LibreChat is joining ClickHouse to power the open-source Agentic Data Stack 🎉 Learn more
LibreChat

Salesforce MCP

External Client AppとユーザーごとのOAuthを使用して、LibreChatでSalesforceホスト型MCPサーバーを設定する。

Salesforce Hosted MCP サーバーを使用すると、LibreChat ユーザーはユーザーごとの OAuth を通じて Salesforce に接続できます。 各ツール呼び出しは、フィールドレベルのセキュリティ、オブジェクト権限、共有ルールなど、認証された Salesforce ユーザーの権限で実行されます。

外部クライアントアプリを使用する

Salesforce Hosted MCP サーバーには External Client App が必要です。Classic Salesforce Connected Apps は Hosted MCP 認証ではサポートされていません。

設定するもの

このガイドでは、最も安全な最初の接続先である読み取り専用のSObjectサーバーから始めます。それが動作した後に、より広範なSalesforceサーバーに切り替えることができます。

サーバーアクセスレベル本番環境 URLサンドボックスまたはスクラッチ環境 URL
SObject Reads読み取り、クエリ、検索、リレーションシップhttps://api.salesforce.com/platform/mcp/v1/platform/sobject-readshttps://api.salesforce.com/platform/mcp/v1/sandbox/platform/sobject-reads
SObject Mutations読み取り、作成、更新(削除不可)https://api.salesforce.com/platform/mcp/v1/platform/sobject-mutationshttps://api.salesforce.com/platform/mcp/v1/sandbox/platform/sobject-mutations
SObject Deletes削除に特化したワークフローhttps://api.salesforce.com/platform/mcp/v1/platform/sobject-deleteshttps://api.salesforce.com/platform/mcp/v1/sandbox/platform/sobject-deletes
SObject All作成、読み取り、更新、削除のフルアクセスhttps://api.salesforce.com/platform/mcp/v1/platform/sobject-allhttps://api.salesforce.com/platform/mcp/v1/sandbox/platform/sobject-all

OAuth コールバックパス

LibreChatのMCP OAuthコールバックパスは BASE_URL/api/mcp/SERVER_NAME/oauth/callback です。 SERVER_NAMElibrechat.yaml 内の mcpServers にあるキーです。以下の例では salesforce を使用しているため、ローカルのコールバックは http://localhost:3080/api/mcp/salesforce/oauth/callback となります。

前提条件

  • Hosted MCPサーバーおよびAPIアクセスをサポートするSalesforce組織。
  • システム管理者権限、または外部クライアントアプリ(External Client Apps)の作成およびMCPサーバーの有効化と同等の権限。
  • librechat.yaml がマウントされているか、あるいは読み込まれている実行中の LibreChat インスタンス。
  • ユーザーがLibreChatを開くために使用するパブリックベースURL。例えば、ローカル開発環境の場合は http://localhost:3080、本番環境の場合は https://chat.example.com となります。

Salesforce組織をまだお持ちでない場合は、developer.salesforce.com/signup から無料のDeveloper Edition組織を作成し、メールでアカウントを認証してから、login.salesforce.com にログインしてください。このガイドのSalesforce設定メニューが組織に表示されない場合は、Hosted MCPサーバーが有効になっている、サポートされている本番環境、サンドボックス、またはトライアル組織を使用してください。

セットアップ

Salesforce MCP サーバーを有効にする

Salesforceで、Setupを開きます。

  1. Quick Findで、MCP Serversを検索します。
  2. API Catalog の下にある MCP Servers を開きます。
  3. 使用するサーバーを有効にします。初回セットアップ時は、platform/sobject-reads を有効にしてください。
  4. サーバーがアクティブになるまで最大2分間お待ちください。

full-accessの例を使用する予定の場合は、代わりに platform/sobject-all を有効にしてください。

外部クライアントアプリを作成する

Salesforceの設定にて:

  1. Quick Findで、External Client App Managerを検索します。
  2. New External Client App をクリックします。
  3. 基本的なアプリ情報を入力します。LibreChat Salesforce MCP のような分かりやすい名前を使用してください。
  4. API (Enable OAuth Settings) を展開し、OAuth を有効にします。
  5. LibreChatのコールバックURLを追加します。

ローカル開発の場合:

http://localhost:3080/api/mcp/salesforce/oauth/callback

本番環境では、ベースURLを公開用のLibreChat URLに置き換えてください:

https://chat.example.com/api/mcp/salesforce/oauth/callback

OAuthスコープとセキュリティの設定

External Client App OAuth設定で、以下のスコープを追加してください:

mcp_api
refresh_token

Hosted MCP サーバーには、標準の Salesforce api スコープを使用しないでください。MCP サーバーは mcp_api スコープを想定しています。

