Orchestrator ユーザー ガイド

• ユーザー ログイン不要の無人または自動アクセス (クライアント資格情報の付与)
• Copilot Studio や ChatGPT (認可コードの付与) など、独自の OAuth フローを実行するサードパーティの連携
• クライアント シークレットを安全に保存できないデスクトップ アプリまたはモバイル アプリ (PKCE による認可コードの付与)

• アプリが 機密 か 非機密か。
• アプリケーション スコープとユーザー スコープのどちらを使用するか。

機密アプリと非機密アプリ​

アプリケーション スコープとユーザー スコープ​

• アプリケーション スコープ → client_credentials のみ許可されます
• ユーザー スコープ → authorization_code のみが許可されます
• 両方→両方が許可されます

前提条件​

• UiPath では、[ 管理] > [外部 Apps ] にアクセスできます。
• フォルダーへのアクセス権は Orchestrator で管理できます。

外部アプリケーションを作成する​

1. UiPath に移動し、[ 管理]、[ External Apps] の順に選択します。

2. [アプリケーションを追加] を選択します。

3. アプリの名前を入力し、アプリの種類は [機密 ] のままにします。

4. [ アプリケーション スコープ] タブを選択します。

   重要:

   スコープを [ユーザー スコープ] タブではなく [アプリケーション スコープ] タブに追加します。

5. 次のスコープを追加します。

   • OR.Execution: ツールを一覧表示するために必要です。MCP サーバーは、 Orchestrator ListReleases API を呼び出して、 tools/listを処理するときにプロセスのメタデータを取得し、そのエンドポイントは OR.Executionで承認されます。
   • OR.Jobs: ツールの実行に必要です。プロセスをツール (UiPath、Coded、Command) として実行するすべての種類の MCP サーバーは、OR.Jobsで認可された Orchestrator StartJobs API を呼び出します。

6. [ 追加] を選択し、[ クライアント ID ] と [ クライアント シークレット] をコピーします。

外部アプリをフォルダーに割り当てます​

1. Orchestrator で、[ テナント] > [アクセス権を管理] に移動するか、特定のフォルダーのアクセス権設定に移動します。

2. 外部アプリを Automation User ロールで追加します。

   このロールには、MCP サーバーにアクセスするために必要な MCPServers.View 権限が含まれます。

外部アプリを使用して認証する​

uipath auth --client-id "<your-client-id>" \
  --client-secret "<your-client-secret>" \
  --base-url "https://cloud.uipath.com/{org}/{tenant}" \
  --scope "OR.Default"
uipath auth --client-id "<your-client-id>" \
  --client-secret "<your-client-secret>" \
  --base-url "https://cloud.uipath.com/{org}/{tenant}" \
  --scope "OR.Default"

uipath auth --client-id "<your-client-id>" \
  --client-secret "<your-client-secret>" \
  --base-url "https://cloud.uipath.com/{org}/{tenant}" \
  --scope "OR.Default OR.Execution OR.Jobs"
uipath auth --client-id "<your-client-id>" \
  --client-secret "<your-client-secret>" \
  --base-url "https://cloud.uipath.com/{org}/{tenant}" \
  --scope "OR.Default OR.Execution OR.Jobs"

結果​

範囲の組み合わせを理解する​

• tools/list:MCP サーバーは odata/Releases/ListReleases を呼び出してプロセスメタデータを取得します。Releases コントローラーには OR.Executionが必要です。
• tools/call:MCPサーバーは odata/Jobs/StartJobs を呼び出してプロセスを実行します。ジョブ コントローラーには OR.Jobsが必要です。

