cisco-secure-access-mcp

Ein Community-Model Context Protocol (MCP)-Server für Cisco Secure Access.

Er stellt die Secure Access REST-API für MCP-kompatible KI-Clients (Cursor, Claude Desktop, VS Code GitHub Copilot usw.) als kuratierten Katalog von Tools bereit, gruppiert nach Ciscos eigenen Ressourcenkategorien: Admin, Deployments, Investigate, Policies und Reports.

Status: v1 in Entwicklung. Siehe install.md für das Build-Journal und den Fortschritt pro Phase.

Warum ein Community DevNet-Server

Dieses Repository ist so strukturiert, dass es als Cisco DevNet Community-MCP-Server gehostet werden kann, gemäß dem CiscoDevNet/devnet-template Layout. Die Standard-Vorlagendateien (AGENTS.md, CODE_OF_CONDUCT.md, CONTRIBUTING.md, LICENSE, README.md, SECURITY.md) sind vorhanden und entsprechen dieser Vorlage.

Zusätzlich ist install.md ein Arbeitsprotokoll, das jeden Schritt erfasst, der zum Erstellen des Servers unternommen wurde, sowie Fehlerbehebungshinweise und alle Tools, die wir als Erweiterungen hinzufügen. Es wird absichtlich im Repository geführt, damit zukünftige Mitwirkende den Gedankengang nachvollziehen können.

Schnellstart

# 1. Clone and install (using uv)
git clone https://github.com/sdntechforum/Secure_Access.git
cd Secure_Access
uv sync

# 2. Provide your Cisco Secure Access API credentials via environment variables
#    (Admin > API Keys in the Secure Access dashboard)
export SECURE_ACCESS_API_KEY=...
export SECURE_ACCESS_API_SECRET=...

# 3. Run the server (stdio transport, default)
uv run cisco-secure-access-mcp

Für die Client-Konfiguration (Cursor / Claude Desktop / VS Code), Docker-Nutzung, die vollständige Liste der Tools und die Liste der unterstützten Umgebungsvariablen siehe AGENTS.md.

Authentifizierung auf einen Blick

OAuth 2.0 Client Credentials Flow gegen POST https://api.sse.cisco.com/auth/v2/token.
Bearer-Token wird im Arbeitsspeicher zwischengespeichert und kurz vor Ablauf der 1-stündigen Gültigkeit aktualisiert.
Anmeldeinformationen werden nur aus Umgebungsvariablen gelesen — niemals aus CLI-Flags oder committeten Dateien.
Multi-Org / MSSP unterstützt über SECURE_ACCESS_ORG_ID (gesendet als X-Umbrella-OrgId).
Ein separates, optionales Key-Admin-Anmeldeinformationspaar schützt die kleine Gruppe von Tools, die andere API-Schlüssel verwalten.

Siehe Cisco Secure Access — API Authentication für Informationen zur Erstellung von API-Schlüsseln.

Repository-Layout

.
├── AGENTS.md              # Install + tool catalog + env vars (read this first if you're an AI agent)
├── CODE_OF_CONDUCT.md     # Cisco DevNet template (unchanged)
├── CONTRIBUTING.md        # Cisco DevNet template (project name filled in)
├── LICENSE                # Apache-2.0 (Cisco DevNet template)
├── README.md              # this file
├── SECURITY.md            # Cisco DevNet template (project name filled in)
├── install.md             # Build journal — phases, troubleshooting, enhancements
├── pyproject.toml         # Package metadata + entry point
├── Dockerfile             # Optional secondary distribution
├── .env.example           # Documented env vars; NEVER real secrets
├── src/cisco_secure_access_mcp/
│   ├── server.py          # FastMCP entrypoint (stdio default)
│   ├── auth.py            # OAuth2 client-credentials + token cache
│   ├── client.py          # httpx-based REST client (TLS-only, retry-aware)
│   ├── config.py          # Env-var loading + validation
│   ├── errors.py          # SDK / HTTP errors → MCP errors
│   ├── logging.py         # Structured JSON logs with secret redaction
│   ├── registry.py        # Discovers and registers tools from each category
│   └── tools/
│       ├── admin/         # admin_*  — Admin Resources
│       ├── deployments/   # deploy_* — Deployments Resources
│       ├── investigate/   # investigate_* — Investigate Resources (v1.1)
│       ├── policies/      # policy_*  — Policies Resources
│       └── reports/       # report_*  — Reports Resources (v1.1)
└── tests/
    ├── unit/              # Offline; mock HTTP and clock
    └── integration/       # Opt-in; requires real DevNet sandbox credentials

Sicherheit

Dieses Repository folgt den Sicherheitsregeln in .cursor (Parametrisierung, keine hartcodierten Anmeldeinformationen, strukturiertes Logging mit Schwärzung, TLS 1.2+-Erzwingung, Distroless-Style Container-Härtung usw.). Um eine Sicherheitslücke zu melden, siehe SECURITY.md.