外部クライアントアプリのセキュリティ設定で:

  • Issue JSON Web Token (JWT)-based access tokens for named users(指定されたユーザーに対してJSON Web Token (JWT) ベースのアクセストークンを発行する)を選択します。
  • Require Proof Key for Code Exchange (PKCE) extension for Supported Authorization Flows を選択します。
  • このガイドの基本的なセットアップでは、Require Secret for Web Server Flow を無効のままにしてください。
  • このガイドの基本的なセットアップでは、Require Secret for Refresh Token Flow は無効のままにしておいてください。

Createをクリックし、アプリ設定を開いてConsumer Keyをコピーします。Salesforceによると、新しいExternal Client Appが利用可能になるまで最大30分かかる場合があります。

オプションのクライアントシークレット

LibreChatはクライアントシークレットをサーバーサイドに保存できます。Salesforce管理者が Require Secret for Web Server Flow を有効にしている場合は、クライアントシークレットも生成し、このガイドの後半で示されているオプションの client_secret フィールドを含めてください。

SalesforceクライアントIDを .env に追加する

LibreChatの .env ファイルに External Client App のコンシューマーキーを追加します:

SALESFORCE_MCP_CLIENT_ID=your-salesforce-consumer-key

Require Secret for Web Server Flow を有効にした場合は、以下も追加してください:

SALESFORCE_MCP_CLIENT_SECRET=your-salesforce-client-secret

librechat.yaml に Salesforce MCP を追加する

この例では、本番環境またはDeveloper Edition組織向けに読み取り専用のSObjectサーバーを設定します。

mcpServers:
  salesforce:
    type: streamable-http
    url: 'https://api.salesforce.com/platform/mcp/v1/platform/sobject-reads'
    timeout: 90000
    initTimeout: 150000
    requiresOAuth: true
    startup: false
    oauth:
      authorization_url: 'https://login.salesforce.com/services/oauth2/authorize'
      token_url: 'https://login.salesforce.com/services/oauth2/token'
      client_id: '${SALESFORCE_MCP_CLIENT_ID}'
      scope: 'mcp_api refresh_token'
      redirect_uri: 'http://localhost:3080/api/mcp/salesforce/oauth/callback'

サンドボックスまたはスクラッチ組織の場合は、サンドボックスのMCP URLとSalesforceサンドボックスのOAuth endpointを使用してください:

mcpServers:
  salesforce:
    type: streamable-http
    url: 'https://api.salesforce.com/platform/mcp/v1/sandbox/platform/sobject-reads'
    timeout: 90000
    initTimeout: 150000
    requiresOAuth: true
    startup: false
    oauth:
      authorization_url: 'https://test.salesforce.com/services/oauth2/authorize'
      token_url: 'https://test.salesforce.com/services/oauth2/token'
      client_id: '${SALESFORCE_MCP_CLIENT_ID}'
      scope: 'mcp_api refresh_token'
      redirect_uri: 'http://localhost:3080/api/mcp/salesforce/oauth/callback'

外部クライアントアプリでクライアントシークレットが必要な場合は、oauth 内に以下のフィールドを追加してください:

oauth:
  client_secret: '${SALESFORCE_MCP_CLIENT_SECRET}'
  token_exchange_method: default_post
  token_endpoint_auth_methods_supported: ['client_secret_post']

LibreChatをパブリックURLでデプロイしている場合は、Salesforceに登録されているコールバックURLと完全に一致するように redirect_uri を更新してください。

厳格なMCPドメイン許可リスト

librechat.yamlmcpSettings.allowedDomains も設定している場合は、api.salesforce.com を追加してください。 Salesforce サンドボックスの OAuth エンドポイントを使用しており、ポリシーが OAuth ホストにも適用される場合は、test.salesforce.com またはご自身のサンドボックスの My Domain ホストも許可してください。

必要に応じて、Salesforceへのフルアクセスに切り替える

読み取り専用サーバーが動作した後、url を変更することで、有効化された別の Salesforce サーバーに切り替えることができます。

本番環境またはDeveloper Edition組織でSObjectへの完全なアクセス権を得るには:

url: 'https://api.salesforce.com/platform/mcp/v1/platform/sobject-all'

サンドボックスまたはスクラッチ組織で完全なSObjectアクセスを行うには:

url: 'https://api.salesforce.com/platform/mcp/v1/sandbox/platform/sobject-all'