• OR.Defaultのみをリクエストするのが最も簡単な設定です。Orchestrator は、各フォルダーで外部アプリが割り当てられているロールを確認します。Automation User ロールは、リリースとジョブの両方のアクセス権をカバーします。
• OR.Execution や OR.Jobs などの特定の範囲 (OR.Defaultの有無を問わない) を追加すると、フォルダーの解決の仕組みが変わります。Orchestrator はスコープ要求とフォルダー ロールの権限の両方を確認し、いずれかに合格するとアクセス権が付与されます。そのためには、すべての API 呼び出しに X-UIPATH-FolderKey ヘッダーが必要です。MCP サーバーは、トークンの範囲を検出し、必要に応じてフォルダーごとに呼び出しを行うことで、これを自動的に処理します。
• OR.Defaultを使用しない場合、特定のOR.* スコープによってフォルダー レベルのロール解決がバイパスされ、テナント内のすべてのフォルダーにアクセス許可が付与されます。X-UIPATH-FolderKey ヘッダーは API ルーティングに引き続き必要です。

既知の制限事項: GetFoldersForCurrentUser​

export UIPATH_FOLDER_KEY="<folder-guid>"
uipath run mcp-server
export UIPATH_FOLDER_KEY="<folder-guid>"
uipath run mcp-server

よくある間違い: マシンの資格情報と外部アプリ​

{"error":"invalid_scope","error_description":"..."}
{"error":"invalid_scope","error_description":"..."}

• MCP サーバーは、Integration Service アクティビティ (コネクタ) によってサポートされるツールを公開します。
• 独自の OAuth フローを実行するサードパーティ クライアント (Copilot、Studio、ChatGPT) と連携している。
• ユーザーごとの ID が必要であり、どのアプリが呼び出しているかではなく、ログインしたユーザーに基づくアクセス制御が必要です。

前提条件​

• UiPath では、[ 管理] > [外部 Apps ] にアクセスできます。
• フォルダーへのアクセス権は Orchestrator で管理できます。
• クライアント アプリケーションのリダイレクト URL がわかっている。

外部アプリケーションを作成する​

1. UiPath に移動し、[ 管理]、[ External Apps] の順に選択します。

2. [アプリケーションを追加] を選択します。

3. アプリの名前を入力し、アプリの種類は [機密 ] のままにします。

4. [ ユーザー スコープ] タブを選択します。

   重要:

   スコープを [アプリケーション スコープ] タブではなく [ユーザー スコープ] タブに追加します。

5. 次のスコープを追加します。

   • OR.Execution: ツールを一覧表示するために必要です。
   • OR.Jobs: ツール (コード化されたサーバーまたはコマンド サーバー) を実行するために必要です。

6. リダイレクト URL を追加します。これは、ログイン後にユーザーのブラウザーが送信されるアドレスです。クライアント アプリケーションから提供されたコールバック URL を使用します。

   Copilot Studio では、最初にダミーの URL を使用し、コネクションが作成された後に更新します。

7. [ 追加] を選択し、[ クライアント ID ] と [ クライアント シークレット] をコピーします。

フォルダーへのアクセス権を設定する​

1. Orchestrator で、[ テナント] > [アクセス権を管理] に移動するか、特定のフォルダーのアクセス権設定に移動します。

2. ログインするユーザーに Automation User、 Automation Developer、または Folder Administrator のロールを割り当てます。

   このロールは、ユーザーがフォルダーで実行できる操作を決定し、MCP サーバーにアクセスするために必要な MCPServers.View 権限を含める必要があります。

認可コード フローを実行します​

1. ユーザーを認可エンドポイントにリダイレクトします。

   assignment

   GET https://cloud.uipath.com/identity_/connect/authorize
     ?client_id=<your-client-id>
     &response_type=code
     &redirect_uri=<your-callback-url>
     &scope=OR.Default
   GET https://cloud.uipath.com/identity_/connect/authorize
     ?client_id=<your-client-id>
     &response_type=code
     &redirect_uri=<your-callback-url>
     &scope=OR.Default
   

