Okta-mcp-server

<div align="center"> <a href="https://fctr.io"> <img src="https://fctr.io/images/logo.svg" alt="fctr.io" width="110" height="auto"> </a> </div>

<div align="center"> <h2>Okta MCP 服务器 (v0.1.0-ALPHA)</h2> </div>

Okta MCP 服务器是一个突破性的工具，它使 AI 模型能够使用模型上下文协议 (MCP) 直接与您的 Okta 环境交互。它专为 IAM 工程师、安全团队和 Okta 管理员构建，实现了 MCP 规范，以改变 AI 助手帮助管理和分析 Okta 资源的方式。

<div style="align: center" > <p ><a href="https://github.com/fctr-id/okta-mcp-server">在 GitHub 上查看</a> | <a href="https://modelcontextprotocol.io/introduction">了解 MCP</a> | <a href="https://github.com/fctr-id/okta-ai-agent">Okta AI 代理</a></p> </div>

<div > <h3>快速演示</h3> </div> <p > <img src="images/mcp-server.gif" alt="Okta MCP 服务器演示" width="1024px" height="auto"> </p>

📋 目录

• 📋 目录
• 🔍 什么是模型上下文协议？
• ⚠️ 重要提示：安全与限制
  • 🔄 数据流与隐私
  • 📊 上下文窗口限制
  • 🚨 SSE 传输安全警告
• 🛠️ 可用工具
• 🚀 快速开始
  • 先决条件
  • 安装
  • 配置与使用
  • 支持的传输方式和启动
    • 1. 标准 I/O (STDIO) - 推荐
    • 2. 服务器发送事件 (SSE) - 仅限高级使用
• ⚠️ 须知
  • Alpha 版本 🧪
  • 安全第一 🛡️
  • 当前限制 🔍
• 🗺️ 路线图
• 🆘 需要帮助？
• 💡 功能请求与想法
• 👥 贡献者
• ⚖️ 法律声明

 

🔍 什么是模型上下文协议？

<div align="left"> <p>模型上下文协议 (MCP) 是一种开放标准，它使 AI 模型能够以结构化、安全的方式与外部工具和服务交互。它为 AI 系统提供了一个一致的接口来发现和使用服务器公开的功能，从而允许 AI 助手将其功能扩展到其训练数据之外。</p>

<p>可以将 MCP 视为“AI 集成的 USB-C”——正如 USB-C 提供了一个通用标准，允许各种设备连接和通信，而无需考虑制造商一样，MCP 创建了一种标准化方式，供 AI 模型发现和与不同的服务交互，而无需为每个服务进行自定义集成。这种“即插即用”方法意味着开发人员可以构建一次工具，并使其在多个 AI 助手上工作，而用户可以从无缝集成中受益，而无需担心兼容性问题。</p>

<p><strong>示例：</strong>“查找我们 Okta 租户中所有锁定的用户，并在 Google Drive 上的 IT 运营文件夹中创建一个包含其姓名、电子邮件地址和上次登录日期的电子表格。”<em>AI 使用 Okta MCP 服务器查询锁定的用户，然后将此数据传递给 Google Drive MCP 服务器以创建电子表格 - 所有这些都无需自定义编码。</em></p>

<div align="left"> <a href="https://modelcontextprotocol.io/introduction"> <img src="images/MCP-Example.png" style="width:700px"> </a> </div> </div>

⚠️ 重要提示：安全与限制

在使用 Okta MCP 服务器之前，请仔细阅读本节。

🔄 数据流与隐私

当您发出请求时，交互直接发生在 LLM 和 Okta MCP 工具之间 - 客户端应用程序不再位于中间。这些工具返回的所有数据（包括完整的用户配置文件、组成员身份等）在整个对话期间都会发送到 LLM 的上下文中并存储在其中。

关键隐私注意事项：

• LLM（Claude、GPT 等）接收并处理工具检索的所有 Okta 数据
• 此数据在对话期间保留在 LLM 的上下文中
• 您必须接受您的 Okta 用户数据由 LLM 提供商的系统处理
• 在使用这些工具之前，请确保您接受 Okta 数据发送到 AI 模型的服务器

📊 上下文窗口限制

MCP 专为类似于 Zapier 的轻量级工作流程而设计，而不是批量数据操作。

**建议：**将每个事务的请求限制为少于 100 个实体。避免需要获取大型数据集或多次 API 调用的操作。

示例：

❌ 避免以下类型的请求：

• “从我们的 Okta 租户中获取所有 10,000 个用户并分析他们的登录模式”
• “查找未注册 Okta Verify 作为因素的用户”

✅ 更好的方法：

• “获取最近创建的 20 个用户”
• “查找 90 天以上未登录的用户，限制为前 50 个结果”

💡 对于更大的数据集和复杂的查询： 考虑使用 Okta AI 代理 进行更大的查询和数据集，该代理正在增强类似“可操作”的功能，以便在不久的将来处理更大的数据集和更复杂的场景。

🚨 SSE 传输安全警告

通过 HTTP 传输模式的 SSE 存在重大安全风险：

• 它打开一个未经身份验证的 HTTP 服务器，可以完全访问您的 Okta 租户
• 不提供身份验证或授权
• 任何可以访问网络端口的人都可以向您的 Okta 环境发出命令

