Okta MCP Server

镜像概述和主要用途

Okta MCP Server 是一个通过模型上下文协议（MCP）提供安全的Okta身份和访问管理的Docker镜像。它允许AI助手以企业级安全性访问Okta的用户、组、应用、日志和策略，支持进行用户登录风险分析、应用访问评估、资源查询等操作，适用于身份管理审计、安全分析和自动化运维场景。

核心功能和特性

镜像特性

可用工具（20个）

工具详情

工具：analyze_login_risk

对用户进行全面的登录风险分析。

特殊工具：收集最近10次登录事件（policy.evaluate_sign_on），包括位置模式、设备指纹、用户代理、ISP、网络区域和行为指标。返回供大语言模型（LLM）进行风险评估的原始数据，不做风险决策。

LLM必须分析返回的数据，并基于登录模式、位置一致性、设备熟悉度和行为异常提供清晰的风险评估及推理，同时保护个人身份信息（PII）。

参数

返回全面的登录行为数据，包括：

• 用户详情：状态、个人资料信息
• 登录事件：最近10次policy.evaluate_sign_on事件及完整上下文
• 位置模式：每次登录事件的地理信息
• 网络数据：ISP、代理检测、网络组织详情
• 设备指纹：唯一设备标识符和一致性分析
• 行为分析：Okta的风险评分和异常检测
• 基线模式：用户的典型行为模式以供比较

工具仅收集原始数据，风险决策必须通过分析以下内容得出：

1. 关键：网络数据中的***/Tor/代理使用（立即判定为高风险）
2. 关键：threat_suspected字段（若为true，立即判定为高风险）
3. 地理不可能（短时间内多个遥远位置）
4. 事件间的位置一致性
5. 网络/ISP一致性模式
6. 设备指纹熟悉度
7. 用户代理（操作系统/浏览器）稳定性
8. Okta的行为风险评分和标志
9. 身份验证时间和结果模式

示例

analyze_login_risk(user_identifier="***")
analyze_login_risk(user_identifier="john.smith")
analyze_login_risk(user_identifier="00u1abc2def3ghi4jk5")

工具：analyze_user_app_access

对用户和应用进行全面的访问分析。

特殊工具：收集所有与访问相关的数据，包括用户详情、分配、应用信息、策略规则、MFA因素和网络区域。返回供LLM分析的原始数据，不做访问决策。

LLM必须分析返回的数据，并基于用户状态、应用分配和策略规则评估提供清晰的访问判定及具体推理。

参数

注意：必须提供user_identifier或group_identifier中的一个。

返回全面的分析数据，包括：

• 用户详情（若指定用户）：状态、个人资料、MFA因素
• 组详情（若指定组）：名称、描述、类型
• 应用详情：状态、登录模式、访问策略
• 分配状态：直接或基于组的分配
• 策略规则：访问条件、网络区域、MFA要求及详细的区域/用户/组信息
• 网络区域：IP范围、网关详情（用于策略评估）

工具仅收集原始数据，访问决策必须通过分析以下内容得出：

1. 用户/组必须为ACTIVE状态
2. 用户/组必须分配给应用（直接或通过组）
3. 所有策略规则必须满足（网络区域、MFA等）

示例

analyze_user_app_access(app_identifier="Salesforce", user_identifier="***")
analyze_user_app_access(app_identifier="Office 365", group_identifier="Sales Team")
analyze_user_app_access(app_identifier="0oa1bc2def3ghi4jk5l6", user_identifier="00u1abc2def3ghi4jk5")

工具：get_current_time

获取UTC当前日期和时间，格式适用于Okta API。

返回UTC时间戳，格式为ISO 8601（带微秒和Z后缀），适用于Okta API日期参数和过滤。

时间偏移（Buffer Hours）

使用buffer_hours获取过去（负值）或未来（正值）的时间：

• buffer_hours=0：当前时间
• buffer_hours=-24：24小时前
• buffer_hours=-168：1周前（7×24小时）
• buffer_hours=24：24小时后

输出格式

返回格式：YYYY-MM-DDTHH:MM:SS.ffffffZ
示例：2024-06-23T14:30:15.***Z

使用场景

• 日志事件过滤：since="2024-06-22T00:00:00.000Z"
• 用户创建过滤：lastUpdated gt "timestamp"
• 应用审计查询（时间范围）
• 策略规则基于时间的条件

完美适用于构建需要精确时间戳的Okta API查询。

参数

工具：get_okta_application

获取特定Okta应用的详细信息。

返回全面的应用详情，包括：

• 基本信息：名称、标签、状态、描述
• 登录配置：模式、凭据、身份验证设置
• 用户分配设置和策略
• 组分配配置
• 应用特定设置和功能
• 预配配置（如适用）
• 应用URL和端点
• 自定义属性和个人资料映射

应用状态值

• ACTIVE - 应用处于活动状态，对用户可用
• INACTIVE - 应用已禁用，不可用

登录模式

• SAML_2_0 - SAML 2.0联合
• OPENID_CONNECT - OpenID Connect/OAuth 2.0
• SECURE_PASSWORD_STORE - 基于密码的安全存储
• AUTO_LOGIN - 使用存储的凭据自动登录
• BOOKMARK - 简单书签/链接应用
• BASIC_AUTH - HTTP基本身份验证
• BROWSER_PLUGIN - 需要浏览器插件
• WS_FEDERATION - WS-Federation协议