2. ユーザーはブラウザーからログインし、 code パラメーターを指定してコールバック URL にリダイレクトされます。

3. サーバー側アプリケーションからトークンの認可コードを交換します。

   assignment

   POST https://cloud.uipath.com/identity_/connect/token
     Content-Type: application/x-www-form-urlencoded
   
     client_id=<your-client-id>
     &client_secret=<your-client-secret>
     &grant_type=authorization_code
     &code=<authorization-code>
     &redirect_uri=<your-callback-url>
   POST https://cloud.uipath.com/identity_/connect/token
     Content-Type: application/x-www-form-urlencoded
   
     client_id=<your-client-id>
     &client_secret=<your-client-secret>
     &grant_type=authorization_code
     &code=<authorization-code>
     &redirect_uri=<your-callback-url>
   

結果の​

バリアント: PKCE を使用する非機密アプリ​

1. 外部アプリケーションを作成する際は、[機密] ではなく [非機密] を選択します。[ ユーザー スコープ] タブのみを使用できます。OR.Executionを追加し、コード化されたサーバーまたはコマンド サーバーのOR.Jobsを追加し、リダイレクト URL を追加します。

2. 適切なロールを持つフォルダーには、アプリではないユーザーのみを割り当てます。

3. 次の PKCE ベースの認可フローを使用します。

   assignment

   # 1. Generate PKCE code verifier and challenge
   code_verifier = <random 64-byte base64url string>
   code_challenge = BASE64URL(SHA256(code_verifier))
   
   # 2. Redirect user to authorize (with PKCE challenge)
   GET https://cloud.uipath.com/identity_/connect/authorize
     ?client_id=<your-client-id>
     &response_type=code
     &redirect_uri=<your-callback-url>
     &scope=OR.Default
     &code_challenge=<code_challenge>
     &code_challenge_method=S256
   
   # 3. Exchange the code for a token (no client_secret; include code_verifier)
   POST https://cloud.uipath.com/identity_/connect/token
     Content-Type: application/x-www-form-urlencoded
   
     client_id=<your-client-id>
     &grant_type=authorization_code
     &code=<authorization-code>
     &redirect_uri=<your-callback-url>
     &code_verifier=<code_verifier>
   # 1. Generate PKCE code verifier and challenge
   code_verifier = <random 64-byte base64url string>
   code_challenge = BASE64URL(SHA256(code_verifier))
   
   # 2. Redirect user to authorize (with PKCE challenge)
   GET https://cloud.uipath.com/identity_/connect/authorize
     ?client_id=<your-client-id>
     &response_type=code
     &redirect_uri=<your-callback-url>
     &scope=OR.Default
     &code_challenge=<code_challenge>
     &code_challenge_method=S256
   
   # 3. Exchange the code for a token (no client_secret; include code_verifier)
   POST https://cloud.uipath.com/identity_/connect/token
     Content-Type: application/x-www-form-urlencoded
   
     client_id=<your-client-id>
     &grant_type=authorization_code
     &code=<authorization-code>
     &redirect_uri=<your-callback-url>
     &code_verifier=<code_verifier>
   

トークンの特性 (ユーザー スコープ)​

• sub がユーザーの GUID に設定され、sub_type が userに設定された JWT 。
• 聴衆: UiPath.Orchestrator。
• MCPサーバーはトークンをユーザーIDとして解決します—MCPサーバーレイヤーでは、トークンは対話型ログインと同じコードパスに従います。
• フォルダー キーのルーティングは適用されません (フォルダー間の単一の Orchestrator 呼び出し)。
• Integration Service アクティビティは動作します (ユーザー コンテキストが存在します)。
• 更新トークン: scope パラメーターに offline_access が含まれている場合に返されます。それなしでは戻ってきません。更新トークンの有効期間は 60 日です。

前提条件​

• 外部アプリケーションを管理できます。
• フォルダーへのアクセス権は Orchestrator で管理できます。
• コネクションは Copilot Studio で設定できます。

手順​

1. UiPath で、[ 管理] > [外部 Apps ] に移動し、[ アプリケーションを追加] を選択します。

2. アプリの種類を [機密] に設定します。

3. [リソース] で、OR.Execution スコープを設定した Orchestrator API アクセスを追加し、アプリケーション スコープとユーザー スコープの両方として追加します。

