mcp/okta-mcp-fctr
通过模型上下文协议(MCP)提供安全的Okta身份和访问管理,支持通过AI助手以企业级安全性访问Okta用户、组、应用、日志和策略。
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Okta MCP Server
镜像概述和主要用途
Okta MCP Server 是一个通过模型上下文协议(MCP)提供安全的Okta身份和访问管理的Docker镜像。它允许AI助手以企业级安全性访问Okta的用户、组、应用、日志和策略,支持进行用户登录风险分析、应用访问评估、资源查询等操作,适用于身份管理审计、安全分析和自动化运维场景。
核心功能和特性
镜像特性
| 属性 | 详情 |
|---|---|
| Docker镜像 | https://hub.docker.com/repository/docker/mcp/okta-mcp-fctr |
| 作者 | https://github.com/fctr-id |
| 仓库 | https://github.com/fctr-id/okta-mcp-server |
| Dockerfile | https://github.com/fctr-id/okta-mcp-server/blob/main/Dockerfile |
| 构建者 | Docker Inc. |
| Docker Scout健康评分 | !Docker Scout Health Score |
| 验证签名 | COSIGN_REPOSITORY=mcp/signatures cosign verify mcp/okta-mcp-fctr --key https://raw.githubusercontent.com/docker/keyring/refs/heads/main/public/mcp/latest.pub |
| 许可证 | Apache License 2.0 |
可用工具(20个)
| 工具名称 | 简短描述 |
|---|---|
analyze_login_risk | 对用户进行全面的登录风险分析。 |
analyze_user_app_access | 对用户和应用进行全面的访问分析。 |
get_current_time | 获取UTC当前日期和时间,格式适用于Okta API。 |
get_okta_application | 获取特定Okta应用的详细信息。 |
get_okta_event_logs | 获取Okta系统日志事件,支持全面过滤和完整分页以实现完整审计跟踪。 |
get_okta_group | 获取特定Okta组的详细信息。 |
get_okta_policy_rule | 获取特定Okta策略规则的详细信息。 |
get_okta_user | 获取特定Okta用户的详细信息。 |
list_okta_application_groups | 列出分配给特定Okta应用的所有组,支持完整分页。 |
list_okta_application_users | 列出分配给特定Okta应用的所有用户,支持完整分页。 |
list_okta_applications | 列出Okta组织中的所有应用,支持分页和过滤。 |
list_okta_group_users | 列出特定Okta组中的所有用户,支持完整分页以获取完整结果。 |
list_okta_groups | 列出Okta组,支持过滤,默认限制为50个组以提高上下文效率。 |
list_okta_network_zones | 列出Okta组织中定义的所有网络区域。 |
list_okta_policy_rules | 列出特定Okta策略的所有规则。 |
list_okta_user_applications | 列出特定Okta用户分配的所有应用链接。 |
list_okta_user_factors | 列出特定Okta用户注册的所有身份验证因素。 |
list_okta_user_groups | 列出特定Okta用户所属的所有组。 |
list_okta_users | 列出Okta用户,支持过滤,默认返回前50个用户(因LLM上下文限制)。 |
parse_relative_time | 将自然语言时间表达式解析为Okta API兼容的时间戳。 |
工具详情
工具:analyze_login_risk
对用户进行全面的登录风险分析。
特殊工具:收集最近10次登录事件(policy.evaluate_sign_on),包括位置模式、设备指纹、用户代理、ISP、网络区域和行为指标。返回供大语言模型(LLM)进行风险评估的原始数据,不做风险决策。
LLM必须分析返回的数据,并基于登录模式、位置一致性、设备熟悉度和行为异常提供清晰的风险评估及推理,同时保护个人身份信息(PII)。
参数
| 参数 | 类型 | 描述 |
|---|---|---|
user_identifier | string | 用户***、登录名或Okta ID(必填) |
返回全面的登录行为数据,包括:
- 用户详情:状态、个人资料信息
- 登录事件:最近10次policy.evaluate_sign_on事件及完整上下文
- 位置模式:每次登录事件的地理信息
- 网络数据:ISP、代理检测、网络组织详情
- 设备指纹:唯一设备标识符和一致性分析
- 行为分析:Okta的风险评分和异常检测
- 基线模式:用户的典型行为模式以供比较
工具仅收集原始数据,风险决策必须通过分析以下内容得出:
- 关键:网络数据中的***/Tor/代理使用(立即判定为高风险)
- 关键:threat_suspected字段(若为true,立即判定为高风险)
- 地理不可能(短时间内多个遥远位置)
- 事件间的位置一致性
- 网络/ISP一致性模式
- 设备指纹熟悉度
- 用户代理(操作系统/浏览器)稳定性
- Okta的行为风险评分和标志
- 身份验证时间和结果模式
示例
analyze_login_risk(user_identifier="john@company.com") analyze_login_risk(user_identifier="john.smith") analyze_login_risk(user_identifier="00u1abc2def3ghi4jk5")
