/ ディレクトリ / プレイグラウンド / Archestra
← 全サーバー ↗ GitHub
● コミュニティ archestra-ai ⚡ 即起動

Archestra

作者 archestra-ai · archestra-ai/archestra

数十のMCPサーバーを1つのエンタープライズゲートウェイの背後で実行 — レジストリ・認証・ガードレール・監査ログ、すべて揃っています。

ArchestraはエンタープライズグレードのMCPコントロールプレーンです:審査済みサーバーのプライベートレジストリ、1つのURL + 認証でフロントに立つゲートウェイ、呼び出しをルーティングしてガードレールを強制するオーケストレーター、そして監査ログ。独自サーバーと認証情報を各エンジニアが接続することなく、組織全体でMCPを有効にしたいIT/セキュリティチームのために作られています。セルフホスト可能で、ロールベースアクセスとツールごとのポリシーを備えています。

▶ デモを見る 📦 インストール 💡 ユースケース

なぜ使うのか

主な機能

ライブデモ

実際の動作

archestra-mcp.replay ▶ 準備完了
0/0

インストール

クライアントを選択

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Claude Desktop → Settings → Developer → Edit Config を開く。保存後、アプリを再起動。

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Cursor は Claude Desktop と同じ mcpServers スキーマを使用。プロジェクト設定はグローバルより優先。

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Cline サイドバーの MCP Servers アイコンをクリックし、"Edit Configuration" を選択。

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Claude Desktop と同じ形式。Windsurf を再起動して反映。

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "archestra-mcp",
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  ]
}

Continue はマップではなくサーバーオブジェクトの配列を使用。

~/.config/zed/settings.json
{
  "context_servers": {
    "archestra-mcp": {
      "command": {
        "path": "npx",
        "args": [
          "-y",
          "archestra"
        ]
      }
    }
  }
}

context_servers に追加。保存時に Zed がホットリロード。

claude mcp add archestra-mcp -- npx -y archestra

ワンライナー。claude mcp list で確認、claude mcp remove で削除。

ユースケース

実用的な使い方: Archestra

生のAPIキーを全開発者に配布せずに組織全体にMCPを展開する

👤 プラットフォーム / IT / セキュリティチーム ⏱ ~90 min advanced

使うタイミング: 開発者はMCPを望んでいるが、200個のPATをラップトップに浮かせておくことはできない場合。

前提条件
  • ホスト(VMまたはk8s)とSSOプロバイダー(Okta/Entra/Google) — 標準インフラ — ArchestraはPostgres + Redisを内包しています
フロー
  1. ゲートウェイをデプロイする
    Walk me through deploying Archestra via Docker Compose. Bind to https://mcp.example.com and configure Okta OIDC.✓ コピーしました
    → Composeファイルが書き込まれ;ゲートウェイがURLでログインリダイレクトを返す
  2. サーバーを追加する
    Add github, postgres, and slack MCPs to the registry. Store creds in Archestra vault, not env vars.✓ コピーしました
    → 3つのサーバーが一覧表示;サーバーごとの認証情報が暗号化保存
  3. ユーザーをプロビジョニングする
    Give engineering group access to github (read-only) and postgres (read-only). No slack.✓ コピーしました
    → アクセスポリシーが適用;開発者のclaudeの設定からのスモークテストが成功

結果: 組織全体が1つのMCP URLに接続;各ロールが呼び出せるツールを制御できる。

注意点
  • SSOトークンの有効期限切れがアクティブなClaudeセッションを終了させる — OIDCでリフレッシュトークンモードを設定してください;Archestraが透過的にローテーションします

クライアント設定ではなくゲートウェイで危険なツールをブロックする

👤 セキュリティ/コンプライアンスチーム ⏱ ~30 min intermediate

使うタイミング: 一部のMCPには絶対に公開したくない破壊的なツール(リポジトリ削除・テーブルドロップ)が含まれている場合。

フロー
  1. ツールをインベントリする
    List every tool exposed across registered MCPs.✓ コピーしました
    → 数百エントリのフラットなツールリスト
  2. ポリシーを定義する
    Block: github.delete_repo, postgres.execute_ddl, slack.delete_message. Allow everything else.✓ コピーしました
    → ポリシーが作成され;影響を受けるツールがブロック済みとしてマーク
  3. 確認する
    Have a Claude session try github.delete_repo. Should fail at the gateway with a clear message.✓ コピーしました
    → 呼び出しが拒否;監査ログエントリ

