Synamcps — permission-aware MCP server and team knowledge gatewaySynamcps

Безопасность и контроль доступа

Безопасность Synamcps строится на least privilege: токен только пересекает существующий ACL пользователя со своими scopes (read-only, конкретные storages, конкретные tools). Утечка токена не даёт больше прав, чем у владельца — обычно меньше.

Токены, которые сужают доступ, а не расширяют — плюс корпоративная идентичность и observability.

Permission-narrowing токены

Выпускайте короткоживущие токены с toolAllowlist, storageIds, maxMode и лимитами minute/hour/day + burst. Ротируйте или отзывайте через Admin API. Сбойный агент получает 429 вместо нагрузки на downstream.

Корпоративный auth и audit-сигналы

Аутентификация через OIDC, Keycloak, Google или Teleport Proxy JWT — плюс internal login для Admin UI. Prometheus /metrics и Redis TimeSeries отвечают, какой агент читал какой storage и как часто.