Zum Hauptinhalt springen
Ein Remote-MCP-Server ist nur ein HTTP-Endpunkt, auf dem Ihre Agenten Tools aufrufen — und die meisten von ihnen sitzen hinter einem Token, einem OAuth-Client oder Basic-Auth. Wenn Sie diesen Server hinter dem MCP-Gateway der Firewall registrieren, übergeben Sie OrcaRouter das Credential einmal, wählen, wie es authentifiziert, und das Gateway injiziert es zur Dispatch-Zeit. Das Secret wird im Ruhezustand verschlüsselt und erreicht nie das Modell oder Ihren Agenten-Code. Diese Seite behandelt die Authentifizierungsseite der Server-Registrierung: die vier auth_mode-Formen und was mit Ihrem Credential passiert. Für alles, was das Gateway mit jedem tools/call macht, nachdem die Verbindung steht — Policy pro Aufruf, Namespacing, SSRF-Schutz — siehe die MCP-Gateway-Referenz.

1. Warum am Gateway authentifizieren

Ohne ein Gateway trägt jeder Agent, der mit einem MCP-Server spricht, seine eigene Kopie des Server-Tokens, verstreut über Konfigurationen und Prompts. Leiten Sie den Server stattdessen durch OrcaRouter, und das Credential lebt an genau einem Ort:
  • Ein gespeichertes Secret pro Server. Sie registrieren das Credential einmal, auf dem Workspace-Datensatz. Agenten verbinden sich mit dem Gateway über einen OrcaRouter-Key — sie sehen nie das Token des Upstream-Servers.
  • Verschlüsselt im Ruhezustand, maskiert beim Lesen. Das Credential wird verschlüsselt, wenn es gespeichert wird. Jedes Mal, wenn Sie den Server über die Konsole oder das SDK zurücklesen, kommt das Secret maskiert zurück — es gibt keine API, die es im Klartext zurückgibt.
  • Injiziert beim Dispatch. Das Gateway entschlüsselt das Credential nur in dem Moment, in dem es einen tools/call an den echten Server weiterleitet, und hängt es dann an diese ausgehende Anfrage an. Es wird nie an das Modell oder den Client zurückgespiegelt.
Ein Credential, das Sie nicht zurücklesen können, ist ein Feature, keine Lücke. Da Lesevorgänge immer maskiert sind, kann eine geleakte Konsolen-Session oder ein SDK-Token Ihre MCP-Server-Secrets nicht exfiltrieren — sie kann sie nur neu ausrichten oder rotieren.

2. Einen auth_mode wählen

Jede Server-Registrierung trägt einen auth_mode. Es ist ein geschlossener Satz von vier Werten, und er entscheidet die Form des Credentials, das Sie in auth_json angeben:
Der Server ist offen (oder vertraut dem Gateway per Netzwerk). Lassen Sie auth_json leer. Das ist der Default, wenn Sie auth_mode nicht setzen.
Der häufigste Fall für gehostete MCP-Server. Geben Sie ein Token an; das Gateway sendet es als Bearer-Credential bei jedem Aufruf.
{ "token": "ghp_…" }
Für OAuth-geschützte Server. Geben Sie ein access_token an, das Sie bereits geprägt haben; das Gateway sendet es als Bearer-Credential, genau wie bearer. Der automatische Client-Credentials-Tausch (ein client_id/client_secret gegen ein frisches Token eintauschen) ist noch nicht verfügbar — eine oauth-Registrierung ohne access_token wird abgelehnt.
{ "access_token": "…" }
HTTP-Basic-Auth.
{ "username": "…", "password": "…" }
auth_json ist erforderlich, wann immer auth_mode etwas anderes als none ist. Einen bearer/oauth/basic-Server mit einem leeren Credential zu registrieren wird abgelehnt — das Gateway persistiert keine halb konfigurierte Verbindung.

