/ Directorio / Playground / Archestra
← Todos los servidores ↗ GitHub
● Comunidad archestra-ai ⚡ Instantáneo

Archestra

por archestra-ai · archestra-ai/archestra

Ejecuta docenas de servidores MCP detrás de una sola pasarela empresarial — registro, autenticación, políticas de control, log de auditoría, todo incluido.

Archestra es un plano de control MCP de nivel empresarial: un registro privado de servidores verificados, una pasarela que los unifica bajo una sola URL + autenticación, un orquestador que enruta llamadas y aplica políticas, y un log de auditoría. Diseñado para equipos de IT/seguridad que quieren habilitar MCP en toda su organización sin que cada ingeniero conecte sus propios servidores y credenciales. Autoalojable, con acceso basado en roles y políticas por herramienta.

▶ Ver demo 📦 Instalar 💡 Casos de uso

Por qué usarlo

Características clave

Demo en vivo

Cómo se ve en la práctica

archestra-mcp.replay ▶ listo
0/0

Instalar

Elige tu cliente

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Abre Claude Desktop → Settings → Developer → Edit Config. Reinicia después de guardar.

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Cursor usa el mismo esquema mcpServers que Claude Desktop. La configuración del proyecto prevalece sobre la global.

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Haz clic en el icono MCP Servers de la barra lateral de Cline y luego en "Edit Configuration".

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Mismo formato que Claude Desktop. Reinicia Windsurf para aplicar.

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "archestra-mcp",
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  ]
}

Continue usa un array de objetos de servidor en lugar de un mapa.

~/.config/zed/settings.json
{
  "context_servers": {
    "archestra-mcp": {
      "command": {
        "path": "npx",
        "args": [
          "-y",
          "archestra"
        ]
      }
    }
  }
}

Añádelo a context_servers. Zed recarga en caliente al guardar.

claude mcp add archestra-mcp -- npx -y archestra

Un solo comando. Verifica con claude mcp list. Quita con claude mcp remove.

Casos de uso

Usos del mundo real: Archestra

Desplegar MCP en una organización sin dar a cada desarrollador API keys directas

👤 Equipos de plataforma / IT / seguridad ⏱ ~90 min advanced

Cuándo usarlo: Tus desarrolladores quieren MCP pero no puedes tener 200 PATs flotando en portátiles.

Requisitos previos
  • Un host (VM o k8s) y proveedor SSO (Okta/Entra/Google) — Infraestructura estándar — Archestra trae su propio postgres + redis
Flujo
  1. Desplegar la pasarela
    Guíame en el despliegue de Archestra mediante Docker Compose. Enlaza a https://mcp.ejemplo.com y configura Okta OIDC.✓ Copiado
    → Archivo Compose escrito; la pasarela responde en la URL con redirección de login
  2. Añadir servidores
    Añade los MCPs de github, postgres y slack al registro. Almacena las credenciales en el vault de Archestra, no en variables de entorno.✓ Copiado
    → Tres servidores listados; credenciales por servidor almacenadas cifradas
  3. Aprovisionar un usuario
    Da al grupo de ingeniería acceso a github (solo lectura) y postgres (solo lectura). Sin slack.✓ Copiado
    → Política de acceso aplicada; la prueba desde la configuración Claude de un desarrollador funciona

Resultado: Toda la organización habla con una URL MCP; tú controlas qué herramientas puede llamar cada rol.

Errores comunes
  • La expiración del token SSO interrumpe sesiones activas de Claude — Configura el modo refresh-token en OIDC; Archestra rotará de forma transparente

Bloquear herramientas peligrosas en la pasarela, no en la configuración del cliente

👤 Equipos de seguridad y cumplimiento ⏱ ~30 min intermediate

Cuándo usarlo: Algunos MCPs incluyen herramientas destructivas (borrar repo, eliminar tabla) que nunca quieres exponer.

Flujo
  1. Inventariar herramientas
    Lista todas las herramientas expuestas en los MCPs registrados.✓ Copiado
    → Lista plana de herramientas, cientos de entradas
  2. Definir política
    Bloquea: github.delete_repo, postgres.execute_ddl, slack.delete_message. Permite todo lo demás.✓ Copiado
    → Política creada; herramientas afectadas marcadas como bloqueadas
  3. Verificar
    Que una sesión de Claude intente github.delete_repo. Debe fallar en la pasarela con un mensaje claro.✓ Copiado
    → Llamada rechazada; entrada en el log de auditoría

Resultado: Una política que puedes mostrar a tu CISO que dice 'estas herramientas no pueden invocarse en el perímetro'.