用于获取完整的应用配置详情，以进行故障排除、审计或配置审查。

参数

工具：get_okta_event_logs

获取Okta系统日志事件，支持全面过滤和完整分页以实现完整审计跟踪。

返回Okta系统日志中的详细日志事件，包括身份验证、用户管理、应用访问、策略更改和管理操作，以及完整的审计信息。

时间参数

• since - 开始时间（ISO 8601格式）："2024-06-01T00:00:00.000Z"
• until - 结束时间（ISO 8601格式）："2024-06-23T23:59:59.999Z"
• 使用日期时间工具生成正确的时间戳：parse_relative_time("24 hours ago")

过滤参数

使用Okta表达式语言进行精确事件过滤：

• eventType eq "user.authentication.auth" - 身份验证事件
• eventType eq "user.lifecycle.create" - 用户创建事件
• eventType eq "user.lifecycle.activate" - 用户激活事件
• eventType eq "user.lifecycle.suspend" - 用户暂停事件
• eventType eq "application.lifecycle.create" - 应用创建事件
• outcome.result eq "SUCCESS" - 仅成功事件
• outcome.result eq "FAILURE" - 仅失败事件
• actor.id eq "user_id" - 特定用户的事件
• target.id eq "target_id" - 针对特定资源的事件

常见事件类型

• user.authentication.auth - 用户登录尝试
• user.authentication.sso - SSO身份验证
• user.session.start - 会话启动
• user.session.end - 会话终止
• user.lifecycle.create - 用户创建
• user.lifecycle.activate - 用户激活
• user.lifecycle.suspend - 用户暂停
• user.lifecycle.unsuspend - 用户重新激活
• user.lifecycle.deactivate - 用户停用
• application.user_membership.add - 应用分配
• application.user_membership.remove - 应用移除
• group.user_membership.add - 组成员添加
• group.user_membership.remove - 组成员移除
• policy.lifecycle.create - 策略创建
• policy.lifecycle.update - 策略修改

搜索参数

事件数据的自由文本搜索：

• 搜索用户名、电子邮件地址、应用名称
• 搜索IP地址、客户端信息
• 搜索错误消息或事件中的特定文本

排序顺序

• DESCENDING - 最新事件优先（默认）
• ASCENDING - 最早事件优先

示例过滤条件

• 身份验证失败：'eventType eq "user.authentication.auth" and outcome.result eq "FAILURE"'
• 用户生命周期变更：'eventType sw "user.lifecycle"'
• 应用事件：'eventType sw "application"'
• 管理员操作：'actor.type eq "User" and eventType sw "policy"'
• 特定用户活动：'actor.alternateId eq "***"'

此工具使用完整分页返回完整的审计跟踪，适用于合规性、安全分析和取证调查。

用于安全监控、合规审计、身份验证问题排查和全面日志分析。

参数

工具：get_okta_group

获取特定Okta组的详细信息。

返回全面的组信息，包括：

• 组个人资料（名称、描述、自定义属性）
• 组类型和分类
• 成员统计信息
• 创建和修改时间戳
• 组设置和配置

组信息包括

• 基本详情（ID、名称、描述）
• 组类型（OKTA_GROUP、BUILT_IN、APP_GROUP）
• 个人资料属性和自定义字段
• 管理元数据
• 对象类和架构信息

组类型

• OKTA_GROUP - 标准组织组
• BUILT_IN - 系统内置组（如"Everyone"）
• APP_GROUP - 应用特定组

常见用例

• 验证组配置
• 审计组设置和元数据
• 获取组成员操作的组详情
• 合规性和访问审查
• 排查组相关问题

参数

工具：get_okta_policy_rule

获取特定Okta策略规则的详细信息。

返回全面的规则配置，包括：

• 身份验证方法和要求
• 网络区域约束和IP限制
• 用户和组目标条件
• 设备和平台要求
• 会话管理行为
• 风险评估标准

规则详情包括

• 规则标识（ID、名称、描述）
• 激活状态和优先级
• 条件表达式和逻辑
• 操作规范和行为
• 管理元数据

身份验证规则信息

• 所需的MFA因素和方法
• 因素排序和备用方案
• 注册要求
• 验证策略

网络区域约束

• 允许/阻止的IP范围
• 地理限制
• 代理和***处理
• 动态区域评估

访问控制操作

• 允许/拒绝决策
• 逐步身份验证触发
• 会话持续时间和管理
• 重定向行为

风险和上下文因素

• 设备信任要求
• 基于位置的规则
• 行为分析集成
• 威胁情报输入

常见用例

• 详细规则配置审查
• 安全策略故障排除
• 合规审计要求
• 规则修改规划
• 访问控制验证

参数

工具：get_okta_user

获取特定Okta用户的详细信息。

参数

工具：list_okta_application_groups

列出分配给特定Okta应用的所有组，支持完整分页。

返回分配给应用的所有组的完整列表，包括：

• 组信息（ID、名称、描述、类型）
• 分配详情和配置
• 组分配范围和权限
• 应用特定的组属性
• 分配时间戳