/ Diretório / Playground / Archestra
← Todos os servidores ↗ GitHub
● Comunidade archestra-ai ⚡ Instantâneo

Archestra

por archestra-ai · archestra-ai/archestra

Execute dezenas de servidores MCP por trás de um gateway corporativo — registro, autenticação, guardrails, log de auditoria e tudo mais.

O Archestra é um plano de controle MCP de nível empresarial: um registro privado de servidores aprovados, um gateway que os expõe com uma única URL e autenticação, um orquestrador que roteia chamadas e aplica guardrails, e um log de auditoria. Feito para equipes de TI e segurança que querem habilitar o MCP em toda a organização sem que cada engenheiro configure seus próprios servidores e credenciais. Auto-hospedável, com controle de acesso por papel e políticas por ferramenta.

▶ Ver demo 📦 Instalar 💡 Casos de uso

Por que usar

Principais recursos

Demo ao vivo

Como fica na prática

archestra-mcp.replay ▶ pronto
0/0

Instalar

Escolha seu cliente

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Abra Claude Desktop → Settings → Developer → Edit Config. Reinicie após salvar.

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Cursor usa o mesmo esquema mcpServers que o Claude Desktop. Config de projeto vence a global.

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Clique no ícone MCP Servers na barra lateral do Cline, depois "Edit Configuration".

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Mesmo formato do Claude Desktop. Reinicie o Windsurf para aplicar.

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "archestra-mcp",
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  ]
}

O Continue usa um array de objetos de servidor em vez de um map.

~/.config/zed/settings.json
{
  "context_servers": {
    "archestra-mcp": {
      "command": {
        "path": "npx",
        "args": [
          "-y",
          "archestra"
        ]
      }
    }
  }
}

Adicione em context_servers. Zed recarrega automaticamente ao salvar.

claude mcp add archestra-mcp -- npx -y archestra

Uma linha só. Verifique com claude mcp list. Remova com claude mcp remove.

Casos de uso

Usos do mundo real: Archestra

Implantar o MCP em uma organização sem distribuir API keys brutas para cada desenvolvedor

👤 Equipes de plataforma, TI e segurança ⏱ ~90 min advanced

Quando usar: Seus devs querem usar MCP, mas você não pode ter 200 PATs circulando em laptops.

Pré-requisitos
  • Um host (VM ou k8s) e um provedor SSO (Okta/Entra/Google) — Infraestrutura padrão — o Archestra traz seu próprio postgres e redis
Fluxo
  1. Implantar o gateway
    Me guie na implantação do Archestra via Docker Compose. Vincule a https://mcp.example.com e configure o OIDC do Okta.✓ Copiado
    → Arquivo Compose escrito; gateway responde na URL com redirect de login
  2. Adicionar servidores
    Adicione os MCPs de github, postgres e slack ao registro. Armazene as credenciais no vault do Archestra, não em variáveis de ambiente.✓ Copiado
    → Três servidores listados; credenciais por servidor armazenadas criptografadas
  3. Provisionar usuário
    Dê ao grupo de engenharia acesso ao github (somente leitura) e ao postgres (somente leitura). Sem slack.✓ Copiado
    → Política de acesso aplicada; teste funcional a partir da configuração do Claude de um dev funciona

Resultado: Toda a organização fala com uma única URL de MCP; você controla quais ferramentas cada papel pode chamar.

Armadilhas
  • Expiração do token SSO interrompe sessões ativas do Claude — Configure o modo refresh-token no OIDC; o Archestra rotacionará transparentemente

Bloquear ferramentas perigosas no gateway, não na configuração do cliente

👤 Equipes de segurança e conformidade ⏱ ~30 min intermediate

Quando usar: Alguns MCPs expõem ferramentas destrutivas (deletar repositório, dropar tabela) que você simplesmente nunca quer disponíveis.

Fluxo
  1. Inventariar ferramentas
    Liste todas as ferramentas expostas pelos MCPs registrados.✓ Copiado
    → Lista plana de ferramentas, com centenas de entradas
  2. Definir política
    Bloqueie: github.delete_repo, postgres.execute_ddl, slack.delete_message. Permita todo o resto.✓ Copiado
    → Política criada; ferramentas afetadas marcadas como bloqueadas
  3. Verificar
    Faça uma sessão do Claude tentar github.delete_repo. Deve falhar no gateway com uma mensagem clara.✓ Copiado
    → Chamada rejeitada; entrada no log de auditoria

Resultado: Uma política que você pode mostrar ao seu CISO dizendo 'essas ferramentas não podem ser invocadas no perímetro'.

