企业 AI 智能体管控台 ClawPro 凭据托管使用指南

最近更新时间: 2026-06-30 15:06:00

什么是凭据托管?

凭据托管是 ClawPro 为远程 MCP 服务提供的密钥安全管理能力。管理员在新增 MCP 服务时,可选择将访问凭据托管至平台,由平台网关在 Agent 调用 MCP 时自动完成临时凭据替换与鉴权,真实密钥全程不暴露。

凭据托管与未托管对比

对比维度 未开启凭据托管 开启凭据托管(ClawPro 网关代理)
密钥存储位置 Agent 本地配置文件、环境变量 ClawPro 凭据管理数据库,加密存储
请求链路 Agent > 直接携带真实密钥 > MCP 服务 Agent > 携带临时凭据 > ClawPro 网关 > 替换为真实密钥 > MCP 服务
泄露风险 高,密钥随 Agent 实例扩散,易被非授权获取 低,密钥集中管控且不暴露真实值

凭据配置模式

凭据托管支持两种凭据配置模式:

  • 管理员填写凭据:管理员开启凭据托管后直接配置真实密钥,用户端下发 MCP 时无需再填写,适用于需要便捷管理的场景。
  • 用户端填写凭据:管理员配置时仅保留占位符标识,由用户端下发 MCP 时自行填写真实凭据,适用于不同用户使用不同凭据的场景。

入口位置

登录 ClawPro 管控端,在左侧导航栏选择 Agent 工具库 > 企业 MCP 库,单击新增 MCP 服务

开启凭据托管

管理员在 ClawPro 管控端新增 MCP 服务时,可开启凭据托管功能并完成凭据配置,使 Agent 调用 MCP 时由平台网关自动完成临时凭据替换与鉴权。

注意事项

  • 凭据托管能力仅对远程服务连接方式的 MCP 生效。
  • 凭据托管功能默认不开启,需管理员手动开启。

操作步骤

步骤一:填写基础信息

  1. 登录 ClawPro 管控端,在左侧导航栏选择 Agent 工具库 > 企业 MCP 库,单击新增 MCP 服务
  2. 新增 MCP 服务弹窗中,参见下表填写相关信息。
    参数 说明
    服务标识 唯一标识,对应 JSON 中的 server key,创建后不可修改。
    名称 可选,MCP 服务的显示名称,为空则默认与服务标识一致。
    描述 可选,自定义 MCP 服务的简要说明。
    连接方式 连接 MCP 服务的方式。支持以下方式:
    - 远程服务:通过 HTTP 协议连接远程 MCP 服务。
    说明:
    凭据托管能力仅对远程服务连接方式的 MCP 生效。

    - 本地命令:通过标准输入/输出(STDIO) 启动本地进程。
    传输协议 支持 Streamable HTTPSSE,均支持凭据托管能力,请按需选择。
    说明:
    仅选择远程服务连接方式后需要配置该参数。
    服务配置 MCP 服务配置内容。

步骤二:配置凭据托管

  1. 凭据托管区域,单击右侧开关开启凭据托管。

  2. 系统根据服务配置中填写的内容,自动识别调用 MCP 时需要填写的凭据 key(例如 Authorization)。在凭据配置区域选择配置模式:

    • 若选择填写真实凭据,在输入框中填写真实凭据值。
    • 若选择保留占位符,则管理员无需填写,由用户端自行填写凭据。

      注意:

      凭据填写错误将导致 Agent 下发 MCP 失败,请确认填写的凭据值真实有效。

  3. 根据 MCP 服务要求,在服务配置中指定凭据注入位置。注入位置及格式说明如下:

    注入位置 格式说明 示例
    Headers 在 HTTP 请求头中注入凭据,多个 key 之间用英文逗号分隔 "key1": "<your-token>","key2": "<your-token>"
    Query 将凭据拼接至 URL 中,参数名需按 MCP 服务要求命名 http://mcp.example.com?key1=<>&key2=<>

    说明:

    Headers 与 Query 可同时注入凭据,凭据注入位置需与 MCP 服务实际要求保持一致。请确保服务配置填写格式正确,否则无法识别到调用 MCP 时需要填写的凭据 key。

  4. (可选)在 IP 白名单,填写允许访问该 MCP 服务的 IP 地址。支持单个 IP 或 CIDR 格式,为空则所有 IP 均可访问。

步骤三:创建并验证

  1. 单击下一步,编辑 MCP 服务相关文档说明。
  2. 单击创建 MCP
  3. 确认 MCP 服务列表中已出现新建的服务记录,且凭据托管状态为已开启,即表示配置成功。

未开启凭据托管时的配置

若不开启凭据托管,管理员在服务配置中存在两种选择:

  • 添加占位符,由用户端下发 MCP 时填写凭据。
  • 删除服务配置中的 headers,该 MCP 的调用将不需要加密。

用户端使用效果

凭据托管开启后,用户端下发 MCP 服务时的表现如下:

是否开启托管管理员配置用户端表现
未开启未填写占位符(未配置 key)用户端无需填写任何凭据,MCP 调用时不加密。
填写占位符用户端下发时需按提示填写对应参数的真实凭据值。
开启填写真实凭据用户端无需填写任何凭据,平台网关自动完成鉴权。
仅填写占位符用户端下发时需按提示填写对应参数的真实凭据值。

用户端需要填写凭据值时,会根据管理员填写的服务配置识别到 key。如果管理员配置了多个 key,则需要填写多个凭据值 value。例如,在管控端服务配置中填写的是 "url": "http://mcp.example.com?key1=<>&Authorization=<>",则在用户端下发该 MCP 时,会对应显示需要用户填写 key1Authorization 的凭据值。

说明:

开启凭据托管后,Agent 实际调用 MCP 时,由平台网关自动完成临时凭据替换与鉴权,真实密钥不会暴露。

常见问题

一个 MCP 服务可以同时注入多个凭据吗?

可以。凭据托管支持在 Headers 和 Query 中同时注入多条凭据,用户端需按配置填写多条凭据值 value。

MCP 是否支持批量下发?

需要在下发 Agent 时填写真实密钥的 MCP,不支持由管理员在管控端批量下发。不需要填写密钥的 MCP 支持批量下发。

已添加的 MCP 是否支持开启凭据托管?

暂不支持。已添加的未开启凭据托管的 MCP,如果需要使用该功能,需要重新添加该 MCP 并开启凭据托管。