Utiliser le serveur MCP CX Agent Studio

CX Agent Studio fournit un serveur MCP (Model Context Protocol) distant qui peut être utilisé par les agents et les applications d'IA pour modifier les ressources CX Agent Studio. Par exemple, vous pouvez utiliser la Gemini CLI ou Antigravity pour vous aider à concevoir et à créer votre application d'agent CX Agent Studio.

Cette fonctionnalité permet de créer des workflows de développement assistés par l'IA, ce qui réduit considérablement les frictions liées à la création et à la maintenance des applications d'agent :

Codage par ambiance (prototypage rapide) : au lieu de cliquer manuellement dans l'UI pour créer un agent, vous pouvez simplement dire à votre IDE assisté par IA "Crée un agent d'assistance pour le commerce de détail qui utilise l'API Shopify et parle sur un ton amical". L'agent de codage utilise le serveur MCP pour construire l'architecture de l'agent pour vous.
Refactoring et nettoyage massifs : le serveur MCP excelle dans les opérations groupées qui sont fastidieuses dans une UI. Par exemple, vous pouvez demander "Renomme le paramètre 'customer_id' dans les 15 sous-agents" ou "Trouve et supprime toutes les intentions inutilisées".
Développement interactif axé sur l'évaluation : vous pouvez exécuter une évaluation qui échoue et demander à l'agent de faire ce qui suit : "Modifie les instructions jusqu'à ce que cette évaluation spécifique réussisse".
Autoréparation et optimisation : un "agent d'assistance" automatisé peut surveiller les performances d'un agent (par exemple, en cas d'échec d'une évaluation spécifique) et utiliser le serveur MCP pour ajuster de manière autonome les instructions ou corriger les définitions d'outils afin d'améliorer le score ("hill climbing").
Conscience du contexte : le serveur permet aux assistants de codage de "lire" l'état actuel d'un agent déployé. Vous pouvez ainsi comprendre plus facilement les configurations complexes existantes sans avoir à parcourir manuellement les fichiers JSON.

Limites

Les limites suivantes s'appliquent :

Seule la région us est acceptée.
Limites de contexte des jetons : les configurations d'agents volumineuses (avec de nombreux outils et des instructions détaillées) peuvent dépasser la fenêtre de contexte de certains modèles de programmation lors de la récupération des définitions complètes des agents. Nous vous recommandons d'extraire des sous-composants spécifiques (par exemple, un seul outil) plutôt que la définition complète de l'application en une seule fois. De plus, les utilisateurs doivent surveiller leur utilisation de la fenêtre de contexte et redémarrer régulièrement leur session d'agent (toutes les quelques requêtes) pour vider le tampon.
Latence : les "mutations directes" (appels d'API) sont généralement plus rapides pour les petites modifications. Toutefois, pour les refactorisations architecturales massives (renommage de variables dans 50 fichiers), nous recommandons le workflow "Exporter > Modifier en local > Importer" pour garantir l'intégrité des données. Le serveur MCP est également compatible avec ce workflow à l'aide des outils export_app et import_app.

Fonctionnement

Le serveur expose l'API CX Agent Studio, qui est également utilisée par l'UI pour créer des agents. Votre application d'IA est configurée pour utiliser le serveur et s'y connecter. Le serveur annonce une liste d'outils disponibles, tels que :

list_agents()
create_tool(name, python_code, ...)
update_instruction(agent_name, new_instruction)
run_evaluation(dataset)

Lorsque vous fournissez une commande en langage naturel à votre application d'IA, celle-ci décide d'utiliser ou non le serveur MCP CX Agent Studio et l'outil à appeler.

Mutations directes et locales

Vous pouvez utiliser l'un des deux workflows distincts en fonction de la complexité de la tâche :

Mutation directe (idéale pour la vitesse et le prototypage) : Connectez le serveur MCP directement à votre environnement de codage pour apporter des modifications en temps réel à l'aide d'appels d'API.
Copies locales (idéales pour l'évolutivité et le contrôle) : utilisez l'outil export_app du serveur MCP pour télécharger l'agent sur votre système de fichiers local, modifiez les fichiers avec votre assistant de codage, puis renvoyez les modifications à l'aide de import_app. Cela est utile pour la refactorisation à grande échelle, l'intégration du contrôle des versions ou la fusion des contributions de l'équipe.

