Wer Claude Code produktiv in einem Unternehmen mit mehr als 20 Engineers einsetzt, steht binnen zwei Wochen vor demselben Problem: Wie isoliere ich pro Nutzer den Zugriff auf Jira- und Notion-Ressourcen, ohne dass Tokens in der IDE landen oder ein Engineer die Issues eines anderen Teams lesen kann? Das Model Context Protocol (MCP) löst die Konnektivität – die Permission Isolation müssen Sie jedoch selbst in Ihrem Gateway implementieren. Dieser Artikel zeigt ein produktionsreifes 4-Schichten-Modell mit Python-MCP-Server, HashiCorp-Vault-Anbindung, Audit-Streaming und einem LLM-Backend über Jetzt registrieren – die API-Plattform, die Claude Sonnet 4.5 mit unter 50 ms Median-Latenz und WeChat/Alipay-Billing für den asiatischen Markt verfügbar macht.
1. Architektur-Überblick: Multi-Tenant MCP-Gateway
Statt Claude Code direkt mit Atlassian- oder Notion-Tokens zu versorgen, schalten wir einen tenant-fähigen MCP-Server davor. Dieser löst pro Session-JWT den richtigen Atlassian/Notion-Token aus dem Vault, enforced Row-Level-Filter und schreibt jede Aktion in einen unveränderlichen Audit-Stream.
+-------------------+ +----------------------+ +-------------------+
| Claude Code CLI | ---> | MCP-Gateway (Python)| ---> | Jira Cloud API |
| (HolySheep LLM) | | - Token Vault | +-------------------+
+-------------------+ | - Row-Level-Filter | +-------------------+
| | - Audit-Producer | ---> | Notion API |
v +----------------------+ +-------------------+
+-------------------+ |
| api.holysheep.ai| v
| /v1/chat/... | +-------------------+
+-------------------+ | Kafka Audit-Log |
+-------------------+
Die Trennung ist wichtig: Claude Code kennt niemals das Jira-Token. Es spricht nur JSON-RPC 2.0 mit dem lokalen MCP-Server. Das hat zwei unmittelbare Vorteile: (a) Token-Rotation ist ohne IDE-Restart möglich, (b) ein kompromittierter Laptop gibt keinen direkten API-Zugriff preis.
2. Vier-Schichten-Permission-Isolation
- Schicht 1 – Token Vault: Atlassian- und Notion-Tokens liegen in HashiCorp Vault KV v2, verschlüsselt mit Auto-Unseal via AWS KMS. Pro User ein Secret-Pfad.
- Schicht 2 – JWT Session Mapping: Claude Code authentifiziert sich beim MCP-Gateway per OIDC-JWT. Das Gateway mappt
sub→vault:secret/jira/{email}. - Schicht 3 – Row-Level Filter: Vor jedem Jira-Call wird die JQL um eine projektbasierte
AND (project IN (...))-Klausel erweitert, basierend auf den LDAP-Gruppen des Users. - Schicht 4 – Audit Stream: Jeder Tool-Call landet mit
user,tool,params_hash,status,tsin Kafka Topicmcp-access, indiziert in OpenSearch für SOC-2-Compliance.
3. Konfiguration: Claude Code + HolySheep AI
Zuerst zeigen wir, wie Claude Code an das HolySheep-AI-Backend angebunden wird. Wir nutzen Claude Sonnet 4.5 für komplexe Reasoning-Aufgaben und DeepSeek V3.2 für Bulk-Klassifikation (z. B. „Liste alle Issues, die seit gestern geschlossen wurden").
// .mcp.json – im Home-Verzeichnis des Engineers
{
"mcpServers": {
"jira-isolated": {
"command": "python",
"args": ["-m", "mcp_jira_server", "--config", "/etc/mcp/jira.yaml"],
"env": {
"TOKEN_VAULT_URL": "https://vault.internal.acme.io:8200",
"VAULT_ROLE_ID": "mcp-jira-role",
"AUDIT_SINK": "kafka://audit-cluster.acme.io:9092/mcp-access",
"HOLYSHEEP_BASE_URL":"https://api.holysheep.ai/v1",
"HOLYSHEEP_API_KEY": "YOUR_HOLYSHEEP_API_KEY"
}
},
"notion-isolated": {
"command": "python",
"args": ["-m", "mcp_notion_server", "--config", "/etc/mcp/notion.yaml"],
"env": {
"TOKEN_VAULT_URL": "
Verwandte Ressourcen
Verwandte Artikel