הגדרת שרתי MCP של Google Workspace

‫Google Workspace מציע שרתי Model Context Protocol‏ (MCP) מרוחקים שמאפשרים לסוכני AI לקיים אינטראקציה מאובטחת עם נתונים של Google Workspace. הגדרת שרתי ה-MCP של Google Workspace מאפשרת לאפליקציות AI כמו Gemini CLI,‏ Claude או סביבות פיתוח משולבות (IDE) לבצע פעולות באפליקציות של Google Workspace כמו Gmail,‏ Google Drive ויומן Google. לכל מוצר של Google Workspace יש שרת MCP ייעודי משלו.

שרתי ה-MCP של Google Workspace מספקים דרך סטנדרטית לסוכני AI:

  • קריאת נתונים: חיפוש אימיילים, אחזור קבצים ורישום אירועים ביומן.
  • יוצרים קמפיינים: ליצור טיוטות של אימיילים, להעלות קבצים ולקבוע פגישות.
  • שמירה על אבטחה: יורשים את אותן הרשאות ואמצעי בקרה לניהול נתונים כמו המשתמש.

דרישות מוקדמות

  • פרויקט ב-Google Cloud. כדי ליצור פרויקט, אפשר לעיין במאמר בנושא יצירת פרויקט.

  • לקוח MCP, כמו Gemini CLI.

  • כדי להריץ את הפקודות שבדף הזה, צריך להגדיר את ה-CLI של gcloud באחת מסביבות הפיתוח הבאות:

    Cloud Shell

    כדי להשתמש בטרמינל אונליין שכבר מוגדר בו ה-CLI של gcloud, צריך להפעיל את Cloud Shell:

    הפעלת Cloud Shell

    מעטפת מקומית

    כדי להשתמש בסביבת פיתוח מקומית:

    1. מתקינים את Google Cloud CLI. אם התקנתם את ה-CLI של gcloud בעבר, צריך לוודא שפועלת אצלכם הגרסה העדכנית ביותר של gcloud components update.
    2. אם אתם משתמשים בספק זהויות חיצוני (IdP), היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם. למידע נוסף, ראו כניסה ל-CLI של gcloud באמצעות הזהות המאוחדת.
    3. מאתחלים את ה-CLI של gcloud.

הגדרת שרתי Google Workspace MCP

כדי להשתמש בשרתי ה-MCP של Google Workspace, צריך להפעיל אותם בפרויקט Google Cloud ואז להגדיר את לקוח ה-MCP כך שיתחבר אליהם.

הפעלת ממשקי ה-API

כדי להשתמש בשרתי Google Workspace MCP, צריך להפעיל את ממשקי ה-API הבאים בפרויקט ב-Google Cloud:

  • ממשק ה-API של Gmail
  • Google Drive API
  • Google Calendar API

  • People API

CLI

gcloud services enable gmail.googleapis.com \
drive.googleapis.com \
calendar-json.googleapis.com \
people.googleapis.com --project=PROJECT_ID

מחליפים את PROJECT_ID במזהה הפרויקט ב-Google Cloud.

המסוף

מפעילים את ממשקי ה-API במסוף Google Cloud:

הפעלת ממשקי ה-API

הפעלת שירותי MCP

כדי להפעיל את רכיבי ה-MCP לכל מוצר של Google Workspace, צריך להפעיל את השירותים הבאים בפרויקט Google Cloud:

  • Gmail MCP API
  • Google Drive MCP API
  • Google Calendar MCP API

  • People MCP API

CLI

gcloud services enable gmailmcp.googleapis.com \
drivemcp.googleapis.com \
calendarmcp.googleapis.com \
people.googleapis.com --project=PROJECT_ID

מחליפים את PROJECT_ID במזהה הפרויקט ב-Google Cloud.

המסוף

מפעילים את שירותי ה-MCP במסוף Google Cloud:

הפעלת שירותי MCP

שרתי ה-MCP של Google Workspace משתמשים ב-OAuth 2.0 לאימות ולהרשאה. צריך להגדיר את מסך ההסכמה ל-OAuth לפני שיוצרים מזהה לקוח OAuth.

