Le serveur MCP

---

Introduction #

Le serveur MCP (Model Context Protocol) de Kafinea permet aux clients IA externes (Claude Desktop, Cursor, Windsurf, VS Code, JetBrains…) de se connecter à l’instance ERP pour interroger les données via un protocole standardisé.

Cette page décrit l’architecture technique, la sécurité et la configuration du serveur MCP pour les administrateurs.

---

1. Architecture #

Le serveur MCP de Kafinea est composé de plusieurs briques :

---

2. Authentification #

L’authentification se fait via le header HTTP X-Kafinea-Credentials au format :

X-Kafinea-Credentials: username:accesskey

• Le username est le nom d’utilisateur Kafinea
• L’accesskey est la clé d’accès de l’utilisateur (visible dans Mes Préférences)

Le serveur valide les identifiants et établit le contexte utilisateur pour la requête.

---

3. Sécurité #

Droits d’accès #

Chaque requête MCP est exécutée dans le contexte de l’utilisateur authentifié. Les droits d’accès aux modules, enregistrements et champs sont respectés.

Contrôles de sécurité supplémentaires #

En plus des droits d’accès utilisateur, le serveur MCP applique des contrôles supplémentaires :

• Validation des paramètres d’entrée
• Filtrage des modules et champs sensibles
• Protection contre les injections

Recommandations #

• Déployez le serveur MCP uniquement sur des connexions HTTPS
• Ne publiez jamais les identifiants dans un dépôt public
• Surveillez les logs d’accès pour détecter les usages anormaux
• Utilisez des clés d’accès dédiées pour les intégrations MCP si possible

---

4. Outils exposés (Tools) #

Les outils exposés par le serveur MCP permettent aux clients IA de :

• Rechercher des enregistrements dans les modules Kafinea
• Lire le détail d’un enregistrement spécifique
• Naviguer les relations entre enregistrements
• Lister les modules et champs disponibles

Chaque outil respecte les droits d’accès de l’utilisateur connecté.

---

5. Ressources exposées (Resources) #

Les ressources exposent des données de contexte que le client IA peut consulter :

• Informations sur l’instance Kafinea
• Structure des modules disponibles
• Métadonnées des champs

---

6. Configuration #

La configuration du serveur MCP est gérée par l’administrateur serveur. Les paramètres incluent :

• Activation/désactivation du serveur
• Liste des modules exposés
• Limites de requêtes

Note : Contactez votre administrateur serveur si vous souhaitez modifier la liste des modules exposés ou les limites de requêtes.

---

7. Activation #

Le serveur MCP est activé via les feature flags de Kafinea. Pour l’activer :

1. Vérifiez que le feature flag MCP est activé dans la configuration
2. Assurez-vous que le endpoint mcp/index.php est accessible depuis l’extérieur (ou depuis le réseau des utilisateurs)
3. Informez les utilisateurs qu’ils peuvent récupérer leur configuration depuis Mes Préférences > Configuration MCP

---

8. Diagnostic #

En cas de problème de connexion :

1. Vérifiez que le endpoint MCP est accessible depuis le poste de l’utilisateur
2. Vérifiez les identifiants utilisateur (username + accesskey valides)
3. Vérifiez que le feature flag MCP est bien activé
4. Consultez l’Explorateur Agents IA pour identifier d’éventuelles erreurs

---

FAQ #

Le serveur MCP est-il compatible avec tous les clients IA ?
Le serveur implémente le protocole MCP standard (Streamable HTTP). Tout client compatible MCP peut s’y connecter.

Puis-je limiter les modules accessibles via MCP ?
Oui, via les droits d’accès des profils utilisateurs dans Kafinea. L’administrateur serveur peut également restreindre la liste des modules exposés au niveau de la configuration du serveur.

Les requêtes MCP sont-elles loguées ?
Oui, l’activité MCP peut être consultée depuis l’Explorateur Agents IA dans Kafinea.

---

Références associées #

• Connecter une IA externe (MCP)
• Les agents IA