Rôles requis

Pour obtenir les autorisations nécessaires pour effectuer les tâches de ce guide, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :

Activez les API et les serveurs MCP dans le projet : Administrateur de Service Usage (roles/serviceusage.serviceUsageAdmin)
Effectuer des appels d'outils MCP : Utilisateur de l'outil MCP (roles/mcp.toolUser)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Activer le serveur MCP dans un projet

Si vous utilisez différents projets pour vos identifiants client (tels que les clés de compte de service, l'ID client OAuth ou les clés API) et pour héberger vos ressources, vous devez activer le service ces.googleapis.com et le serveur MCP dans les deux projets.

Pour activer le serveur dans votre projet Google Cloud , exécutez la commande suivante :

gcloud beta services mcp enable ces.googleapis.com \
    --project=PROJECT_ID

Désactiver le serveur MCP dans un projet

Pour désactiver le serveur MCP dans votre projet, exécutez la commande suivante :

gcloud beta services mcp disable ces.googleapis.com \
    --project=PROJECT_ID

Authentification et autorisation

Les serveurs MCP Google Cloud utilisent le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes les Google Cloud identités sont acceptées pour l'authentification auprès des serveurs MCP.

Nous vous recommandons de créer une identité distincte pour les agents qui utilisent les outils MCP afin de pouvoir contrôler et surveiller l'accès aux ressources. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.

Habilitations OAuth MCP

OAuth 2.0 utilise des niveaux d'accès et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les champs d'application OAuth 2.0 chez Google, consultez Utiliser OAuth 2.0 pour accéder aux API Google.

CX Agent Studio dispose des habilitations OAuth suivantes pour l'outil MCP : https://www.googleapis.com/auth/ces

Configurer un client MCP pour qu'il utilise le serveur MCP CES

Les applications et agents d'IA, tels que Claude ou Gemini CLI, peuvent instancier un client MCP qui se connecte à un seul serveur MCP. Une application d'IA peut comporter plusieurs clients qui se connectent à différents serveurs MCP. Pour se connecter à un serveur MCP distant, le client MCP doit connaître l'URL du serveur MCP distant.

Dans votre application d'IA, recherchez un moyen de vous connecter à un serveur MCP distant. Vous êtes invité à saisir des informations sur le serveur, comme son nom et son URL.

Pour le serveur MCP CX Agent Studio, saisissez les informations suivantes, le cas échéant :

Nom du serveur : serveur CES MCP
URL du serveur ou point de terminaison : https://ces.us.rep.googleapis.com/mcp
Transport : HTTP
Informations d'authentification : vos identifiants Google Cloud , votre ID client et votre code secret OAuth, ou l'identité et les identifiants d'un agent. Les informations d'authentification que vous choisissez dépendent de la méthode d'authentification que vous souhaitez utiliser. Pour en savoir plus, consultez S'authentifier auprès des serveurs MCP.

Pour obtenir des conseils spécifiques à l'hôte sur la configuration et la connexion au serveur MCP, consultez les articles suivants :

Pour obtenir des conseils plus généraux, consultez les ressources suivantes :

Outils disponibles

Pour afficher les détails des outils MCP disponibles et leurs descriptions pour le serveur MCP Customer Experience Agent Studio, consultez la documentation de référence sur le serveur MCP Customer Experience Agent Studio.

Outils de liste

Utilisez l'inspecteur MCP pour lister les outils ou envoyez une requête HTTP tools/list directement au serveur MCP distant Customer Experience Agent Studio. La méthode tools/list ne nécessite pas d'authentification.

POST /mcp HTTP/1.1
Host: ces.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Configurations de sécurité et de protection facultatives

Le MCP introduit de nouveaux risques et considérations de sécurité en raison de la grande variété d'actions que vous pouvez effectuer avec les outils MCP. Pour minimiser et gérer ces risques,Google Cloud propose des paramètres par défaut et des règles personnalisables permettant de contrôler l'utilisation des outils MCP dans votre organisation ou votre projetGoogle Cloud . Google Cloud

Pour en savoir plus sur la sécurité et la gouvernance de MCP, consultez Sécurité et sûreté de l'IA.

