Định cấu hình máy chủ MCP của Gmail

Gmail cung cấp một máy chủ Giao thức bối cảnh mô hình (MCP) từ xa, cho phép các tác nhân AI tương tác một cách an toàn với dữ liệu Gmail. Bằng cách định cấu hình máy chủ Gmail MCP, bạn cho phép các ứng dụng AI như Gemini CLI, Claude hoặc IDE thực hiện các thao tác trong Gmail.

Máy chủ Gmail MCP cung cấp một cách thức tiêu chuẩn để các tác nhân AI:

  • Đọc dữ liệu: Tìm kiếm email, truy xuất chuỗi và liệt kê nhãn.
  • Hành động: Tạo email nháp và gắn nhãn cho thư.
  • Tôn trọng tính bảo mật: Kế thừa cùng các quyền và chế độ kiểm soát quản trị dữ liệu như người dùng.

Điều kiện tiên quyết

  • Một dự án trên Google Cloud. Để tạo một dự án, hãy xem bài viết Tạo dự án.

  • Một ứng dụng MCP, chẳng hạn như Gemini CLI.

  • Để chạy các lệnh trên trang này, hãy thiết lập gcloud CLI trong môi trường phát triển cục bộ bằng cách làm theo các bước sau:

    1. Cài đặt Google Cloud CLI. Nếu bạn đã cài đặt gcloud CLI trước đó, hãy đảm bảo rằng bạn đang dùng phiên bản mới nhất bằng cách chạy gcloud components update.
    2. Nếu bạn đang sử dụng một nhà cung cấp dịch vụ danh tính (IdP) bên ngoài, hãy đăng nhập vào gcloud CLI bằng danh tính liên kết của bạn. Để biết thêm thông tin, hãy xem bài viết Đăng nhập vào gcloud CLI bằng danh tính liên kết của bạn.
    3. Khởi động gcloud CLI.

Định cấu hình máy chủ Gmail MCP

Để sử dụng máy chủ Gmail MCP, bạn phải bật máy chủ này trong dự án trên đám mây của Google Cloud, sau đó định cấu hình ứng dụng MCP để kết nối với máy chủ đó.

Bật API

Để sử dụng máy chủ Gmail MCP, bạn phải bật API sau trong dự án trên đám mây của Google:

  • API Gmail

CLI

gcloud services enable gmail.googleapis.com --project=PROJECT_ID

Thay thế PROJECT_ID bằng mã dự án Google Cloud của bạn.

Giao diện dòng lệnh

Bật API trong bảng điều khiển Cloud của Google:

Bật API

Bật các dịch vụ MCP

Để bật các thành phần MCP cho Gmail, bạn phải bật dịch vụ sau trong dự án trên đám mây của Google:

  • Gmail MCP API

CLI

gcloud services enable gmailmcp.googleapis.com --project=PROJECT_ID

Thay thế PROJECT_ID bằng mã dự án Google Cloud của bạn.

Giao diện dòng lệnh

Bật các dịch vụ MCP trong bảng điều khiển Cloud của Google:

Bật các dịch vụ MCP

Máy chủ Gmail MCP sử dụng OAuth 2.0 để xác thực và uỷ quyền. Bạn phải định cấu hình màn hình xin phép bằng OAuth trước khi có thể tạo mã ứng dụng OAuth.

  1. Trong bảng điều khiển Cloud, hãy chuyển đến Nền tảng xác thực của Google > Thương hiệu.

    Chuyển đến phần Thương hiệu

  2. Nếu đã định cấu hình Nền tảng xác thực của Google, bạn có thể định cấu hình các chế độ cài đặt sau đây cho Màn hình xin phép bằng OAuth trong phần Thương hiệu, Đối tượng, và Quyền truy cập dữ liệu. Nếu bạn thấy thông báo cho biết Nền tảng xác thực của Google chưa được định cấu hình yet, hãy nhấp vào Bắt đầu:

    1. Trong phần Thông tin ứng dụng, ở mục Tên ứng dụng, hãy nhập Gmail MCP Server.
    2. Trong phần Email hỗ trợ người dùng, hãy chọn địa chỉ email của bạn hoặc một nhóm Google thích hợp.
    3. Nhấp vào Tiếp theo.
    4. Trong phần Đối tượng, hãy chọn Nội bộ. Nếu bạn không thể chọn Nội bộ, hãy chọn Bên ngoài.
    5. Nhấp vào Tiếp theo.
    6. Trong phần Thông tin liên hệ, hãy nhập một Địa chỉ email để bạn có thể nhận thông báo về mọi thay đổi đối với dự án của mình.
    7. Nhấp vào Tiếp theo.
    8. Trong phần Hoàn tất, hãy xem lại Chính sách dữ liệu người dùng của các dịch vụ API của Google và nếu bạn đồng ý, hãy chọn Tôi đồng ý với Chính sách dữ liệu người dùng của các dịch vụ API của Google.
    9. Nhấp vào Tiếp tục.
    10. Nhấp vào Tạo.
    11. Nếu bạn chọn Bên ngoài cho loại người dùng, hãy thêm người dùng thử nghiệm:
      1. Nhấp vào Đối tượng.
      2. Trong phần Người dùng thử nghiệm, hãy nhấp vào Thêm người dùng.
      3. Nhập địa chỉ email của bạn và mọi người dùng thử nghiệm được uỷ quyền khác, sau đó nhấp vào Lưu.