結果: 「これらのツールは境界で呼び出し不可能」とCISOに見せられるポリシー。

注意点
  • MCPサーバーがアップグレードで新しいツールを追加する — Archestraはレジストリの更新時に「新しいツールが検出されました」を表示します — 許可する前にレビューしてください

すべてのMCP呼び出しのユーザーごとの監査証跡を取得する

👤 運用・監査・インシデント後の調査 ⏱ ~15 min intermediate

使うタイミング: 本番環境で奇妙なことが起き、どのエージェントがどのツールを実行したかを把握する必要がある場合。

フロー
  1. ウィンドウを見つける
    Pull all calls between 14:00 and 15:30 today. Group by user.✓ コピーしました
    → ユーザーごとのテーブル;各ツール + 引数 + 結果プレビュー
  2. 異常を掘り下げる
    Anything that looks unusual — delete operations, off-hour activity?✓ コピーしました
    → 不審なエントリがハイライト
  3. エクスポートする
    Export the slice as CSV for compliance.✓ コピーしました
    → CSVが書き込まれる

結果: 独自に再発明することなく、説明責任のある監査証跡。

注意点
  • デフォルトの保持期間は30日 — 設定で保持期間を延長するか、SIEMにストリームしてください
組み合わせ: filesystem

組み合わせ

他のMCPと組み合わせて10倍の力を

archestra-mcp + filesystem

コンプライアンスアーカイブ用に監査スライスをエクスポートする

Export this week's audit log to /audit/$(date +%V).csv.✓ コピーしました
archestra-mcp + github

インフラ設定を追跡する(Archestraコードアズコンフィグ)

Diff my live policy with /repo/archestra/policy.yaml and open a PR if drifted.✓ コピーしました

ツール

このMCPが提供する機能

ツール入力呼び出すタイミングコスト
list_servers (none) 利用可能なものを確認する free
list_tools server? すべてのサーバーにわたるツールを表示する free
audit_query from, to, user?, server?, tool? フォレンジック / コンプライアンス 1 DB query
policy_set scope, allow[], deny[] ロール / ツールごとのポリシーを調整する free

コストと制限

運用コスト

APIクォータ
セルフホスト;インフラに依存
呼び出しあたりのトークン
呼び出しごとにわずかなオーバーヘッドを追加
金額
無料OSS;商用サポートあり
ヒント
監査保持期間を限定し(30〜90日)、古いものはS3にストリームして安価な長期ストレージに

セキュリティ

権限、シークレット、影響範囲

最小スコープ: 設定にはAdmin エンドユーザーはSSOスコープのみ使用
認証情報の保管: Archestra Vault(保存時暗号化);ユーザークライアントの生envには保存しない
データ送信先: インフラ内に留まる;送信先は登録したMCPサーバーのみ
絶対に付与しない: 一般開発者へのAdmin

トラブルシューティング

よくあるエラーと対処法

OIDCリダイレクトループ

redirect_uriに末尾スラッシュが含まれていることを確認してください;一部のIdPは厳格です

確認: idpinitiated SSOでテスト — 成功すればredirect URIが問題
予期せずツールがブロックされる

ポリシーの優先順位を確認 — denyルールはallowより優先されます

確認: `policy_test`でロール + ツールを使って解決された判断を確認
サーバーに到達できない

登録されたMCPのstdio/httpトランスポートを確認 — Archestraが根本的なエラーをログします

確認: 同じ認証情報でMCPをスタンドアロンで実行

代替案

Archestra 他との比較

代替案代わりに使う場面トレードオフ
MCPJungleエンタープライズの付加機能なしで「全サーバーを1エンドポイントの背後に」という軽量版が欲しい場合MCPJungleはシンプル;Archestraはポリシー + 監査 + SSOを追加
samanhappy/mcphub優れたUIを持つセルフホストOSSハブで十分な場合MCPHubは開発者寄り;Archestraはエンタープライズガバナンスをターゲット

その他

リソース

📖 GitHub の公式 README を読む

🐙 オープンな issue を見る

🔍 400以上のMCPサーバーとSkillsを見る