  1. במסוף Google Cloud, עוברים אל Google Auth Platform > Branding.

    מעבר לדף Branding

  2. אם כבר הגדרתם את פלטפורמת האימות של Google, אתם יכולים לקבוע את ההגדרות הבאות של מסך ההסכמה ל-OAuth בקטעים Branding,‏ Audience וData Access. אם מופיעה ההודעה Google Auth Platform not configured yet, לוחצים על Get Started:

    1. בקטע App Information (פרטי האפליקציה), בשדה App name (שם האפליקציה), מקלידים Workspace MCP Servers.
    2. בקטע User support email, בוחרים את כתובת האימייל או קבוצת Google המתאימה.
    3. לוחצים על הבא.
    4. בקטע Audience, לוחצים על Internal. אם אי אפשר לבחור באפשרות פנימי, בוחרים באפשרות חיצוני.
    5. לוחצים על הבא.
    6. בקטע Contact Information, מזינים כתובת אימייל שאליה אפשר לשלוח התראות על שינויים בפרויקט.
    7. לוחצים על Next.
    8. בקטע Finish, קוראים את המדיניות של Google בנושא נתוני משתמשים בשירותי API. אם אתם מסכימים, סמנו את התיבה I agree to the Google API Services: User Data Policy.
    9. לוחצים על Continue.
    10. לוחצים על יצירה.
    11. אם בחרתם באפשרות חיצוני לסוג המשתמש, מוסיפים משתמשי בדיקה:
      1. לוחצים על קהל.
      2. בקטע משתמשי בדיקה, לוחצים על הוספת משתמשים.
      3. מזינים את כתובת האימייל שלכם ושל משתמשים מורשים אחרים לבדיקה, ואז לוחצים על שמירה.

  3. לוחצים על גישה לנתונים > הוספה או הסרה של היקפי הרשאה. יופיע חלונית עם רשימה של היקפי הרשאות לכל API שהפעלתם בפרויקט בענן שלכם ב-Google Cloud.

    1. בקטע Manually add scopes (הוספת היקפי הרשאה באופן ידני), מדביקים את היקפי ההרשאה של שרתי ה-MCP שבהם רוצים להשתמש:

      • Gmail:
        • https://www.googleapis.com/auth/gmail.readonly
        • https://www.googleapis.com/auth/gmail.compose
      • Google Drive:
        • https://www.googleapis.com/auth/drive.readonly
        • https://www.googleapis.com/auth/drive.file
      • יומן Google:
        • https://www.googleapis.com/auth/calendar.calendarlist.readonly
        • https://www.googleapis.com/auth/calendar.events.freebusy
        • https://www.googleapis.com/auth/calendar.events.readonly
      • People API:
        • https://www.googleapis.com/auth/directory.readonly
        • https://www.googleapis.com/auth/userinfo.profile
        • https://www.googleapis.com/auth/contacts.readonly

    2. לוחצים על הוספה לטבלה.

    3. לוחצים על עדכון.

    4. אחרי שבוחרים את היקפי ההרשאות שנדרשים לאפליקציה, לוחצים על שמירה בדף גישה לנתונים.

הגדרת לקוח MCP

כדי להוסיף את שרת ה-MCP המרוחק של Google Workspace ללקוח ה-MCP, פועלים לפי ההוראות של הלקוח.

Gemini CLI

כדי להוסיף את שרתי ה-MCP המרוחקים של Google Workspace ל-Gemini CLI, מוסיפים את הגדרות השרת לקובץ settings.json.

  1. יצירת מזהה לקוח וסוד לקוח ב-OAuth 2.0:

    1. במסוף Google Cloud, עוברים אל Google Auth Platform > Clients > Create Client.

      מעבר אל Create Client

    2. בוחרים באפשרות אפליקציה למחשב כסוג האפליקציה.

    3. הזן שם.

