Passthrough de autenticación
Reenvía las propias credenciales de tu agente directamente al servidor MCP upstream para que ShieldAgent nunca almacene ni gestione un secreto compartido.
¿Qué es el passthrough de autenticación?
Por defecto, ShieldAgent gestiona las credenciales de forma centralizada (modos Ninguno, Cabecera estática u OAuth gestionado). El passthrough de autenticación es una alternativa: el agente envía su propia cabecera Authorization y el proxy la reenvía tal cual al servidor upstream. ShieldAgent sigue inspeccionando y registrando cada llamada — simplemente no inyecta sus propias credenciales.
Cuándo usarlo
Tokens por agente
El servidor upstream emite tokens por agente y quieres que cada uno se autentique de forma independiente.
JWTs de corta duración
El agente ya gestiona la renovación del token; no quieres que ShieldAgent guarde una copia.
Arquitecturas zero-trust
Tu política requiere que ningún intermediario almacene secretos compartidos.
Activar el passthrough de autenticación
- 1.Ve a
Servidores MCP → [tu servidor] → Autenticaciónen el panel. - 2.Establece el modo de autenticación en
Passthrough de autenticación. - 3.Guarda. El proxy reenviará la cabecera
Authorizationque envíe el agente. - 4.Configura tu agente para incluir su propio token en las peticiones al endpoint del proxy.
Visibilidad preservada
El passthrough de autenticación no reduce el alcance de inspección de ShieldAgent. Cada llamada a herramientas sigue siendo analizada en busca de inyecciones de prompt, hallazgos de DLP y violaciones de política. El passthrough solo afecta a la gestión de credenciales, no a la aplicación de políticas.