3. Einen sicheren MCP-Server registrieren — ein Beispiel

Die MCP-Server-Registrierung ist eine Konsolen-Aktion: Sie läuft unter Ihrer Session / Ihrem Access-Token gegen /api/workspace/firewall/mcp_servers, und das Schreiben eines Servers erfordert die Rolle Developer+. (Das unterscheidet sich vom sk-orca-…-Relay-Key, den Sie für /v1/*-Modellaufrufe verwenden — dieser Key verwaltet nie Workspace-Konfiguration.) Registrieren Sie einen bearer-Auth-Server aus der Firewall-Konsole oder direkt mit Ihrem Session-Token: 
curl https://api.orcarouter.ai/api/workspace/firewall/mcp_servers \
  -H "Authorization: Bearer <your-session-token>" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "github",
    "endpoint": "https://api.githubcopilot.com/mcp",
    "auth_mode": "bearer",
    "auth_json": "{\"token\":\"ghp_x\"}",
    "enabled": true
  }'
Der name ist eindeutig pro Workspace (ein Duplikat gibt HTTP 409 zurück), und er darf kein . enthalten — dieses Zeichen namespaced Tools als <server>.<tool>. Auf dem Weg hinein verschlüsselt OrcaRouter auth_json und speichert nur den Ciphertext. Wenn Sie den Server zurücklesen, erhalten Sie die maskierte Form.
Spiegeln Sie den maskierten Wert bei einem Update einfach zurück, um das gespeicherte Secret unverändert zu halten — senden Sie nur dann ein echtes auth_json, wenn Sie es tatsächlich rotieren wollen. Siehe Credential-Rotation für den Rotations-Flow.

4. Beweisen, dass die Verbindung funktioniert

Die Authentifizierung ist nicht abgeschlossen, bis das Gateway den Server mit dem von Ihnen gespeicherten Credential tatsächlich erreichen kann. Proben Sie ihn: 
curl -X POST \
  https://api.orcarouter.ai/api/workspace/firewall/mcp_servers/42/probe \
  -H "Authorization: Bearer <your-session-token>"
Das Gateway verbindet sich mit dem Endpunkt unter Verwendung des entschlüsselten Credentials, listet die Tools des Servers auf und zeichnet einen Erreichbarkeits-status auf:
statusBedeutung
okErreicht und authentifiziert; Tools entdeckt.
degradedErreichbar, aber nicht vollständig gesund.
downVerbindung oder Authentifizierung nicht möglich.
Ein down-Ergebnis direkt nach der Registrierung bedeutet fast immer ein fehlerhaftes Credential oder den falschen auth_mode — korrigieren Sie auth_json und proben Sie erneut. Das Proben ist eine Developer+-Aktion; der mitgelieferte In-Process-Server hat keinen Endpunkt und ist nicht probebar.
Ein deaktivierter Server ist der saubere Aus-Schalter: seine Tools verschwinden aus dem Gateway und sein Credential wird nie entschlüsselt. Deaktivieren Sie einen Server, während Sie seine Auth klären, und aktivieren Sie ihn erneut, sobald ein Probe ok zurückgibt.

5. Server von einem Agenten lesen

Ihre Agenten lesen keine Credentials. Wenn ein SDK-Proxy die Runtime-Registry braucht, ruft er GET /api/v1/firewall/mcp_servers mit einem firewall-gateway-scoped Key auf — einem dedizierten Key, nicht Ihrem Relay-Key und nicht Ihrer Session. Dieser Pfad bedient nur aktivierte Server, und das Gateway besitzt weiterhin die Credential-Injektion von Ende zu Ende. Das Anbinden eines Agenten an den vereinheitlichten MCP-Endpunkt wird in der Gateway-Referenz behandelt.

6. Wohin als Nächstes

Verbinden Sie Ihren ersten Server

Die vollständige Registrierungs-Anleitung, vom leeren Workspace bis zu einem Live-Tool.

Credentials rotieren

Tauschen Sie ein geleaktes oder ablaufendes Secret aus, ohne die Verbindung zu unterbrechen.

MCP-Tools per Allow-List freigeben

Entscheiden Sie, welche Tools eines Servers Ihre Agenten tatsächlich aufrufen dürfen.

Egress begrenzen

Beschränken Sie, wohin die Tools eines Servers im Netzwerk reichen dürfen.
Für die Konzepte dahinter — wie das Gateway im Anfragepfad sitzt und warum Credentials nie das Modell berühren — siehe Wie OrcaRouter prüft und KI-Agenten absichern. Für die Bedrohungen, die dies schließt, siehe MCP-Tool-Poisoning und Datenexfiltration.