Errores comunes
  • El servidor MCP añade una nueva herramienta en una actualización — Archestra muestra 'nueva herramienta detectada' al refrescar el registro — revisa antes de permitir

Obtener un registro de auditoría por usuario de cada llamada MCP

👤 Operaciones, auditoría, post-incidente ⏱ ~15 min intermediate

Cuándo usarlo: Algo raro ocurrió en producción y necesitas saber qué agente ejecutó qué herramienta.

Flujo
  1. Encontrar la ventana de tiempo
    Obtén todas las llamadas entre las 14:00 y las 15:30 de hoy. Agrupa por usuario.✓ Copiado
    → Tabla por usuario; cada herramienta + argumento + vista previa del resultado
  2. Profundizar en anomalías
    ¿Algo que parezca inusual — operaciones de borrado, actividad fuera de horario?✓ Copiado
    → Entradas sospechosas resaltadas
  3. Exportar
    Exporta el fragmento como CSV para cumplimiento.✓ Copiado
    → CSV escrito

Resultado: Un rastro de auditoría defendible sin tener que reinventarlo.

Errores comunes
  • La retención predeterminada es 30 días — Aumenta la retención mediante configuración o envía a tu SIEM en streaming
Combinar con: filesystem

Combinaciones

Combínalo con otros MCPs para multiplicar por 10

archestra-mcp + filesystem

Exportar fragmentos de auditoría para archivos de cumplimiento

archestra-mcp + github

Rastrear la configuración de infraestructura (Archestra como código)

Herramientas

Lo que expone este MCP

HerramientaEntradasCuándo llamarCoste
list_servers (ninguno) Descubrir qué está disponible gratis
list_tools server? Ver herramientas de todos los servidores gratis
audit_query from, to, user?, server?, tool? Forense / cumplimiento 1 consulta a BD
policy_set scope, allow[], deny[] Ajustar políticas por rol / por herramienta gratis

Coste y límites

Lo que cuesta ejecutarlo

Cuota de API
Autoalojado; limitado por tu infraestructura
Tokens por llamada
Añade una sobrecarga mínima por llamada
Monetario
OSS gratis; soporte comercial disponible
Consejo
Mantén la retención de auditoría acotada (30-90d) y envía los registros más antiguos a S3 para almacenamiento económico a largo plazo

Seguridad

Permisos, secretos, alcance

Ámbitos mínimos: Administrador para configurar Los usuarios finales usan solo los scopes de SSO
Almacenamiento de credenciales: Archestra Vault (cifrado en reposo); nunca variables de entorno directas en clientes de usuario
Salida de datos: Permanece en tu infraestructura; solo salida a los servidores MCP que registres
No conceder nunca: Rol administrador a desarrolladores ordinarios

Resolución de problemas

Errores comunes y soluciones

Bucle de redirección OIDC

Confirma que redirect_uri incluye la barra diagonal final; algunos IdPs son estrictos

Verificar: Prueba con SSO iniciado por IdP — si funciona, el redirect URI es el problema
Herramienta bloqueada inesperadamente

Verifica la precedencia de políticas — las reglas de deny ganan sobre allow

Verificar: Usa `policy_test` con el rol + herramienta para ver la decisión resuelta
Servidor inaccesible

Revisa el transporte stdio/http del MCP registrado — Archestra registra el error subyacente

Verificar: Ejecuta el MCP de forma independiente con las mismas credenciales

Alternativas

Archestra vs otros

AlternativaCuándo usarlaContrapartida
MCPJungleQuieres un 'todos los servidores detrás de un endpoint' más ligero sin las funciones empresarialesMCPJungle es más simple; Archestra añade políticas + auditoría + SSO
samanhappy/mcphubUn hub OSS autoalojado con buena UI es suficienteMCPHub está más orientado a desarrolladores; Archestra apunta a la gobernanza empresarial

Más

Recursos

📖 Lee el README oficial en GitHub

🐙 Ver issues abiertas

🔍 Ver todos los 400+ servidores MCP y Skills