  3. Nhấp vào Quyền truy cập dữ liệu > Thêm hoặc xoá phạm vi. Một bảng điều khiển sẽ xuất hiện với danh sách các phạm vi cho từng API mà bạn đã bật trong dự án Google Cloud.

    1. Trong phần Thêm phạm vi theo cách thủ công, hãy dán các phạm vi cho máy chủ Gmail MCP:

      • https://www.googleapis.com/auth/gmail.readonly
      • https://www.googleapis.com/auth/gmail.compose

    2. Nhấp vào Thêm vào bảng.

    3. Nhấp vào Cập nhật.

    4. Sau khi chọn các phạm vi mà ứng dụng của bạn yêu cầu, trên trang Quyền truy cập dữ liệu, hãy nhấp vào Lưu.

Định cấu hình ứng dụng MCP

Để thêm máy chủ Gmail MCP từ xa vào ứng dụng MCP, hãy làm theo hướng dẫn cho ứng dụng của bạn.

Gemini CLI

Để thêm máy chủ Gmail MCP từ xa vào Gemini CLI, hãy thêm cấu hình máy chủ vào tệp settings.json.

  1. Tạo mã ứng dụng và khoá bí mật của ứng dụng OAuth 2.0:

    1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Nền tảng xác thực của Google > Ứng dụng > Tạo ứng dụng

      Chuyển đến phần Tạo ứng dụng

    2. Chọn Ứng dụng dành cho máy tính làm loại ứng dụng.

    3. Nhập Tên.

    4. Nhấp vào Tạo rồi sao chép Mã ứng dụngKhoá bí mật của ứng dụng.

  2. Mở hoặc tạo tệp cấu hình ~/.gemini/settings.json.

  3. Thêm cấu hình mcpServers vào settings.json:

    {
  "mcpServers": {
    "gmail": {
      "httpUrl": "https://gmailmcp.googleapis.com/mcp/v1",
      "oauth": {
        "enabled": true,
        "clientId": "OAUTH_CLIENT_ID",
        "clientSecret": "OAUTH_CLIENT_SECRET",
        "scopes": [
          "https://www.googleapis.com/auth/gmail.readonly",
          "https://www.googleapis.com/auth/gmail.compose"
        ]
      }
    }
  }
}

    Thay thế nội dung sau:

    • OAUTH_CLIENT_ID: Mã ứng dụng mà bạn đã tạo.
    • OAUTH_CLIENT_SECRET: Khoá bí mật của ứng dụng khách mà bạn đã tạo.

  4. Lưu settings.json.

  5. Bắt đầu Gemini CLI:

    gemini

  6. Trong Gemini CLI, hãy xác thực bằng máy chủ MCP bằng cách chạy lệnh sau:

    /mcp auth gmail
    1. Khi được nhắc, hãy nhấn 1 để mở trang xác thực trong trình duyệt của bạn. Nếu bạn đang làm việc qua SSH, hãy làm theo hướng dẫn trong CLI.
    2. Đăng nhập vào Tài khoản Google của bạn.
    3. Xem lại các phạm vi OAuth được yêu cầu rồi nhấp vào Cho phép.
    4. Một thông báo sẽ xuất hiện để xác nhận rằng quá trình xác thực đã thành công.

  7. Trong Gemini CLI, hãy chạy /mcp list để xem các máy chủ MCP đã định cấu hình và các công cụ của chúng.

    Phản hồi sẽ có dạng như sau:

    🟢 gmail - Ready (10 tools)
  Tools:
  - create_draft
  - create_label
  - get_thread
  - label_message
  - label_thread
  - list_drafts
  - list_labels
  - search_threads
  - unlabel_message
  - unlabel_thread

Máy chủ MCP từ xa đã sẵn sàng để sử dụng trong Gemini CLI.

Claude

Để sử dụng máy chủ Gmail MCP từ xa với Claude.ai hoặc Claude Desktop, bạn phải có gói Claude Enterprise, Pro, Max hoặc Team.

Để thêm máy chủ Gmail MCP từ xa vào Claude, hãy định cấu hình một trình kết nối tuỳ chỉnh bằng mã ứng dụng khách và khoá bí mật của ứng dụng OAuth.

  1. Tạo mã ứng dụng và khoá bí mật của ứng dụng OAuth 2.0:

    1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Nền tảng xác thực của Google > Ứng dụng > Tạo ứng dụng

      Chuyển đến phần Tạo ứng dụng

    2. Chọn Ứng dụng web làm loại ứng dụng.

    3. Nhập Tên.

    4. Trong phần URI chuyển hướng được uỷ quyền, hãy nhấp vào + Thêm URI, sau đó thêm https://claude.ai/api/mcp/auth_callback vào trường URI.