Salesforceレコードの作成、更新、削除をアシスタント経由で許可すべきユーザーに対してのみ、変更または削除が可能なサーバーを公開してください。

LibreChatを再起動する

LibreChatを再起動して、.envlibrechat.yaml を再読み込みしてください。

デプロイコマンド
Dockerdocker compose up -d
ローカルサーバーを停止してから、再度起動します

Dockerでサーバーが読み込まれたことを確認するには、APIログを確認してください:

docker logs LibreChat --tail 200 | grep MCP

LibreChatでSalesforceを接続する

LibreChatを開き、チャット入力欄にあるMCP SettingsまたはMCP Serversドロップダウンを開きます。

  1. Salesforceサーバーの Connect をクリックします。
  2. Salesforce OAuthフローを完了します。
  3. 要求された mcp_api および refresh_token スコープを確認してください。
  4. OAuthの成功ページが閉じた後、LibreChatに戻ります。

OAuthが成功し、MCP接続が初期化されると、SalesforceツールがチャットおよびAgent Builder内で利用可能になります。

テスト

有効にしたサーバーに一致するプロンプトを試してください:

サーバープロンプト
Any SObject サーバー"Who am I in Salesforce?"
SObject Reads"Show me my five most recently viewed accounts."
SObject Reads"Find open cases related to Acme Corp and summarize them."
SObject Mutations"Create a follow-up task for this account. Ask me before saving anything."
SObject All"Update this opportunity stage to Closed Won after confirming the exact record."

より低レベルな健全性チェックを行うには、同じSalesforceサーバーをPostmanまたはMCP Inspectorでテストしてください。もしそれで動作するのにLibreChatで動作しない場合は、LibreChatのコールバックURL、OAuthスコープ、およびサーバーURLを、動作しているクライアントと比較してください。

トラブルシューティング

症状確認事項
Salesforceが redirect_uri_mismatch を返す外部クライアントアプリのコールバックURLは、プロトコル、ホスト名、ポート、サーバー名、パスを含め、librechat.yaml 内の redirect_uri と完全に一致している必要があります。
Salesforceのログイン履歴に Invalid Code Verifier と表示されるPKCEの状態がコールバックと一致しませんでした。一度に複数のOAuthフローを開始しないでください。マルチレプリカ環境では、認可リクエストとコールバックリクエストが異なるレプリカに到達しても安全なように、LibreChatがRedisなどの共有OAuthフローストレージを使用していることを確認してください。
Salesforceが JWT Token is required を返すSalesforce MCPアクセストークンなしでサーバーが呼び出されています。LibreChatからOAuthを完了し、requiresOAuth: true であること、およびユーザーが外部クライアントアプリを承認したことを確認してください。
Salesforceが Invalid token を返す外部クライアントアプリが mcp_api を使用し、JWTベースのアクセストークンを発行し、PKCEが有効になっていることを確認してください。また、MCP URLとOAuthのendpointが、本番環境とサンドボックス環境のどちらか一方で一致していることを確認してください。
Salesforceが Server definition not found for: sobject-all を返すサーバーが有効化されていないか、反映中であるか、URLの本番環境/サンドボックス環境のパスが間違っています。Salesforceの設定でサーバーを有効にし、最大2分間待機してください。
トークン更新がスコープ関連のエラーで失敗する設定されたスコープとして mcp_api refresh_token を使用してください。Hosted MCPに対して通常のSalesforce api スコープを代用しないでください。
LibreChatにSalesforceは表示されるがツールが表示されないLibreChat UIからサーバーを接続してください。OAuthが有効なリモートサーバーは、ユーザーが認証され、サーバーが初期化された後にツールを公開します。
MCPリクエストがLibreChatのドメインポリシーによってブロックされるmcpSettings.allowedDomains が設定されている場合は、api.salesforce.com およびデプロイメントで使用しているすべてのSalesforce OAuthホストを許可してください。

セキュリティに関する注意点

  • ユーザーが書き込みや削除のアクセス権を真に必要としない限り、platform/sobject-reads から始めてください。
  • Salesforceは認証されたユーザーの権限を強制しますが、アシスタントは依然として広範なアクションを提案する可能性があります。書き込みおよび削除操作は慎重に確認してください。
  • Salesforceの権限セットと外部クライアントアプリケーション(External Client App)ポリシーを使用して、誰がMCPクライアントを承認できるかを制限します。
  • Salesforceのレコードは信頼できない入力として扱ってください。レコードには、アシスタントに影響を与えようとする間接的なプロンプトインジェクションの試みが含まれている可能性があります。
  • 複数の LibreChat API レプリカを使用した本番環境へのデプロイでは、PKCE コールバックがレプリカ間で永続化されるように、OAuth フローの状態に対して共有ストレージを使用してください。

MCP

LibreChatにおけるMCPサーバーの仕組みを学びます。

MCP Servers オブジェクト構造

利用可能なすべての mcpServers 設定フィールドを確認してください。

Salesforceホスト型MCPサーバー

Salesforceの公式Hosted MCPセットアップドキュメントをお読みください。

このガイドはいかがでしたか?

GitHub で編集