Utiliser Model Armor

Model Armor est un serviceGoogle Cloud conçu pour améliorer la sécurité de vos applications d'IA. Il fonctionne en analysant de manière proactive les requêtes et les réponses des LLM, en protégeant contre divers risques et en favorisant les pratiques d'IA responsable. Que vous déployiez l'IA dans votre environnement cloud ou chez des fournisseurs de cloud externes, Model Armor peut vous aider à prévenir les entrées malveillantes, à vérifier la sécurité du contenu, à protéger les données sensibles, à maintenir la conformité et à appliquer vos règles de sécurité de l'IA de manière cohérente dans votre paysage d'IA diversifié.

Model Armor n'est disponible que dans certaines régions. Si Model Armor est activé pour un projet et qu'un appel à ce projet provient d'une région non prise en charge, Model Armor effectue un appel multirégional. Pour en savoir plus, consultez Emplacements de Model Armor.

Activer Model Armor

Vous devez activer les API Model Armor avant de pouvoir utiliser Model Armor.

Console

Enable the Model Armor API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the API
Sélectionnez le projet dans lequel vous souhaitez activer Model Armor.

gcloud

Avant de commencer, suivez ces étapes à l'aide de la Google Cloud CLI avec l'API Model Armor :

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Exécutez la commande suivante pour définir le point de terminaison de l'API pour le service Model Armor.
```
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
```
Remplacez LOCATION par la région dans laquelle vous souhaitez utiliser Model Armor.

Configurer la protection pour les serveurs MCP Google et Google Cloud distants

Pour protéger les appels et les réponses de votre outil MCP, vous devez créer un paramètre de plancher Model Armor, puis activer la sécurité du contenu MCP pour votre projet. Un paramètre de plancher définit les filtres de sécurité minimaux qui s'appliquent à l'ensemble du projet. Cette configuration applique un ensemble cohérent de filtres à tous les appels et réponses d'outils MCP du projet.

Configurez un paramètre plancher Model Armor avec la désinfection MCP activée. Pour en savoir plus, consultez Configurer les paramètres de plancher Model Armor.

Remarque : Si l'agent et le serveur MCP se trouvent dans des projets différents, vous pouvez créer des paramètres de plancher dans les deux projets (le projet client et le projet de ressources). Dans ce cas, Model Armor est appelé deux fois, une fois pour chaque projet.

Consultez l'exemple de commande suivant :
```
gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "HIGH", "filterType": "DANGEROUS"}]'
```
Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Notez les paramètres suivants :
- INSPECT_AND_BLOCK : type d'application qui inspecte le contenu du serveur MCP Google et bloque les requêtes et les réponses qui correspondent aux filtres.
- ENABLED : paramètre qui active un filtre ou une application.
- HIGH : niveau de confiance pour les paramètres du filtre "IA responsable – Dangereux". Vous pouvez modifier ce paramètre, mais des valeurs plus faibles peuvent entraîner un plus grand nombre de faux positifs. Pour en savoir plus, consultez Configurer les paramètres des étages.
Pour votre projet, activez la protection Model Armor pour les serveurs MCP distants.
```
gcloud beta services mcp content-security add modelarmor.googleapis.com --project=PROJECT_ID
```
Remplacez PROJECT_ID par l'ID de votre projet Google Cloud. Une fois cette commande exécutée, Model Armor nettoie tous les appels et réponses d'outils MCP du projet, quelle que soit leur origine.
Pour vérifier que le trafic Google MCP est envoyé à Model Armor, exécutez la commande suivante :
```
gcloud beta services mcp content-security get --project=PROJECT_ID
```
Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Désactiver l'analyse du trafic MCP avec Model Armor

Si vous souhaitez utiliser Model Armor dans un projet et arrêter d'analyser le trafic Google MCP avec Model Armor, exécutez la commande suivante :

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Model Armor n'analysera pas le trafic MCP dans le projet.

Contrôler l'utilisation du MCP avec des stratégies de refus IAM

Les stratégies de refus Identity and Access Management (IAM) vous aident à sécuriser les serveurs MCP à distance Google Cloud . Configurez ces règles pour bloquer l'accès indésirable à l'outil MCP.

Par exemple, vous pouvez refuser ou autoriser l'accès en fonction des critères suivants :

Le compte principal.
Propriétés de l'outil, comme la lecture seule.
ID client OAuth de l'application.

Pour en savoir plus, consultez Contrôler l'utilisation de MCP avec Identity and Access Management.

Étapes suivantes

Consultez la documentation de référence sur le MCP Customer Experience Agent Studio.
En savoir plus sur les serveurs MCP Google Cloud