- Primeros pasos
- Mejores prácticas
- Tenant
- Acerca del contexto de tenant
- Buscar recursos en un tenant
- Gestionar robots
- Conexión de los robots a Orchestrator
- Almacenar credenciales de robots en CyberArk
- Almacenar contraseñas de robots desatendidos en Azure Key Vault (solo lectura)
- Almacenar las credenciales de robots desatendidos en HashiCorp Vault (solo lectura)
- Almacenamiento de credenciales de Unattended Robot en AWS Secrets Manager (solo lectura)
- Eliminar sesiones desconectadas y sin respuesta no atendidas
- Autenticación de Robot
- Autenticación de robots con credenciales de cliente
- Configurar las capacidades de automatización
- Soluciones
- Auditoría
- Configuración
- Registro
- Cloud Robots
- Descripción general de Cloud Robots
- Ejecución de automatizaciones unattended utilizando robots en la nube: VM
- Cargar tu propia imagen
- Reutilizar imágenes de máquina personalizadas (para grupos manuales)
- Restablecer credenciales para una máquina (para grupos manuales)
- Supervisión
- Actualizaciones de seguridad
- Pedir una prueba
- Preguntas frecuentes
- Configuración de VPN para robots en la nube
- Configurar una conexión de ExpressRoute
- Transmisión en vivo y control remoto
- Automation Suite Robots
- Contexto de carpetas
- Procesos
- Trabajos
- Apps
- Desencadenadores
- Registros
- Supervisión
- Índices
- Colas
- Activos
- Sobre los activos
- Gestión de Activos en Orchestrator
- Gestión de Activos en Studio
- Almacenar activos en Azure Key Vault (solo lectura)
- Almacenamiento de activos en HashiCorp Vault (solo lectura)
- Almacenamiento de activos en AWS Secrets Manager (solo lectura)
- Almacenamiento de activos en Google Secret Manager (solo lectura)
- Conexiones
- Reglas empresariales
- Depósitos de almacenamiento
- Servidores MCP
- Pruebas de Orchestrator
- Servicio de catálogo de recursos
- Integraciones
- Solución de problemas
Guía del usuario de Orchestrator
Los servidores MCP de UiPath requieren autenticación en cada solicitud HTTP. No hay transferencia de autenticación basada en sesión. Incluso después de establecer una sesión de MCP, cada solicitud posterior debe incluir un encabezado Authorization: Bearer <token> válido.
El encabezado mcp-session-id es solo para la gestión del estado del protocolo MCP. No es un mecanismo de autenticación.
Métodos de autenticación
Hay cuatro formas de obtener un token para acceder a un servidor MCP de UiPath:
| Método | Origen del token | Ámbitos y permisos necesarios |
|---|---|---|
| Flujo de OAuth de MCP | Automático, gestionado por el IDE | Gestionado por el flujo de descubrimiento |
| Personal access token (PAT) | Interfaz de usuario de UiPath Cloud | Selecciona OR.Jobs y OR.Execution en el recurso Acceso a la API de Orchestrator . |
| Aplicación externa | Admin > External Apps | Configura OR.Execution y OR.Jobs en la aplicación. En el momento de la solicitud del token, incluye OR.Default para controlar el comportamiento de enrutamiento. |
| Inicio de sesión interactivo (CLI) | uipath auth Comando CLI | Concedido automáticamente durante el inicio de sesión |
Cuándo utilizar cada método
El método correcto depende de si hay un humano presente en el momento del inicio de sesión y de si el servidor MCP expone los conectores de Integration Service.