   MCP サーバーがコード化またはコマンド タイプの場合は、両方のスコープの下に OR.Jobs も追加します。

   [ アプリケーション スコープ ] タブにスコープを追加すると、手順 6 が機能します。ユーザー スコープのみを持つアプリを [アクセス権を管理] のフォルダーに割り当てることはできません。

4. ここでは、ダミーのリダイレクト URL を入力します (例: https://cloud.uipath.com)。

5. アプリケーションを保存し、[ クライアント ID ] と [ クライアント シークレット] をコピーします。

6. Orchestrator で、 Automation User ロールを持つ MCP サーバーを含むフォルダーに外部アプリを割り当てます。これは、手順 3 でアプリにアプリケーション スコープが与えられているためです。ユーザー スコープのみのアプリをフォルダーに割り当てることはできません。また、テナント ロール Allow to be Automation User を割り当てます。

7. Copilot Studio で、以下の値を使用して、 OAuth 2.0 手動 認証で MCP サーバーの URL を追加します。

   • クライアント ID: 手順 5 でコピーした値。
   • クライアント シークレット: 手順 5 でコピーした値
   • 認可 URL: https://cloud.uipath.com/identity_/connect/authorize
   • トークン URL: https://cloud.uipath.com/identity_/connect/token
   • 更新 URL: https://cloud.uipath.com/identity_/connect/token
   • 範囲: OR.Default

8. Copilot Studio で [ 作成 ] を選択します。Copilot Studio によってリダイレクト URL が生成されます。作成前はフィールドは灰色表示されます。

9. 生成されたリダイレクト URL をコピーして、[UiPath 管理] > [外部 Apps] の外部アプリのリダイレクト URL に追加します。

10. Copilot Studio に戻り、[ 接続] を選択します。

結果​

前提条件​

• 外部アプリケーションを管理できます。
• ChatGPT でアプリを作成できます。

ChatGPT からコールバック URL を取得します​

1. ChatGPT に移動し、プロフィールを選択してから、[ Apps]、[ アプリの作成] の順に選択します。
2. UiPath のアプリ名、説明、MCP サーバー URL を入力します。
3. [ 詳細設定] を選択します。
4. [登録方法] で、[DCR] から [ユーザー定義の OAuth クライアント] に変更します。
5. コールバック URL (https://chatgpt.com/connector/oauth/{callback_id}) をコピーします。
6. このブラウザー タブは開いたままにします。

UiPath で外部アプリケーションを作成します​

1. [管理] > [外部Apps] に移動し、[アプリケーションを追加] を選択します。

2. アプリの種類として [ 機密 ] を選択します。

3. [アプリケーション スコープ] タブと [ユーザー スコープ] タブの両方に [OR.Execution]、[OR.Jobs]、[OR.Folders] を追加します。

   [ アプリケーション スコープ ] タブにスコープを追加すると、次の手順 (フォルダーの割り当て) が機能します。ユーザー スコープのみを持つアプリを [アクセス権を管理] のフォルダーに割り当てることはできません。

4. [リダイレクト URL] フィールドに、ChatGPT からコピーしたコールバック URL を貼り付けます。

5. アプリケーションを保存し、[ クライアント ID ] と [ クライアント シークレット] をコピーします。

外部アプリをフォルダーに割り当てます​

1. Orchestrator で、MCP サーバーを含むフォルダーを開きます。
2. [ アクセス権を管理] > [割り当て] に移動します。
3. 外部アプリを Automation User ロールで追加します。

ChatGPT を構成する​

1. ChatGPT ブラウザー タブに戻ります。
2. 外部アプリからコピーした OAuth クライアント ID と クライアント シークレット を入力します。
3. [クライアント登録] > [トークン エンドポイントの認証方法] で [認証client_secret_basic] を選択します。
4. [ スコープ] > [既定のスコープ] で、既存の既定のスコープを非アクティブ化します。
5. [ スコープ] > [ベース スコープ] で、 OR.Defaultを追加します。
6. [作成] を選択します。

結果​