    4. לוחצים על Create ומעתיקים את מזהה הלקוח ואת סוד הלקוח.

  2. פותחים או יוצרים את קובץ התצורה ~/.gemini/settings.json.

  3. מוסיפים את ההגדרה mcpServers אל settings.json:

    {
  "mcpServers": {
    "gmail": {
      "httpUrl": "https://gmailmcp.googleapis.com/mcp/v1",
      "oauth": {
        "enabled": true,
        "clientId": "OAUTH_CLIENT_ID",
        "clientSecret": "OAUTH_CLIENT_SECRET",
        "scopes": [
          "https://www.googleapis.com/auth/gmail.readonly",
          "https://www.googleapis.com/auth/gmail.compose"
        ]
      }
    },
    "drive": {
      "httpUrl": "https://drivemcp.googleapis.com/mcp/v1",
      "oauth": {
        "enabled": true,
        "clientId": "OAUTH_CLIENT_ID",
        "clientSecret": "OAUTH_CLIENT_SECRET",
        "scopes": [
          "https://www.googleapis.com/auth/drive.readonly",
          "https://www.googleapis.com/auth/drive.file"
        ]
      }
    },
    "calendar": {
      "httpUrl": "https://calendarmcp.googleapis.com/mcp/v1",
      "oauth": {
        "enabled": true,
        "clientId": "OAUTH_CLIENT_ID",
        "clientSecret": "OAUTH_CLIENT_SECRET",
        "scopes": [
          "https://www.googleapis.com/auth/calendar.calendarlist.readonly",
          "https://www.googleapis.com/auth/calendar.events.freebusy",
          "https://www.googleapis.com/auth/calendar.events.readonly"
        ]
      }
    },
    "people": {
      "httpUrl": "https://people.googleapis.com/mcp/v1",
      "oauth": {
        "enabled": true,
        "clientId": "OAUTH_CLIENT_ID",
        "clientSecret": "OAUTH_CLIENT_SECRET",
        "scopes": [
          "https://www.googleapis.com/auth/directory.readonly",
          "https://www.googleapis.com/auth/userinfo.profile",
          "https://www.googleapis.com/auth/contacts.readonly"
        ]
      }
    }
  }
}

    מחליפים את מה שכתוב בשדות הבאים:

    • OAUTH_CLIENT_ID: מזהה הלקוח שיצרתם.
    • OAUTH_CLIENT_SECRET: סוד הלקוח שיצרתם.

  4. חיסכון של settings.json.

  5. מפעילים את Gemini CLI:

    gemini

  6. ב-Gemini CLI, מריצים את הפקודה הבאה כדי לבצע אימות בכל שרת MCP:

    /mcp auth gmail
    1. כשמופיעה הנחיה, מקישים על 1 כדי לפתוח דף אימות בדפדפן. אם אתם עובדים באמצעות SSH, פועלים לפי ההוראות ב-CLI.
    2. נכנסים לחשבון Google.
    3. בודקים את היקף ההרשאות ל-OAuth שנדרש ולוחצים על אישור.
    4. תוצג הודעה שמאשרת שהאימות בוצע בהצלחה.

    5. חוזרים על הפעולות האלה לכל שרת MCP:

      • /mcp auth drive
      • /mcp auth calendar
      • /mcp auth people

  7. ב-Gemini CLI, מריצים את הפקודה /mcp list כדי לראות את שרתי ה-MCP שהוגדרו ואת הכלים שלהם.

    התגובה אמורה להיראות כך:

    🟢 gmail - Ready (9 tools)
  Tools:
  - create_draft
  - get_thread
  - label_message
  - label_thread
  - list_drafts
  - list_labels
  - search_threads
  - unlabel_message
  - unlabel_thread

🟢 drive - Ready (7 tools)
  Tools:
  - create_file
  - download_file_content
  - get_file_metadata
  - get_file_permissions
  - list_recent_files
  - read_file_content
  - search_files

🟢 calendar - Ready (8 tools)
  Tools:
  - create_event
  - delete_event
  - get_event
  - list_calendars
  - list_events
  - respond_to_event
  - suggest_time
  - update_event

🟢 people - Ready (3 tools)
  Tools:
  - get_user_profile
  - search_contacts
  - search_directory_people

שרת ה-MCP המרוחק מוכן לשימוש ב-Gemini CLI.