Armadilhas
  • Um servidor MCP adiciona uma nova ferramenta em uma atualização — O Archestra exibe 'nova ferramenta detectada' na atualização do registro — revise antes de permitir

Obter um rastro de auditoria por usuário de cada chamada MCP

👤 Operações, auditoria, pós-incidente ⏱ ~15 min intermediate

Quando usar: Algo estranho aconteceu em produção e você precisa saber qual agente executou qual ferramenta.

Fluxo
  1. Localizar a janela de tempo
    Extraia todas as chamadas entre 14h e 15h30 de hoje. Agrupe por usuário.✓ Copiado
    → Tabela por usuário; cada ferramenta, argumento e prévia do resultado
  2. Investigar anomalias
    Algo que pareça incomum — operações de deleção, atividade fora de horário?✓ Copiado
    → Entradas suspeitas em destaque
  3. Exportar
    Exporte o recorte como CSV para conformidade.✓ Copiado
    → CSV escrito

Resultado: Um rastro de auditoria defensável sem ter que reinventar um do zero.

Armadilhas
  • Retenção padrão é de 30 dias — Aumente a retenção via configuração ou transmita para o seu SIEM
Combine com: filesystem

Combinações

Combine com outros MCPs para 10× de alavancagem

archestra-mcp + filesystem

Exportar recortes de auditoria para arquivos de conformidade

Exporte o log de auditoria desta semana para /audit/$(date +%V).csv.✓ Copiado
archestra-mcp + github

Rastrear a configuração de infraestrutura (Archestra como código)

Compare minha política vigente com /repo/archestra/policy.yaml e abra um PR se houver desvio.✓ Copiado

Ferramentas

O que este MCP expõe

FerramentaEntradasQuando chamarCusto
list_servers (nenhum) Descobrir o que está disponível gratuito
list_tools server? Listar ferramentas de todos os servidores gratuito
audit_query from, to, user?, server?, tool? Forense ou conformidade 1 query no banco de dados
policy_set scope, allow[], deny[] Ajustar políticas por papel ou por ferramenta gratuito

Custo e limites

O que custa rodar

Cota de API
Auto-hospedado; limitado pela sua infraestrutura
Tokens por chamada
Adiciona pequeno overhead por chamada
Monetário
Gratuito (OSS); suporte comercial disponível
Dica
Mantenha a retenção de auditoria limitada (30 a 90 dias) e envie o restante para S3 para armazenamento barato de longo prazo

Segurança

Permissões, segredos, alcance

Escopos mínimos: Admin para configurar Usuários finais usam apenas escopos SSO
Armazenamento de credenciais: Archestra Vault (criptografado em repouso); nunca variável de ambiente bruta em clientes de usuário
Saída de dados: Fica na sua infraestrutura; saída apenas para os servidores MCP que você registrou
Nunca conceda: Admin para desenvolvedores comuns

Solução de problemas

Erros comuns e correções

Loop de redirect OIDC

Confirme que o redirect_uri inclui a barra final; alguns provedores de identidade são rígidos quanto a isso

Verificar: Teste com SSO iniciado pelo IdP — se funcionar, o problema é o redirect URI
Ferramenta bloqueada inesperadamente

Verifique a precedência de políticas — regras de negação vencem sobre as de permissão

Verificar: Use `policy_test` com o papel e a ferramenta para ver a decisão resolvida
Servidor inacessível

Verifique o transporte stdio/http do MCP registrado — o Archestra registra o erro subjacente

Verificar: Execute o MCP de forma isolada com as mesmas credenciais

Alternativas

Archestra vs. outros

AlternativaQuando usarTroca
MCPJungleVocê quer um agregador 'todos os servidores em um endpoint' mais leve, sem os recursos corporativosO MCPJungle é mais simples; o Archestra adiciona políticas, auditoria e SSO
samanhappy/mcphubUm hub OSS auto-hospedado com boa UI é suficienteO MCPHub é mais voltado para desenvolvedores; o Archestra tem foco em governança corporativa

Mais

Recursos

📖 Leia o README oficial no GitHub

🐙 Ver issues abertas

🔍 Ver todos os 400+ servidores MCP e Skills