/ Annuaire / Playground / Archestra
← Tous les serveurs ↗ GitHub
● Communauté archestra-ai ⚡ Instantané

Archestra

par archestra-ai · archestra-ai/archestra

Faites tourner des dizaines de serveurs MCP derrière une seule passerelle enterprise — registre, auth, garde-fous, journal d'audit, tout y est.

Archestra est un plan de contrôle MCP de niveau enterprise : un registre privé de serveurs approuvés, une passerelle qui les expose sous une URL + auth unique, un orchestrateur qui route les appels et applique les garde-fous, et un journal d'audit. Conçu pour les équipes IT/sécurité qui veulent activer MCP dans toute leur organisation sans que chaque ingénieur monte ses propres serveurs et identifiants. Auto-hébergeable, avec accès basé sur les rôles et politiques par outil.

▶ Voir la démo 📦 Installer 💡 Cas d'usage

Pourquoi l'utiliser

Fonctionnalités clés

Démo en direct

Aperçu en pratique

archestra-mcp.replay ▶ prêt
0/0

Installer

Choisissez votre client

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Ouvrez Claude Desktop → Settings → Developer → Edit Config. Redémarrez après avoir enregistré.

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Cursor utilise le même schéma mcpServers que Claude Desktop. La config projet l'emporte sur la globale.

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Cliquez sur l'icône MCP Servers dans la barre latérale Cline, puis "Edit Configuration".

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Même format que Claude Desktop. Redémarrez Windsurf pour appliquer.

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "archestra-mcp",
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  ]
}

Continue utilise un tableau d'objets serveur plutôt qu'une map.

~/.config/zed/settings.json
{
  "context_servers": {
    "archestra-mcp": {
      "command": {
        "path": "npx",
        "args": [
          "-y",
          "archestra"
        ]
      }
    }
  }
}

Ajoutez dans context_servers. Zed recharge à chaud à la sauvegarde.

claude mcp add archestra-mcp -- npx -y archestra

Une seule ligne. Vérifiez avec claude mcp list. Supprimez avec claude mcp remove.

Cas d'usage

Usages concrets : Archestra

Déployer MCP dans une organisation sans donner des clés API brutes à chaque développeur

👤 Équipes plateforme / IT / sécurité ⏱ ~90 min advanced

Quand l'utiliser : Vos devs veulent MCP mais vous ne pouvez pas avoir 200 PAT qui traînent sur les laptops.

Prérequis
  • Un hôte (VM ou k8s) et un fournisseur SSO (Okta/Entra/Google) — Infrastructure standard — Archestra apporte son propre postgres + redis
Déroulement
  1. Déployer la passerelle
    Walk me through deploying Archestra via Docker Compose. Bind to https://mcp.example.com and configure Okta OIDC.✓ Copié
    → Fichier Compose écrit ; la passerelle répond à l'URL avec une redirection de connexion
  2. Ajouter des serveurs
    Add github, postgres, and slack MCPs to the registry. Store creds in Archestra vault, not env vars.✓ Copié
    → Trois serveurs listés ; identifiants par serveur stockés chiffrés
  3. Provisionner un utilisateur
    Give engineering group access to github (read-only) and postgres (read-only). No slack.✓ Copié
    → Politique d'accès appliquée ; test depuis la config claude d'un dev fonctionne

Résultat : Toute l'organisation parle à une URL MCP unique ; vous contrôlez quels outils chaque rôle peut appeler.

Pièges
  • L'expiration du token SSO tue les sessions Claude actives — Configurez le mode refresh-token dans OIDC ; Archestra tournera de façon transparente

Bloquer les outils dangereux au niveau de la passerelle, pas dans la config client

👤 Équipes sécurité/conformité ⏱ ~30 min intermediate

Quand l'utiliser : Certains MCP livrent des outils destructeurs (supprimer dépôt, supprimer table) que vous ne voulez jamais exposer.

Déroulement
  1. Inventorier les outils
    List every tool exposed across registered MCPs.✓ Copié
    → Liste d'outils plat, des centaines d'entrées
  2. Définir la politique
    Block: github.delete_repo, postgres.execute_ddl, slack.delete_message. Allow everything else.✓ Copié
    → Politique créée ; outils concernés marqués comme bloqués
  3. Vérifier
    Have a Claude session try github.delete_repo. Should fail at the gateway with a clear message.✓ Copié
    → Appel rejeté ; entrée dans le journal d'audit

Résultat : Une politique que vous pouvez montrer à votre RSSI indiquant « ces outils ne peuvent pas être invoqués au périmètre ».