Claude

כדי להשתמש בשרתי ה-MCP המרוחקים של Google Workspace עם Claude.ai או Claude Desktop, צריך מינוי לתוכנית Claude Enterprise,‏ Pro,‏ Max או Team.

כדי להוסיף את שרתי ה-MCP המרוחקים של Google Workspace ל-Claude, צריך להגדיר מחבר מותאם אישית עם מזהה לקוח וסוד של OAuth.

  1. יצירת מזהה לקוח וסוד לקוח ב-OAuth 2.0:

    1. במסוף Google Cloud, עוברים אל Google Auth Platform > Clients > Create Client.

      מעבר אל Create Client

    2. בוחרים באפשרות Web application (אפליקציית אינטרנט) כסוג האפליקציה.

    3. הזן שם.

    4. בקטע Authorized redirect URIs (כתובות URI מורשות להפניה אוטומטית), לוחצים על + Add URI (הוספת כתובת URI) ואז מוסיפים את https://claude.ai/api/mcp/auth_callback בשדה URIs (כתובות URI).

    5. לוחצים על Create ומעתיקים את מזהה הלקוח ואת סוד הלקוח.

  2. מגדירים את שרת ה-MCP ב-Claude:

    1. ב-Claude.ai או ב-Claude Desktop, עוברים אל Settings (הגדרות) או אל Admin settings (הגדרות אדמין) > Connectors (מחברים).
    2. לוחצים על הוספת מחבר בהתאמה אישית.
    3. מזינים את פרטי החיבור למוצר Google Workspace שרוצים להוסיף:
      • שם השרת: שם לשרת, כמו Gmail.
      • כתובת URL של שרת MCP מרוחק: כתובת ה-URL של מוצר Google Workspace, למשל אחת מהכתובות הבאות:
        • ‫Gmail: https://gmailmcp.googleapis.com/mcp/v1
        • ‫Google Drive: https://drivemcp.googleapis.com/mcp/v1
        • יומן Google: ‏ https://calendarmcp.googleapis.com/mcp/v1
        • People API: https://people.googleapis.com/mcp/v1
    4. בהגדרות מתקדמות, מזינים את מזהה הלקוח ב-OAuth ואת סוד הלקוח ב-OAuth.
    5. לוחצים על הוספה.
    6. חוזרים על השלבים האלה לכל מוצר של Google Workspace שרוצים להוסיף.

אחרים

להרבה אפליקציות AI יש דרכים להתחבר לשרת MCP מרוחק. בדרך כלל צריך להזין פרטים על השרת, כמו השם שלו, נקודות הקצה, פרוטוקול התעבורה ושיטת האימות. עבור שרתי ה-MCP המרוחקים של Google Workspace, מזינים את הפרטים הבאים:

  • שם השרת: googleworkspace

  • שרתים: לכל מוצר של Google Workspace יש כתובת URL משלו לשרת:

    • ‫Gmail: https://gmailmcp.googleapis.com/mcp/v1
    • ‫Google Drive: https://drivemcp.googleapis.com/mcp/v1
    • יומן Google: ‏ https://calendarmcp.googleapis.com/mcp/v1
    • People API: https://people.googleapis.com/mcp/v1

  • Transport: HTTP

  • אימות: שרת ה-MCP המרוחק של Google Workspace משתמש ב-OAuth 2.0. פרטים נוספים זמינים במאמר מידע על אימות והרשאה.

לפרטים נוספים על חיבור סוגים שונים של לקוחות, אפשר לעיין במאמר בנושא הגדרת MCP באפליקציית AI.

בדיקת שרתי Google Workspace MCP

אחרי שמגדירים את לקוח ה-MCP, אפשר לוודא שהחיבור תקין על ידי הרצת כמה הנחיות לבדיקה.