工具:analyze_user_app_access
对用户和应用进行全面的访问分析。
特殊工具:收集所有与访问相关的数据,包括用户详情、分配、应用信息、策略规则、MFA因素和网络区域。返回供LLM分析的原始数据,不做访问决策。
LLM必须分析返回的数据,并基于用户状态、应用分配和策略规则评估提供清晰的访问判定及具体推理。
参数
| 参数 | 类型 | 描述 |
|---|---|---|
app_identifier | string | 应用名称、标签或Okta ID(必填) |
group_identifier | string 可选 | 组名称或Okta ID(若提供用户标识符则可选) |
user_identifier | string 可选 | 用户***、登录名或ID(若提供组标识符则可选) |
注意:必须提供user_identifier或group_identifier中的一个。
返回全面的分析数据,包括:
- 用户详情(若指定用户):状态、个人资料、MFA因素
- 组详情(若指定组):名称、描述、类型
- 应用详情:状态、登录模式、访问策略
- 分配状态:直接或基于组的分配
- 策略规则:访问条件、网络区域、MFA要求及详细的区域/用户/组信息
- 网络区域:IP范围、网关详情(用于策略评估)
工具仅收集原始数据,访问决策必须通过分析以下内容得出:
- 用户/组必须为ACTIVE状态
- 用户/组必须分配给应用(直接或通过组)
- 所有策略规则必须满足(网络区域、MFA等)
示例
analyze_user_app_access(app_identifier="Salesforce", user_identifier="john@company.com") analyze_user_app_access(app_identifier="Office 365", group_identifier="Sales Team") analyze_user_app_access(app_identifier="0oa1bc2def3ghi4jk5l6", user_identifier="00u1abc2def3ghi4jk5")
工具:get_current_time
获取UTC当前日期和时间,格式适用于Okta API。
返回UTC时间戳,格式为ISO 8601(带微秒和Z后缀),适用于Okta API日期参数和过滤。
时间偏移(Buffer Hours)
使用buffer_hours获取过去(负值)或未来(正值)的时间:
- buffer_hours=0:当前时间
- buffer_hours=-24:24小时前
- buffer_hours=-168:1周前(7×24小时)
- buffer_hours=24:24小时后
输出格式
返回格式:YYYY-MM-DDTHH:MM:SS.ffffffZ
示例:2024-06-23T14:30:15.***Z
使用场景
- 日志事件过滤:since="2024-06-22T00:00:00.000Z"
- 用户创建过滤:lastUpdated gt "timestamp"
- 应用审计查询(时间范围)
- 策略规则基于时间的条件
完美适用于构建需要精确时间戳的Okta API查询。
参数
| 参数 | 类型 | 描述 |
|---|---|---|
buffer_hours | integer 可选 | 要添加/减去当前时间的小时数 |
工具:get_okta_application
获取特定Okta应用的详细信息。
返回全面的应用详情,包括:
- 基本信息:名称、标签、状态、描述
- 登录配置:模式、凭据、身份验证设置
- 用户分配设置和策略
- 组分配配置
- 应用特定设置和功能
- 预配配置(如适用)
- 应用URL和端点
- 自定义属性和个人资料映射
应用状态值
- ACTIVE - 应用处于活动状态,对用户可用
- INACTIVE - 应用已禁用,不可用
登录模式
- SAML_2_0 - SAML 2.0联合
- OPENID_CONNECT - OpenID Connect/OAuth 2.0
- SECURE_PASSWORD_STORE - 基于密码的安全存储
- AUTO_LOGIN - 使用存储的凭据自动登录
- BOOKMARK - 简单书签/链接应用
- BASIC_AUTH - HTTP基本身份验证
- BROWSER_PLUGIN - 需要浏览器插件
- WS_FEDERATION - WS-Federation协议
用于获取完整的应用配置详情,以进行故障排除、审计或配置审查。
参数
| 参数 | 类型 | 描述 |
|---|---|---|
app_id | string | 要检索的应用ID |
工具:get_okta_event_logs
获取Okta系统日志事件,支持全面过滤和完整分页以实现完整审计跟踪。
返回Okta系统日志中的详细日志事件,包括身份验证、用户管理、应用访问、策略更改和管理操作,以及完整的审计信息。
时间参数
- since - 开始时间(ISO 8601格式):"2024-06-01T00:00:00.000Z"
- until - 结束时间(ISO 8601格式):"2024-06-23T23:59:59.999Z"
- 使用日期时间工具生成正确的时间戳:parse_relative_time("24 hours ago")
过滤参数
使用Okta表达式语言进行精确事件过滤:
- eventType eq "user.authentication.auth" - 身份验证事件
- eventType eq "user.lifecycle.create" - 用户创建事件
- eventType eq "user.lifecycle.activate" - 用户激活事件
- eventType eq "user.lifecycle.suspend" - 用户暂停事件
- eventType eq "application.lifecycle.create" - 应用创建事件
- outcome.result eq "SUCCESS" - 仅成功事件
- outcome.result eq "FAILURE" - 仅失败事件
