BLACKSHIELD

Guia público

Configurar o AI Gateway para a sua equipe

Conecte uma chave de provedor aprovada, crie um cliente para a IDE ou automação da equipe, teste o gateway e aplique uma política inicial simples. Público: Admins do tenant, líderes de segurança e donos do workspace. Tempo típico de configuração: 15-20 minutos.

reference

Use isto se

Conecte uma chave de provedor aprovada, crie um cliente para a IDE ou automação da equipe, teste o gateway e aplique uma política inicial simples.

Audience
Admins do tenant, líderes de segurança e donos do workspace
Typical time
15-20 minutos

Antes de começar

  • Escolha o primeiro provedor, IDE ou fluxo de automação que você quer colocar no piloto.
  • Confirme quais slugs de provedor e ferramentas MCP os usuários poderão ver.
  • Tenha a URL de callback ou os detalhes de configuração do cliente antes de criar o acesso.

Guide walkthrough

Passo 1

Conecte primeiro um provedor

Comece com um único provedor que a sua equipe já confia para que a validação do piloto seja simples.

  • Adicione uma conexão de provedor de IA para o provedor permitido ao grupo piloto.
  • Use uma chave dedicada ao BlackShield em vez de reutilizar uma chave pessoal compartilhada.
  • Dê um nome claro à conexão para que os usuários saibam quando devem escolhê-la.

Como é o sucesso

Dê um nome claro à conexão para que os usuários saibam quando devem escolhê-la.

Passo 2

Crie um cliente para a ferramenta que a equipe usa

Dê a cada IDE, cliente MCP ou service principal o seu próprio cliente para facilitar rotação, desligamento e auditoria.

  • Crie um cliente público para fluxos com login ou um cliente confidencial para automação headless.
  • Adicione a URL de callback que a IDE ou o agente exige antes de entregar o cliente aos usuários.
  • Limite cada cliente aos provedores e ferramentas MCP que aquele grupo realmente precisa.

Como é o sucesso

Limite cada cliente aos provedores e ferramentas MCP que aquele grupo realmente precisa.

Passo 3

Teste o gateway antes de ampliar o rollout

Faça um teste de baixo risco primeiro para validar autenticação, política e registro de atividade.

  • Defina o endpoint MCP como `/api/v1/mcp` e o endpoint de inferência como `/api/v1/ai-gateway/openai/v1/chat/completions`.
  • Faça login com o novo cliente ou troque client credentials por um token de curta duração.
  • Execute `tools/list` ou um prompt simples e confirme o evento no painel de atividade do AI Gateway.

Como é o sucesso

Execute `tools/list` ou um prompt simples e confirme o evento no painel de atividade do AI Gateway.

Passo 4

Aplique uma política inicial simples

Comece com allowlists e visibilidade. Só depois adicione bloqueios mais rígidos.

  • Use `approved_providers` para permitir apenas slugs como `openai` ou `anthropic`.
  • Use `hidden_tools` para esconder ferramentas MCP que a equipe não deve nem ver.
  • Use `blocked_destinations` para hosts que não devem receber prompts e reduza `per_minute_request_limit` para um piloto menor.
  • Fique em advisory até o grupo piloto enxergar os avisos esperados; só depois mude para enforce.

Como é o sucesso

Fique em advisory até o grupo piloto enxergar os avisos esperados; só depois mude para enforce.

Como é o sucesso

  • O cliente piloto autentica com sucesso e só vê os provedores e ferramentas planejados.
  • O painel de atividade mostra a chamada de teste e qualquer aviso ou bloqueio esperado da política.
Configurar o AI Gateway para a sua equipe | Documentação BlackShield