Add: user und claims, also haben wir RAW_TOKEN, USERund CLAIMS in den Schlüsseln angegeben. Beachten Sie, dass alle Schlüssel aus den Headern in Großbuchstaben geschrieben sein müssen.
⚠️ Die Schlüssel in den Parametern müssen vorhanden sein und mit den Feldern in Großbuchstaben in der Richtlinie. Außerdem werden Felder in der Kopfzeile mit Bindestrichen - werden durch Unterstriche ersetzt _ in den Rohrleitungsparametern.
Die Schlüssel in den Parametern müssen vorhanden sein und mit den Feldern in Großbuchstaben in der Richtlinie. Außerdem werden Felder in der Kopfzeile mit Bindestrichen - werden durch Unterstriche ersetzt _ in den Rohrleitungsparametern.
Dies sind die erforderlichen Konfigurationen, um die Token-Weitergabe zu aktivieren. Benutzer können nun in der Pipeline benutzerdefinierte Strategien implementieren, um die in der Pipeline verfügbaren Tools genauer steuern zu können.
