访问与 Scope 规划
在连接客户端或扩展现有工作流前,先使用本指南确认客户端连接哪个 endpoint、API key 拥有哪些 scope、谁负责审批计算或写入动作,以及访问权限如何定期复核。
规划输入
| 输入 | 作用 |
|---|---|
| 工作流边界 | 定义客户端可处理的租户、站点、资产组、设备集合、场景或数据域。 |
| Endpoint 选择 | 让客户端连接到适合当前任务的受控 MCP slice。 |
| Scope 集合 | 控制哪些工具可见,哪些动作会被拒绝。 |
| 复核负责人 | 明确谁接受输出、审批动作并复核异常。 |
| Key 负责人 | 明确谁申请、保存、轮换和吊销 API key。 |
| 证据要求 | 定义输出中必须包含哪些来源引用、时间戳和复核说明。 |
Endpoint 选择
先从工作流出发,再选择能支持任务的最小 endpoint 集合。
| 工作流 | 主要 endpoint | 仅在需要时增加 |
|---|---|---|
| 设施运营 | /mcp/base/ | 用于客户特定运营信号的模块 endpoint。 |
| 预测性维护 | /mcp/pdm/ | 需要资产记录、文档和已复核工单草稿时增加 /mcp/base/。 |
| Physical AI | /mcp/base/ | 当运营信号需要约束场景或仿真任务时增加模块 endpoint。 |
使用运行时工具发现确认该 key 最终可见的工具集合。构建客户端工作流时,不要只依赖静态列表。
Scope 规划
先按最小权限原则配置。只有经过复核的工作流确实需要时,再增加 scope。
| Scope 类型 | 典型用途 | 规划说明 |
|---|---|---|
| 读取 scope | 资产上下文、文档、运营记录、健康摘要、场景元数据和来源引用。 | 首批试点通常应从这里开始。 |
| 计算 scope | 仿真准备、预测、优化、对比或摘要任务。 | 需要工程负责人复核假设和输出。 |
| 写入 scope | 起草工单、巡检任务、复核说明或场景记录。 | 仅在审批路径和审计记录已经定义后使用。 |
如果一个工作流使用多个 endpoint,应记录每个 endpoint 的必要性。如果一个 endpoint 可以完成任务,就保持配置简单。
API key 生命周期
每个 key 都应有负责人、用途、scope 列表和复核日期。
| 阶段 | 必须明确 |
|---|---|
| 申请 | 工作流名称、endpoint、scope、负责人和预期客户端。 |
| 发放 | Key 只展示一次,由负责人配置到获准客户端。 |
| 使用 | 客户端每次请求都发送 X-API-Key,并在运行时列出工具。 |
| 复核 | 负责人确认 scope 是否仍然匹配工作流边界。 |
| 轮换 | 当负责人、客户端运行环境或访问策略变化时替换 key。 |
| 吊销 | 当工作流退役或客户端不再获准时移除 key。 |
审批边界
把分析和动作分开。
| 动作类型 | 默认处理方式 |
|---|---|
| 只读摘要 | Key 具备对应读取 scope 且输出引用来源记录时允许。 |
| 计算任务 | 仅在 key 具备计算 scope,并记录假设、输入边界和复核负责人时允许。 |
| 工单或巡检草稿 | 仅在存在写入 scope,且记录在人工审批前保持草稿状态时允许。 |
| 运营变更 | 除非客户定义了单独的受控变更流程,否则不放入自动执行。 |
访问复核清单
- Endpoint 和 scope 匹配工作流边界。
- 运行时工具发现只显示预期工具。
- 客户端不使用租户 header 替代 key 授权。
- 计算和写入动作有明确复核人。
- 已接受输出中可见来源引用和时间戳。
- Key 负责人和复核日期已记录。
- 运营团队知道轮换和吊销步骤。