- actor.id eq "user_id" - 特定用户的事件
- target.id eq "target_id" - 针对特定资源的事件
常见事件类型
- user.authentication.auth - 用户登录尝试
- user.authentication.sso - SSO身份验证
- user.session.start - 会话启动
- user.session.end - 会话终止
- user.lifecycle.create - 用户创建
- user.lifecycle.activate - 用户激活
- user.lifecycle.suspend - 用户暂停
- user.lifecycle.unsuspend - 用户重新激活
- user.lifecycle.deactivate - 用户停用
- application.user_membership.add - 应用分配
- application.user_membership.remove - 应用移除
- group.user_membership.add - 组成员添加
- group.user_membership.remove - 组成员移除
- policy.lifecycle.create - 策略创建
- policy.lifecycle.update - 策略修改
搜索参数
事件数据的自由文本搜索:
- 搜索用户名、电子邮件地址、应用名称
- 搜索IP地址、客户端信息
- 搜索错误消息或事件中的特定文本
排序顺序
- DESCENDING - 最新事件优先(默认)
- ASCENDING - 最早事件优先
示例过滤条件
- 身份验证失败:'eventType eq "user.authentication.auth" and outcome.result eq "FAILURE"'
- 用户生命周期变更:'eventType sw "user.lifecycle"'
- 应用事件:'eventType sw "application"'
- 管理员操作:'actor.type eq "User" and eventType sw "policy"'
- 特定用户活动:'actor.alternateId eq "***"'
此工具使用完整分页返回完整的审计跟踪,适用于合规性、安全分析和取证调查。
用于安全监控、合规审计、身份验证问题排查和全面日志分析。
参数
| 参数 | 类型 | 描述 |
|---|---|---|
filter_string | string 可选 | 日志事件的过滤表达式 |
q | string 可选 | 日志事件的搜索词 |
since | string 可选 | 日志事件的开始时间(ISO 8601格式) |
sort_order | string 可选 | 结果顺序(ASCENDING或DESCENDING) |
until | string 可选 | 日志事件的结束时间(ISO 8601格式) |
工具:get_okta_group
获取特定Okta组的详细信息。
返回全面的组信息,包括:
- 组个人资料(名称、描述、自定义属性)
- 组类型和分类
- 成员统计信息
- 创建和修改时间戳
- 组设置和配置
组信息包括
- 基本详情(ID、名称、描述)
- 组类型(OKTA_GROUP、BUILT_IN、APP_GROUP)
- 个人资料属性和自定义字段
- 管理元数据
- 对象类和架构信息
组类型
- OKTA_GROUP - 标准组织组
- BUILT_IN - 系统内置组(如"Everyone")
- APP_GROUP - 应用特定组
常见用例
- 验证组配置
- 审计组设置和元数据
- 获取组成员操作的组详情
- 合规性和访问审查
- 排查组相关问题
参数
| 参数 | 类型 | 描述 |
|---|---|---|
group_id | string | 要检索的组ID |
工具:get_okta_policy_rule
获取特定Okta策略规则的详细信息。
返回全面的规则配置,包括:
- 身份验证方法和要求
- 网络区域约束和IP限制
- 用户和组目标条件
- 设备和平台要求
- 会话管理行为
- 风险评估标准
规则详情包括
- 规则标识(ID、名称、描述)
- 激活状态和优先级
- 条件表达式和逻辑
- 操作规范和行为
- 管理元数据
身份验证规则信息
- 所需的MFA因素和方法
- 因素排序和备用方案
- 注册要求
- 验证策略
网络区域约束
- 允许/阻止的IP范围
- 地理限制
- 代理和***处理
- 动态区域评估
访问控制操作
- 允许/拒绝决策
- 逐步身份验证触发
- 会话持续时间和管理
- 重定向行为
风险和上下文因素
- 设备信任要求
- 基于位置的规则
- 行为分析集成
- 威胁情报输入
常见用例
- 详细规则配置审查
- 安全策略故障排除
- 合规审计要求
- 规则修改规划
- 访问控制验证
参数
| 参数 | 类型 | 描述 |
|---|---|---|
policy_id | string | 包含规则的策略ID |
rule_id | string | 需要检索的特定规则ID |
工具:get_okta_user
获取特定Okta用户的详细信息。
参数
| 参数 | 类型 | 描述 |
|---|---|---|
user_id | string | 输入要检索详情的用户登录名 |
工具:list_okta_application_groups
列出分配给特定Okta应用的所有组,支持完整分页。
返回分配给应用的所有组的完整列表,包括:
- 组信息(ID、名称、描述、类型)
- 分配详情和配置
- 组分配范围和权限
- 应用特定的组属性
- 分配时间戳
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 okta-mcp-fctr 镜像标签
docker pull docker.xuanyuan.run/mcp/okta-mcp-fctr:<标签>
DockerHub 原生拉取命令
docker pull mcp/okta-mcp-fctr:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"