最佳实践： 除非您有特定的安全控制措施，否则仅使用 STDIO 传输方法（默认模式）。

🛠️ 可用工具

Okta MCP 服务器目前提供以下工具：

用户管理

• list_users - 检索分页的用户列表，并提供过滤选项
• get_user - 通过 ID 或登录名获取有关特定用户的详细信息

组操作

• list_groups - 检索 Okta 组织中的组，并提供过滤选项
• get_group - 获取有关特定组的详细信息
• list_group_members - 列出特定组的所有成员
• list_assigned_applications_for_group - 列出分配给特定组的所有应用程序

应用程序管理

• list_applications - 检索应用程序，并提供过滤、搜索和分页选项

系统日志事件

• get_logs - 检索 Okta 系统日志事件，并提供基于时间、过滤器和搜索的选项

应用程序、因素、策略和更高级操作的其他工具已在路线图上，将在未来的版本中添加。

🚀 快速开始

先决条件

✅ 您的机器上安装了 Python 3.8+ ✅ 具有适当 API 访问权限的 Okta 租户 ✅ 兼容 MCP 的 AI 客户端（Claude Desktop、Microsoft Copilot Studio 等）

⚠️ 重要的模型兼容性说明： 并非所有 AI 模型都适用于此 MCP 服务器。仅使用以下模型进行了测试：

• GPT-4.0
• Claude 3.7 Sonnet

您必须使用明确支持工具调用/函数调用功能的最新模型版本。较旧的模型或不支持工具调用的模型将无法与 Okta MCP 服务器交互。

安装

# 克隆存储库
git clone https://github.com/fctr-id/okta-mcp-server.git
cd okta-mcp-server

# 创建并激活虚拟环境
python -m venv venv
source venv/bin/activate  # 在 Windows 上使用：venv\Scripts\activate

# 安装依赖项
pip install -r requirements.txt

配置与使用

创建一个包含您的 Okta 设置的配置文件：

要使用命令行客户端（无内存），请使用以下说明

# 复制示例配置
cp .env.sample .env

# 使用您的设置编辑 env
# 必需：Okta 域和 API 令牌以及 LLM 设置

cd clients
python mcp-cli-stdio-client.py

要使用像 Claude Code、vsCode 等 MCP 主机，请找到下面的 json 配置

支持的传输方式和启动

Okta MCP 服务器支持两种传输协议：

1. 标准 I/O (STDIO) - 推荐

• 安全性：通过标准输入/输出流进行直接通信
• 用例：非常适合像 Claude Desktop 这样的桌面 AI 助手
• 配置：对于 Claude Desktop，添加到 claude_desktop_config.json：

  {
    "mcpServers": {
      "okta-mcp-server": {
        "command": "DIR/okta-mcp-server/venv/Scripts/python",
        "args": [
          "DIR/okta-mcp-server/main.py"
        ],
        "env": {
          "OKTA_CLIENT_ORGURL": "https://dev-1606.okta.com",
          "OKTA_API_TOKEN": "OKTA_API_TOKEN"
        }
      }
    }
  }
  

  将 DIR 替换为您的绝对目录路径，并将 OKTA_API_TOKEN 替换为您的实际令牌

2. 服务器发送事件 (SSE) - 仅限高级使用

# 在 SSE 模式下运行（需要明确的风险确认）
python main.py --sse --iunderstandtherisks

⚠️ 警告：SSE 传输通过 Web 端点公开您的服务器，任何可以访问您的网络的人都可以访问该端点。仅在具有适当网络保护的安全环境中使用。

• 对于其他 MCP 客户端：根据其文档配置 STDIO 或 SSE 传输。

⚠️ 须知

Alpha 版本 🧪

• 早期开发阶段 - 预计会频繁更新
• API 表面覆盖范围仍在扩大
• 目前专注于用户和组的只读操作
• 正在快速添加更多工具和功能
• 尚未适合生产环境

安全第一 🛡️

• 专为最小权限操作而设计
• 默认对 Okta 资源的只读访问
• 未来的写入操作将需要明确的审批流程

当前限制 🔍

• 从一组有限的用于用户和组的只读工具开始
• 计划在即将发布的版本中快速扩展 API 覆盖范围
• 某些复杂的 Okta 关系尚未公开
• 尚未优化非常大的 Okta 实例的性能
• 需要直接网络访问 Okta API 端点

🗺️ 路线图

当前进度：

• [x] MCP 协议合规性
• [x] 基本 Okta API 集成
• [x] 支持只读操作

未来的计划包括：

• [ ] 综合文档
• [ ] 完整的用户生命周期操作
• [ ] 应用程序分配管理
• [ ] 组成员操作
• [ ] 因素注册和验证
• [ ] 策略和规则管理
• [ ] 敏感操作的审批工作流程
• [ ] 多渠道审批选项（Web、电子邮件、Slack）
• [ ] 审计日志记录和合规性报告
• [ ] 系统日志集成
• [ ] 安全洞察生成
• [ ] 多租户支持
• [ ] 基于角色的访问控制

🆘 需要帮助？

在提出问题之前，请检查：

1. 📝 服务器配置
2. 🔑 Okta API 权限
3. 🔌 MCP 客户端兼容性
4. 📊 服务器日志

仍然有问题？在 GitHub 上打开一个问题或发送电子邮件至 support@fctr.io（响应时间可能会有所不同）

💡 功能请求与想法

有想法或建议？在 GitHub 上打开一个功能请求！

👥 贡献者

有兴趣贡献？我们很乐意有你！联系 info@fctr.io 了解合作机会。

⚖️ 法律声明

查看 License.md 了解详细信息。

---

🌟 © 2025 Fctr Identity。版权所有。用 ❤️ 为 Okta 和 AI 社区制作。