כדאי לשאול את לקוח ה-MCP את השאלות הבאות:

  • "מי אני?"

    הלקוח משתמש ב-people.get_user_profile כדי לאחזר את פרטי פרופיל המשתמש שלכם ב-Google Workspace.

  • "סכם את הקובץ 'תוכנית שיווק'".

    הלקוח קורא ל-drive.search_files כדי לאתר את 'תוכנית השיווק', ואז משתמש ב-drive.read_file_content כדי לאחזר את התוכן שלה ולסכם אותו.

  • "What did Ariel say in her last email about our marketing plan?"

    הלקוח מסנן את האימיילים מאת אריאל באמצעות gmail.search_threads, מאחזר את התוכן של השרשור האחרון באמצעות gmail.get_thread, ואז מסכם אותו בשבילכם.

  • "תנסח אימייל אל ariel@example.com ותציין בו שאני מאשר את תוכנית השיווק".

    הלקוח משתמש ב-gmail.create_draft כדי ליצור אימייל בתיקיית הטיוטות, וכך תוכלו לבדוק אותו ולשלוח אותו מ-Gmail.

  • "מתי הפגישה הבאה שלי עם אריאל?"

    הלקוח בודק את לוח הזמנים שלך באמצעות calendar.list_events ומפרט את הפגישה הבאה שלך עם אריאל.

אם הכלים פועלים בהצלחה ומקבלים תשובות רלוונטיות, השרתים של Google Workspace MCP מוגדרים בצורה נכונה.

פתרון בעיות

אם נתקלים בבעיות בהתחברות לשרתי ה-MCP, אפשר לבדוק אם יש שגיאות ביומני OAuth. צריך לבקש מהאדמין לבדוק את האירועים ביומן של OAuth בכלי לחקירת אבטחה.

מוצרים נתמכים

המוצרים הבאים של Google Workspace תומכים בשרתים של Google Workspace MCP ומציעים את הכלים הבאים:

  • ‫Gmail
    • create_draft
    • get_thread
    • label_message
    • label_thread
    • list_drafts
    • list_labels
    • search_threads
    • unlabel_message
    • unlabel_thread
  • Google Drive
    • create_file
    • download_file_content
    • get_file_metadata
    • get_file_permissions
    • list_recent_files
    • read_file_content
    • search_files
  • יומן Google
    • create_event
    • delete_event
    • get_event
    • list_calendars
    • list_events
    • respond_to_event
    • suggest_time
    • update_event
  • People API
    • get_user_profile
    • search_contacts
    • search_directory_people

שיקול אבטחה חשוב: החדרת הנחיות עקיפה

כשחושפים מודל שפה לנתונים לא מהימנים, יש סיכון למתקפת החדרת הנחיות עקיפה. מכיוון שללקוחות MCP כמו Gemini CLI יש גישה לכלים ולממשקי API עוצמתיים דרך שרתי ה-MCP של Google Workspace, הם יכולים לקרוא, לשנות ולמחוק נתונים בחשבון Google שלכם.

כדי לצמצם את הסיכונים האלה, כדאי לפעול לפי השיטות המומלצות הבאות:

  • השתמשו רק בכלים מהימנים. לעולם אל תחברו שרתי MCP של Google Workspace לאפליקציות לא מהימנות או לא מאומתות.
  • חשוב להיזהר מקלט לא מהימן. מומלץ לא לבקש מלקוח ה-MCP לעבד אימיילים, מסמכים או משאבים אחרים ממקורות לא מאומתים. הקלט הזה עשוי להכיל הוראות נסתרות שיכולות לחטוף את הסשן שלכם, ולאפשר לתוקף לשנות, לגנוב או למחוק את הנתונים שלכם.
  • בדיקת כל הפעולות. חשוב תמיד לבדוק בקפידה את הפעולות שמבצע לקוח ה-AI בשמכם כדי לוודא שהן נכונות ותואמות לכוונות שלכם.