agent-auth-mcp

作成者: better-auth

Agent Auth MCPツールを使用して、プロバイダーの検出、エージェントの接続、機能の管理、MCPプロトコルを介した操作の実行を行います。作業時に使用…

npx skills add https://github.com/better-auth/agent-auth --skill agent-auth-mcp

Agent Auth MCP Tools

You have access to Agent Auth MCP tools for interacting with Agent Auth providers. Always prefer using these MCP tools for any agent authentication operations rather than making raw HTTP requests or writing custom code.

Starting the MCP Server

The MCP server is part of the CLI:

auth-agent mcp

Or with pre-configured providers:

auth-agent mcp --url https://api.example.com

Cursor / Claude Desktop configuration

{
  "mcpServers": {
    "auth-agent": {
      "command": "npx",
      "args": ["@auth/agent-cli", "mcp", "--url", "https://api.example.com"]
    }
  }
}

Available Tools

The MCP server exposes 17 tools. Follow the numbered workflow below.

Step 1: Discovery — Find a Provider

ToolParametersWhen to use
list_providers(none)Call this first. Lists all discovered/configured providers.
search_providersintent (required)Search the directory by name or intent (e.g. "deploy web apps", "vercel").
discover_providerurl (required)Look up a specific provider by URL. Only use if list/search didn't help.

Always start with list_providers. If empty, use search_providers or discover_provider.

Step 2: Capabilities — Understand What's Available

ToolParametersWhen to use
list_capabilitiesprovider (required), query, agent_id, limit, cursorList capabilities for a provider.
describe_capabilityprovider, name (required), agent_idGet full definition including input schema. Always call before executing.

Step 3: Connect — Authenticate an Agent

ToolParametersWhen to use
connect_agentprovider (required), capabilities, mode, name, reason, preferred_method, login_hint, binding_message, force_newConnect an agent to a provider. Returns agent_id.

Key parameters:

  • capabilities — Array of capability names to request.
  • mode"delegated" (acts for a user, default) or "autonomous" (independent).
  • preferred_method"device_authorization" (default, opens browser) or "ciba" (backchannel notification).
  • login_hint — User email for CIBA flow.
  • force_new — Create a new connection even if one exists.

Step 4: Use the Agent

ToolParametersWhen to use
execute_capabilityagent_id, capability (required), argumentsExecute a granted capability.
agent_statusagent_id (required)Check agent status, grants, and constraints.
sign_jwtagent_id (required), capabilities, audienceSign an agent JWT for manual use.
request_capabilityagent_id, capabilities (required), reason, preferred_method, login_hint, binding_messageRequest additional capabilities.
disconnect_agentagent_id (required)Revoke an agent.
reactivate_agentagent_id (required)Reactivate an expired agent.

Host Management

ToolParametersWhen to use
enroll_hostprovider, enrollment_token (required), nameEnroll a host with a one-time token.
rotate_agent_keyagent_id (required)Rotate an agent's keypair.
rotate_host_keyissuer (required)Rotate the host keypair for a provider.

Workflow Example

Here is the standard workflow for connecting to a provider and executing a capability:

1. list_providers
   → See what providers are already known

2. search_providers({ intent: "deploy web apps" })
   → Find a provider if none are known (or discover_provider with a URL)

3. list_capabilities({ provider: "https://api.example.com" })
   → See what the provider offers

4. describe_capability({ name: "deploy_app", provider: "https://api.example.com" })
   → Understand the input schema before executing

5. connect_agent({ provider: "https://api.example.com", capabilities: ["deploy_app"], name: "deploy-bot" })
   → Authenticate and get an agent_id
   → If approval is required, the user will be prompted

6. agent_status({ agent_id: "..." })
   → Confirm the agent is active and capabilities are granted

7. execute_capability({ agent_id: "...", capability: "deploy_app", arguments: { app: "my-app", env: "production" } })
   → Run the capability with the correct arguments

Important Rules

  • Never make raw HTTP requests to Agent Auth endpoints. Always use MCP tools.
  • Always call list_providers first. This tells you what's already configured.
  • Always call describe_capability before execute_capability. You need the input schema.
  • Always call agent_status after connect_agent. The agent may be pending approval.
  • Save the agent_id returned by connect_agent — every subsequent tool needs it.
  • Use constraints when connecting to limit agent permissions — pass them in the capabilities parameter as objects with name and constraints fields.
  • Handle approval flows. When connect_agent returns approval info (device code URL or CIBA), the user must approve before the agent becomes active. Poll agent_status to check.
  • Errors return structured objects like { error: "message", code: "error_code" } — check these and retry or adjust accordingly.

