需要認證的 MCP server(如 Slack、Notion、Linear)採用 OAuth 2.0 流程把使用者帳號的存取權交給 Claude。

完整流程(8 步)

1. 使用者在 **Cowork** 點「連接 Slack」
2. Claude 開瀏覽器 → Slack OAuth URL
3. 使用者登入 Slack + 選工作區
4. Slack 顯示「允許 Claude 讀訊息?」
5. 使用者點「授權」
6. Slack 回傳 access_token 給 Cowork
7. Token 存於本地加密倉
   (macOS Keychain / Windows Credential Manager)
8. MCP Server 用 token 呼叫 Slack API

安全要點

項目 行為
Access Token 永遠不上傳 Anthropic 雲端
儲存位置 本機加密倉
Refresh Token 自動更新授權
撤銷 使用者可隨時「移除授權」

在 Cowork 中操作

  1. 設定 → 左側「MCP Servers
  2. + Add Server → 搜尋
  3. 點選 → 自動跳 OAuth 授權頁
  4. 登入 → 核准權限
  5. 授權後 token 存本地
  6. 開始用

OAuth vs API Key

認證方式 適用 安全性
OAuth 2.0 雲端服務 高(可撤銷)
API Key 自家系統
本地 stdio 本機工具

對 PAM 的應用

寫「PAM 員工查詢 MCP server」可整合公司 SSO(Azure AD / Google Workspace),避免每個使用者手動填 API Key。

相關概念