Como ele se conecta
O servidor fala Streamable HTTP. Ele roda como um serviço próprio ao lado da API do Matcher e expõe um único endpoint MCP (
POST /mcp) mais uma sonda de liveness (GET /healthz). Não há transporte stdio: todo cliente se conecta a ele como um servidor remoto pela rede.
Aponte qualquer cliente MCP com Streamable HTTP para o endpoint que o seu time de plataforma fornecer e envie seu bearer token do Matcher na conexão. Por exemplo, com o Claude Code:
http://localhost:4019/mcp:
Authorization: Bearer <matcher-jwt>.
Postura de autenticação
O servidor é um relay de credenciais sem estado — ele não adiciona identidade própria:
- Seu token, repassado literalmente. O cliente envia o mesmo JWT do Matcher que você usaria contra a API diretamente (emitido pelo seu Access Manager). O servidor o encaminha à API do Matcher em toda chamada de ferramenta e nunca registra, armazena ou ecoa o token.
- Fail-closed. Uma chamada de ferramenta que chega sem bearer token é rejeitada antes de qualquer requisição alcançar o Matcher. Não existe fallback anônimo nem de tenant padrão.
- O tenant segue o token. Nenhuma ferramenta aceita parâmetro de tenant; o Matcher resolve o seu tenant inteiramente a partir do JWT repassado, então a superfície MCP nunca cruza fronteiras de tenant.
- Sem estado de sessão. Cada requisição constrói um servidor novo em memória, então o relay pode ser escalado e reiniciado livremente.
mcp_whoami depois de conectar — ela informa apenas se a credencial chegou, nunca o valor dela.
O que você pode fazer com ele
O servidor expõe famílias de ferramentas curadas cobrindo configuração, execuções de reconciliação, exceções e disputas, ingestão e relatórios, além de uma válvula de escape genérica sobre toda a API do Matcher. Consulte Ferramentas MCP do Matcher para ver o catálogo.

