Access Control
จัดการบทบาทและสิทธิ์ที่ละเอียดสำหรับ MCP server และเครื่องมือ
หน้า Access Control ช่วยให้ผู้ดูแลระบบกำหนดบทบาท มอบหมายผู้ใช้ให้กับบทบาทเหล่านั้น และกำหนดค่าอย่างแม่นยำว่า MCP server และเครื่องมือใดที่แต่ละบทบาทสามารถเข้าถึงได้
แท็บ
| แท็บ | คำอธิบาย |
|---|---|
| Roles | สร้างและจัดการคำนิยามบทบาท มอบหมายผู้ใช้ให้บทบาท |
| Permissions | กำหนดค่าการเข้าถึงระดับเซิร์ฟเวอร์และระดับ element ต่อบทบาท |
แท็บ Roles
คำนิยามบทบาท
บทบาท คือกลุ่มที่มีชื่อและมีลำดับความสำคัญ บทบาทที่มีลำดับความสำคัญสูงจะได้รับการพิจารณาก่อนเมื่อผู้ใช้เป็นสมาชิกของหลายบทบาทและบทบาทเหล่านั้นมีสิทธิ์ขัดแย้งกัน
ตารางบทบาทแสดง:
| คอลัมน์ | คำอธิบาย |
|---|---|
| Role | ชื่อเฉพาะของบทบาท |
| Priority | ลำดับความสำคัญเป็นตัวเลข (สูงกว่า = ประเมินก่อน) |
| Description | คำอธิบายที่มนุษย์อ่านได้ (ไม่บังคับ) |
| Members | จำนวนผู้ใช้ที่มอบหมายให้กับบทบาทนี้ในปัจจุบัน |
การสร้างบทบาท
คลิก Create Role และกรอก:
- Role name - ตัวอักษรและตัวเลข ขีดคั่น และขีดล่างเท่านั้น (เช่น
senior-developer) - Priority - จำนวนเต็ม ค่าเริ่มต้น
0 - Description - ไม่บังคับ
การมอบหมายผู้ใช้
คลิกแถวบทบาทเพื่อเปิดแผงการมอบหมาย ใช้ dropdown Add User เพื่อเพิ่มผู้ใช้ให้บทบาท หรือคลิก × ข้างสมาชิกเพื่อลบออก
แท็บ Permissions
Server Access
ควบคุมว่าเซิร์ฟเวอร์ใดเปิดหรือปิดใช้งานในสามระดับ:
| ระดับ | ขอบเขต |
|---|---|
| Global | ใช้กับผู้ใช้ทั้งหมดไม่ว่าบทบาทใด |
| Role | ใช้กับผู้ใช้ในบทบาทเฉพาะ |
| User | ใช้กับผู้ใช้เดี่ยว โดย override การตั้งค่าระดับบทบาท |
ระดับที่เฉพาะเจาะจงกว่าจะได้รับความสำคัญ: user > role > global
Element Access
Element คือเครื่องมือ resource และ prompt แต่ละตัวที่ถูกเปิดเผยโดย MCP server แต่ละ element มี toggle เปิด/ปิดใช้งาน พร้อมแฟล็กการจำแนก trifecta สามรายการที่ป้อนเข้าสู่ตัวตรวจจับ Lethal Trifecta:
| แฟล็ก | ความหมาย |
|---|---|
Private (read_private_data) | Element เข้าถึงข้อมูลส่วนตัวหรือข้อมูลผู้ใช้ที่ละเอียดอ่อน |
Untrusted (read_untrusted_public_data) | Element อ่านข้อมูลจากแหล่งที่ไม่น่าเชื่อถือหรือสาธารณะที่อาจมี prompt injection |
External (write_operation) | Element สามารถส่งข้อมูลออกภายนอกหรือทำการเขียนที่มีผลข้างเคียง |
แฟล็กสามารถตั้งค่าได้ในระดับ Global, Role หรือ User - ขอบเขตที่เฉพาะเจาะจงกว่าจะสืบทอดจากขอบเขตที่กว้างกว่าจนกว่าจะ override อย่างชัดเจน การตั้งค่าระดับ element จะถูก resolve หลังจากการเข้าถึงระดับเซิร์ฟเวอร์: เซิร์ฟเวอร์ต้องเปิดใช้งานเพื่อให้ element ของมันเข้าถึงได้
การตั้งค่า access control ถูกแคชใน memory โดย Edison Watch เพื่อประสิทธิภาพ หากคุณเปลี่ยนการมอบหมายบทบาทหรือสิทธิ์และไม่เห็นผลทันที ให้รอสักครู่ให้แคช refresh ในการเรียกใช้เครื่องมือครั้งถัดไป