| Escenario | Método recomendado | Notas |
|---|---|---|
| Utilizar un IDE (VS Code, GitHub Copilot) | Flujo de OAuth de MCP | El IDE gestiona automáticamente el descubrimiento, el inicio de sesión y la actualización del token. No hay nada que configurar más allá de la URL del servidor MCP. |
| Cargas de trabajo automatizadas o unattended (canales de CI/CD, cuentas de servicio, microservicios, procesos de larga duración) | Aplicación externa: ámbitos de aplicación | El único método que funciona sin interacción del usuario. Solicite OR.Default para la configuración más sencilla. |
| Conexión desde una aplicación de terceros (Copilot Studio, ChatGPT) | Aplicación externa: ámbitos de usuario | Crea una aplicación confidencial con ámbitos de usuario, configura manualmente los ajustes OAuth de la aplicación de terceros y haz que el usuario inicie sesión a través de la aplicación. |
| Crear un cliente MCP de escritorio o móvil | Aplicación externa: aplicación no confidencial con PKCE | Ningún secreto de cliente puede filtrarse y PKCE protege el flujo de código de autorización. El usuario inicia sesión a través de un navegador y la aplicación recibe un token en su nombre. |
| Desarrollar o probar localmente (presencia humana) | Inicio de sesión interactivo (CLI) o token de acceso personal | El inicio de sesión interactivo requiere un comando y hereda los permisos de tu carpeta; los tokens duran una hora. Los PAT tienen una caducidad configurable de hasta un año y funcionan con cualquier cliente HTTP. |
| El servidor MCP utiliza actividades de Integration Service | Flujo de OAuth de MCP, inicio de sesión interactivo o aplicación externa: ámbitos de usuario | Las actividades de Integration Service requieren contexto de usuario. Las credenciales de cliente y PAT se conectan al servidor MCP, pero la herramienta respaldada por Integration Service pide tiempo de espera. |
Requisitos comunes
Los siguientes requisitos se aplican independientemente del método de autenticación elegido.
Cada solicitud debe autenticarse
No hay arrastre de sesiones. Cada solicitud HTTP debe incluir un encabezado Authorization: Bearer <token> válido. El encabezado mcp-session-id es solo para el estado del protocolo MCP.
Formato de URL
La URL del punto final del servidor MCP siempre tiene el siguiente formato:
https://cloud.uipath.com/{org}/{tenant}/agenthub_/mcp/{folderKey}/{slug}
https://cloud.uipath.com/{org}/{tenant}/agenthub_/mcp/{folderKey}/{slug}
Donde:
{org}: el nombre de su organización de UiPath{tenant}: su nombre de tenant{folderKey}: el GUID de la carpeta (no el nombre de la carpeta o la ruta){slug}: el slug de la URL del servidor MCP
Permiso mínimo de carpeta
La identidad autenticada (usuario o aplicación externa) debe tener el permiso MCPServers.View en la carpeta que contiene el servidor MCP. Este permiso se incluye en los roles de Automation User, Automation Developer y Folder Administrator .
Permiso adicional para servidores codificados y de comando
Los servidores MCP codificados y de comando ejecutan trabajos de Orchestrator. La identidad también debe tener el permiso Jobs.Create . Este permiso se incluye en los roles Automation User y Automation Developer .
Limitación de Integration Service
Si el servidor MCP expone herramientas respaldadas por actividades de Integration Service, solo funciona la autenticación de contexto de usuario (inicio de sesión interactivo o flujo OAuth de MCP). Las credenciales de cliente de aplicación externa y PAT se conectan al servidor MCP, pero la herramienta respaldada por Integration Service pide tiempo de espera.
Validación de tokens
Los servidores MCP de UiPath validan los tokens utilizando los siguientes esquemas, en secuencia. La primera coincidencia gana:
| Esquema | Audiencia | Utilizado por |
|---|---|---|
| Token de acceso de robot | Orchestrator | Tokens de ejecución de robot |
| Token de acceso OAuth de identidad | OrchestratorApiUserAccess | Inicio de sesión interactivo |
| Token de acceso personal de identidad | UiPath.Orchestrator | Tokens de acceso personal, tokens de aplicación externa, tokens de flujo OAuth de MCP |
Todos los esquemas aplican la validación de la firma, la validación del emisor, la validación de la audiencia, la validación de la caducidad y la coincidencia del ID de la partición (reclamación prt_id ) en la organización desde la URL de la solicitud.