Pièges
  • Un serveur MCP ajoute un nouvel outil lors d'une mise à jour — Archestra affiche « nouvel outil détecté » lors du rafraîchissement du registre — révisez avant d'autoriser

Obtenir un journal d'audit par utilisateur de chaque appel MCP

👤 Ops, audit, post-incident ⏱ ~15 min intermediate

Quand l'utiliser : Quelque chose d'étrange s'est produit en prod et vous devez savoir quel agent a exécuté quel outil.

Déroulement
  1. Trouver la fenêtre
    Pull all calls between 14:00 and 15:30 today. Group by user.✓ Copié
    → Tableau par utilisateur ; chaque outil + argument + aperçu du résultat
  2. Approfondir les anomalies
    Anything that looks unusual — delete operations, off-hour activity?✓ Copié
    → Entrées suspectes mises en évidence
  3. Exporter
    Export the slice as CSV for compliance.✓ Copié
    → CSV écrit

Résultat : Un journal d'audit défendable sans le réinventer.

Pièges
  • La rétention par défaut est de 30 jours — Augmentez la rétention via la config ou streamez vers votre SIEM
Combiner avec : filesystem

Combinaisons

Associez-le à d'autres MCPs pour un effet X10

archestra-mcp + filesystem

Exporter les tranches d'audit pour les archives de conformité

archestra-mcp + github

Suivre la config infra (config-as-code Archestra)

Outils

Ce que ce MCP expose

OutilEntréesQuand appelerCoût
list_servers (aucun) Découvrir ce qui est disponible gratuit
list_tools server? Exposer les outils de tous les serveurs gratuit
audit_query from, to, user?, server?, tool? Forensique / conformité 1 requête DB
policy_set scope, allow[], deny[] Ajuster les politiques par rôle / par outil gratuit

Coût et limites

Coût d'exécution

Quota d'API
Auto-hébergé ; limité par votre infra
Tokens par appel
Ajoute un léger surcoût par appel
Monétaire
Gratuit OSS ; support commercial disponible
Astuce
Limitez la rétention des audits (30 à 90 jours) et streamez les plus anciens vers S3 pour un stockage long terme économique

Sécurité

Permissions, secrets, portée

Portées minimales : Admin pour configurer Les utilisateurs finaux utilisent uniquement les scopes SSO
Stockage des identifiants : Archestra Vault (chiffré au repos) ; jamais d'env brut dans les clients utilisateurs
Sortie de données : Reste dans votre infra ; sortant uniquement vers les serveurs MCP que vous avez enregistrés
Ne jamais accorder : Admin aux développeurs ordinaires

Dépannage

Erreurs courantes et correctifs

Boucle de redirection OIDC

Confirmez que redirect_uri inclut le slash final ; certains IdP sont stricts

Vérifier : Testez avec le SSO initié par l'IdP — si ça fonctionne, le redirect URI est le problème
Outil bloqué de façon inattendue

Vérifiez la priorité des politiques — les règles deny l'emportent sur les allow

Vérifier : Utilisez `policy_test` avec le rôle + outil pour voir la décision résolue
Serveur injoignable

Vérifiez le transport stdio/http du MCP enregistré — Archestra journalise l'erreur sous-jacente

Vérifier : Exécutez le MCP seul avec les mêmes identifiants

Alternatives

Archestra vs autres

AlternativeQuand l'utiliserCompromis
MCPJungleVous voulez un agrégateur « tous les serveurs derrière un endpoint » plus léger sans les fonctionnalités enterpriseMCPJungle est plus simple ; Archestra ajoute politiques + audit + SSO
samanhappy/mcphubUn hub OSS auto-hébergé avec une bonne interface suffitMCPHub est plus orienté dev ; Archestra cible la gouvernance enterprise

Plus

Ressources

📖 Lire le README officiel sur GitHub

🐙 Voir les issues ouvertes

🔍 Parcourir les 400+ serveurs MCP et Skills