    5. Nhấp vào Tạo rồi sao chép Mã ứng dụngKhoá bí mật của ứng dụng.

  2. Định cấu hình máy chủ MCP trong Claude:

    1. Trong Claude.ai hoặc Claude Desktop, hãy chuyển đến Settings (Cài đặt) (hoặc Admin settings (Cài đặt quản trị)) > Connectors (Trình kết nối).
    2. Nhấp vào Add custom connector (Thêm trình kết nối tuỳ chỉnh).
    3. Nhập thông tin chi tiết về kết nối cho sản phẩm Gmail:
      • Server name (Tên máy chủ): Gmail.
      • Remote MCP server URL (URL máy chủ MCP từ xa): https://gmailmcp.googleapis.com/mcp/v1
    4. Trong phần Advanced settings (Cài đặt nâng cao), hãy nhập OAuth client ID (Mã ứng dụng khách OAuth) và OAuth client secret (Khoá bí mật của ứng dụng khách OAuth).
    5. Nhấp vào Thêm.

Khác

Nhiều ứng dụng AI có cách kết nối với máy chủ MCP từ xa. Thông thường, bạn cần nhập thông tin chi tiết về máy chủ, chẳng hạn như tên, điểm cuối, giao thức truyền tải và phương thức xác thực. Đối với máy chủ Gmail MCP từ xa, hãy nhập như sau:

  • Server name (Tên máy chủ): gmail

  • Server URL (URL máy chủ): https://gmailmcp.googleapis.com/mcp/v1

  • Transport (Truyền tải): HTTP

  • Authentication (Xác thực): Máy chủ MCP từ xa của Gmail sử dụng OAuth 2.0. Để biết thông tin chi tiết, hãy xem bài viết Tìm hiểu về quy trình xác thực và uỷ quyền.

Để biết thêm thông tin chi tiết về cách kết nối các loại ứng dụng, hãy xem bài viết Định cấu hình MCP trong ứng dụng AI.

Kiểm thử máy chủ Gmail MCP

Sau khi định cấu hình ứng dụng MCP, bạn có thể xác minh kết nối bằng cách chạy một số lời nhắc kiểm thử.

Hãy thử hỏi ứng dụng MCP của bạn những câu hỏi sau:

  • "Ariel đã nói gì trong email gần đây nhất của cô ấy về kế hoạch tiếp thị của chúng ta?"

    Ứng dụng sẽ lọc các email của Ariel bằng gmail.search_threads, truy xuất nội dung của chuỗi mới nhất bằng gmail.get_thread, sau đó tóm tắt cho bạn.

  • "Soạn một email gửi đến ariel@example.com nói rằng tôi phê duyệt kế hoạch tiếp thị."

    Ứng dụng sử dụng gmail.create_draft để tạo một email trong thư mục thư nháp, cho phép bạn xem xét và gửi email đó từ Gmail.

Nếu các công cụ thực thi thành công và bạn nhận được phản hồi thích hợp, thì máy chủ Gmail MCP của bạn đã được định cấu hình chính xác.

Khắc phục sự cố

Nếu gặp vấn đề khi kết nối với máy chủ MCP, bạn có thể kiểm tra lỗi trong nhật ký OAuth. Yêu cầu quản trị viên kiểm tra Sự kiện trong nhật ký OAuth trong công cụ điều tra bảo mật.

Tài liệu tham khảo về công cụ

Các công cụ sau đây có sẵn cho máy chủ Gmail MCP:

  • create_draft
  • get_thread
  • label_message
  • label_thread
  • list_drafts
  • list_labels
  • search_threads
  • unlabel_message
  • unlabel_thread

Lưu ý quan trọng về bảo mật: Tiêm câu lệnh (prompt injection) gián tiếp

Khi bạn hiển thị một mô hình ngôn ngữ cho dữ liệu không đáng tin cậy, sẽ có nguy cơ xảy ra một cuộc tấn công tiêm câu lệnh (prompt injection) gián tiếp. Vì các ứng dụng MCP như Gemini CLI có quyền truy cập vào các công cụ và API mạnh mẽ thông qua máy chủ Gmail MCP, nên chúng có thể đọc, sửa đổi và xoá dữ liệu trong Tài khoản Google của bạn.

Để giảm thiểu những rủi ro này, hãy làm theo các phương pháp hay nhất sau đây:

  • Chỉ sử dụng các công cụ đáng tin cậy. Tuyệt đối không kết nối máy chủ Gmail MCP với các ứng dụng không đáng tin cậy hoặc chưa được xác minh.
  • Thận trọng với các dữ liệu đầu vào không đáng tin cậy. Tránh yêu cầu ứng dụng MCP của bạn xử lý email hoặc các tài nguyên khác từ các nguồn chưa được xác minh. Những dữ liệu đầu vào này có thể chứa các hướng dẫn ẩn có thể chiếm quyền điều khiển phiên của bạn, cho phép kẻ tấn công sửa đổi, đánh cắp hoặc xoá dữ liệu của bạn.
  • Xem xét tất cả các thao tác. Luôn xem xét cẩn thận các thao tác mà ứng dụng AI thực hiện thay mặt bạn để đảm bảo rằng các thao tác đó là chính xác và phù hợp với ý định của bạn.