存取與 Scope 規劃
在連接客戶端或擴展既有工作流程前,先使用本指南確認客戶端連接哪個 endpoint、API key 擁有哪些 scope、誰負責審批計算或寫入動作,以及存取權限如何定期複核。
規劃輸入
| 輸入 | 作用 |
|---|---|
| 工作流程邊界 | 定義客戶端可處理的租戶、站點、資產組、設備集合、場景或資料域。 |
| Endpoint 選擇 | 讓客戶端連接到適合目前任務的受控 MCP slice。 |
| Scope 集合 | 控制哪些工具可見,哪些動作會被拒絕。 |
| 複核負責人 | 明確誰接受輸出、審批動作並複核例外。 |
| Key 負責人 | 明確誰申請、保存、輪換和吊銷 API key。 |
| 證據要求 | 定義輸出中必須包含哪些來源引用、時間戳和複核說明。 |
Endpoint 選擇
先從工作流程出發,再選擇能支援任務的最小 endpoint 集合。
| 工作流程 | 主要 endpoint | 僅在需要時增加 |
|---|---|---|
| 設施營運 | /mcp/base/ | 用於客戶特定營運訊號的模組 endpoint。 |
| 預測性維護 | /mcp/pdm/ | 需要資產記錄、文件和已複核工單草稿時增加 /mcp/base/。 |
| Physical AI | /mcp/base/ | 當營運訊號需要約束場景或模擬任務時增加模組 endpoint。 |
使用執行時工具發現確認該 key 最終可見的工具集合。建構客戶端工作流程時,不要只依賴靜態清單。
Scope 規劃
先按最小權限原則設定。只有經過複核的工作流程確實需要時,再增加 scope。
| Scope 類型 | 典型用途 | 規劃說明 |
|---|---|---|
| 讀取 scope | 資產上下文、文件、營運記錄、健康摘要、場景中繼資料和來源引用。 | 首批試點通常應從這裡開始。 |
| 計算 scope | 模擬準備、預測、最佳化、對比或摘要任務。 | 需要工程負責人複核假設和輸出。 |
| 寫入 scope | 起草工單、巡檢任務、複核說明或場景記錄。 | 僅在審批路徑和稽核記錄已經定義後使用。 |
如果一個工作流程使用多個 endpoint,應記錄每個 endpoint 的必要性。如果一個 endpoint 可以完成任務,就保持設定簡單。
API key 生命週期
每個 key 都應有負責人、用途、scope 清單和複核日期。
| 階段 | 必須明確 |
|---|---|
| 申請 | 工作流程名稱、endpoint、scope、負責人和預期客戶端。 |
| 發放 | Key 只展示一次,由負責人設定到獲准客戶端。 |
| 使用 | 客戶端每次請求都發送 X-API-Key,並在執行時列出工具。 |
| 複核 | 負責人確認 scope 是否仍然匹配工作流程邊界。 |
| 輪換 | 當負責人、客戶端執行環境或存取策略變化時替換 key。 |
| 吊銷 | 當工作流程退役或客戶端不再獲准時移除 key。 |
審批邊界
把分析和動作分開。
| 動作類型 | 預設處理方式 |
|---|---|
| 只讀摘要 | Key 具備對應讀取 scope 且輸出引用來源記錄時允許。 |
| 計算任務 | 僅在 key 具備計算 scope,並記錄假設、輸入邊界和複核負責人時允許。 |
| 工單或巡檢草稿 | 僅在存在寫入 scope,且記錄在人工審批前保持草稿狀態時允許。 |
| 營運變更 | 除非客戶定義了單獨的受控變更流程,否則不放入自動執行。 |
存取複核清單
- Endpoint 和 scope 匹配工作流程邊界。
- 執行時工具發現只顯示預期工具。
- 客戶端不使用租戶 header 替代 key 授權。
- 計算和寫入動作有明確複核人。
- 已接受輸出中可見來源引用和時間戳。
- Key 負責人和複核日期已記錄。
- 營運團隊知道輪換和吊銷步驟。