Capability Constraints

When connecting, you can restrict what an agent can do with its capabilities:

{
  "provider": "https://api.example.com",
  "capabilities": [
    "read_data",
    {
      "name": "transfer_money",
      "constraints": {
        "amount": { "max": 1000, "min": 1 },
        "currency": { "in": ["USD", "EUR"] }
      }
    }
  ]
}

Constraint types: eq (exact match), min/max (numeric bounds), in/not_in (allowed/blocked values).

When to Use CLI vs MCP

  • Use MCP tools when operating inside an MCP-enabled environment (Cursor, Claude Code, Claude Desktop) — the tools are already available and integrated.
  • Use the CLI when running from a terminal directly, scripting, or when MCP is not available.
  • Both expose the same operations and share the same storage (~/.agent-auth/).

better-authのその他のスキル

agent-auth-cli
better-auth
Agent Auth CLI(auth-agent)を使用して、プロバイダーの検出、エージェントの接続、機能の管理、操作の実行を行います。ユーザーが操作を希望する場合に使用します…
official
better-icons
better-auth
200以上のアイコンライブラリからSVGを検索・取得可能。CLIとMCPサーバー統合に対応。Lucide、Material Design Icons、Heroicons、Tablerなど主要コレクションを横断検索し、プレフィックスや結果数のフィルタリングが可能。CLIコマンドでアイコン検索、バッチダウンロード(SVGファイル)、個別アイコンの色・サイズカスタマイズに対応。MCPサーバーツールはAIエージェント向けで、スマートレコメンド、類似マッチング、プロジェクトスキャン、バッチアイコン…
official
better-auth-best-practices
better-auth
Better Authのサーバーおよびクライアントの完全なセットアップ。データベースアダプター、セッション管理、プラグイン、セキュリティ設定を含む。インストールからデータベースマイグレーション、環境変数の設定、複数フレームワークにわたるルートハンドラの作成までの全ワークフローをカバー。複数のデータベースアダプター(Prisma、Drizzle、MongoDB、直接接続)に対応し、モデルとテーブルの命名規則に関する重要なガイダンスを提供。セカンダリストレージ(Redis/KV)を用いたセッションストレージ戦略、クッキー...を含む。
official
create-auth-skill
better-auth
TypeScript/JavaScriptアプリに認証をスキャフォールディング・実装し、Better Authフレームワークの検出、データベースアダプターのセットアップ、OAuth統合を行います。プロジェクトスキャンによりフレームワーク(Next.js、SvelteKit、Nuxt、Astro、Express、Hono)、データベース(Prisma、Drizzle、MongoDB、rawドライバー)、既存の認証ライブラリを検出。メール/パスワード、OAuth(Google、GitHub、Apple、Microsoft、Discord、Twitter)、マジックリンク、パスキー、電話認証に対応し、設定可能なメール検証機能を備えています...
official
Email & Password Best Practices
better-auth
email-&-password-best-practices — AIエージェント用のインストール可能なスキルで、better-auth/skillsによって公開されています。
official
email-and-password-best-practices
better-auth
メール確認、パスワードリセットフロー、Better Auth向けのカスタマイズ可能なパスワードポリシー。確認が完了するまでサインインをブロックするオプションの強制機能付きメール確認、設定可能なトークン有効期限と使い捨てリセットトークンをサポート。組み込みのセキュリティを備えたパスワードリセットフロー:バックグラウンドでのメール送信、タイミング攻撃対策、無効なリクエストに対するダミー操作、リセット時のオプションのセッション無効化。設定可能なパスワード長制限(デフォルト8~256文字)およびカスタム...
official
organization-best-practices
better-auth
Better Authを利用したマルチテナント組織のセットアップ。メンバー管理、ロールベースのアクセス制御、チームサポートを提供。カスタマイズ可能な作成ルール、メンバー制限、所有権制約で組織を設定可能。作成者は自動的にオーナーロールを取得。メール配信、有効期限、共有可能な招待URLによるメンバーと招待の管理。メンバーごとに複数ロールをサポート。動的アクセス制御によるカスタムロールと権限の定義。権限の確認...
official
two-factor-authentication-best-practices
better-auth
Better Auth向けのTOTP、OTP、バックアップコード、信頼できるデバイス管理を用いた多要素認証。認証アプリ(QRコードによるTOTP)、メール/SMSコード(OTP)、使い捨てバックアップコードの3つの検証方法をサポート。自動セッション管理、一時的な2FAクッキー、設定可能な有効期限付きの信頼できるデバイス追跡を含む完全な2FAサインインフローを処理。レート制限(10秒あたり3リクエスト)、保存時のシークレットの暗号化などのセキュリティ機能を内蔵...
official