- 基本情報
- ベスト プラクティス
- テナント
- レジストリ
- Cloud ロボット
- Automation Suite ロボット
- フォルダー コンテキスト
- プロセス
- ジョブ
- Apps (アプリ)
- トリガー
- ログ
- 監視
- インデックス
- キュー
- アセット
- コネクション
- ビジネス ルール
- ストレージ バケット
- MCP サーバー
- Orchestrator のテスト
- リソース カタログ サービス
- Integrations
- トラブルシューティング
Orchestrator ユーザー ガイド
UiPath MCP サーバーでは、HTTP 要求ごとに認証が必要です。セッションベースの認証の繰り越しはありません。MCP セッションが確立された後でも、後続のすべての要求には有効な Authorization: Bearer <token> ヘッダーを含める必要があります。
mcp-session-idヘッダーは、MCP プロトコル状態管理専用です。認証機構ではありません。
認証方法
UiPath MCP サーバーにアクセスするためのトークンを取得するには、以下の 4 つの方法があります。
| メソッド | トークンのソース | 必要な範囲と権限 |
|---|---|---|
| MCP OAuth フロー | 自動、IDE によって処理されます | 検出フローによって処理されます。 |
| 個人用アクセス トークン (PAT) | UiPath クラウド UI | [Orchestrator API アクセス] リソースから [OR.Jobs] と [OR.Execution] を選択します。 |
| 外部アプリケーション | 管理者 > External Apps | アプリで OR.Execution と OR.Jobs を設定します。トークン要求時に、ルーティング動作を制御する OR.Default を含めます。 |
| 対話型ログイン (CLI) | uipath auth CLI コマンド | ログイン時に自動的に付与されます |
各方法を使用する状況
適切な方法は、サインイン時に人間が存在するかどうか、および MCP サーバーが Integration Service コネクタを公開しているかどうかによって異なります。
| シナリオ | 推奨される方法 | 備考 |
|---|---|---|
| IDE を使用する (VS Code、GitHub Copilot) | MCP OAuth フロー | IDE は、検出、ログイン、およびトークンの更新を自動的に処理します。MCP サーバーの URL 以外に設定するものはありません。 |
| 自動化または無人のワークロード (CI/CD パイプライン、サービス アカウント、マイクロサービス、長期実行プロセス) | 外部アプリケーション - アプリケーション スコープ | ユーザーの操作なしで機能する唯一のメソッドです。最もシンプルな設定のリクエスト OR.Default 。 |
| サードパーティ アプリ (Copilot Studio、ChatGPT) から接続する | 外部アプリケーション - ユーザー スコープ | ユーザーの範囲が指定された機密アプリを作成し、サードパーティ アプリの OAuth 設定を手動で構成して、ユーザーにアプリからログインさせます。 |
| デスクトップまたはモバイル MCP クライアントの構築 | 外部アプリケーション - PKCE を使用する非機密アプリ | クライアント シークレットが漏洩することはなく、PKCE によって認可コード フローが保護されます。ユーザーがブラウザーからログインすると、アプリがユーザーに代わってトークンを受け取ります。 |
| ローカルで開発またはテストする (人間が存在する場合) | 対話型ログイン (CLI) または 個人用アクセス トークン | 対話型ログインでは 1 つのコマンドが必要で、フォルダーの権限が継承されます。トークンの有効期限は 1 時間です。PAT の有効期限は最大 1 年間設定可能で、任意の HTTP クライアントで動作します。 |
| MCP サーバーは Integration Service アクティビティを使用します。 | MCP OAuth フロー、 対話型ログイン、または 外部アプリケーション - ユーザー スコープ | Integration Service のアクティビティにはユーザー コンテキストが必要です。PAT とクライアント資格情報は MCP サーバーに接続しますが、Integration Service でサポートされるツールの呼び出しはタイムアウトします。 |
一般的な要件
選択した認証方法に関係なく、以下の要件が適用されます。
すべての要求を認証する必要があります
セッションの繰り越しはありません。すべての HTTP 要求には、有効な Authorization: Bearer <token> ヘッダーが含まれている必要があります。mcp-session-idヘッダーは、MCP プロトコル状態専用です。
URL の形式
MCP サーバーのエンドポイント URL は常に次の形式です。
https://cloud.uipath.com/{org}/{tenant}/agenthub_/mcp/{folderKey}/{slug}
https://cloud.uipath.com/{org}/{tenant}/agenthub_/mcp/{folderKey}/{slug}
場所:
{org}: UiPath の組織名{tenant}: テナント名{folderKey}: フォルダーの GUID です (フォルダー名やパスではありません)。{slug}: MCP サーバーの URL スラグ
フォルダーの最小権限
認証された ID (ユーザーまたは外部アプリ) には、MCP サーバーを含むフォルダーで MCPServers.View アクセス許可が必要です。この権限は、 Automation User、 Automation Developer、 Folder Administrator の各ロールに含まれています。
コード化されたサーバーとコマンド サーバーに対する追加のアクセス許可
コード化された MCP サーバーとコマンド MCP サーバーは、Orchestrator のジョブを実行します。この ID には、 Jobs.Create 権限も必要です。この権限は、 Automation User ロールと Automation Developer ロールに含まれています。
Integration Service の制限事項
MCP サーバーが Integration Service アクティビティによってサポートされるツールを公開している場合、ユーザー コンテキスト認証 (対話型ログイン または MCP OAuth フロー) のみが機能します。PAT と外部アプリ クライアントの資格情報は MCP サーバーに接続しますが、Integration Service でサポートされるツールの呼び出しはタイムアウトします。
トークンの検証
UiPath MCP サーバーは、以下のスキームを使用してトークンを順番に検証します。最初の試合の勝利:
| スキーム | オーディエンス | 使用者 |
|---|---|---|
| ロボットのアクセス トークン | Orchestrator | ロボット実行トークン |
| Identity OAuth アクセス トークン | OrchestratorApiUserAccess | 対話型ログイン |
| ID 個人用アクセス トークン | UiPath.Orchestrator | 個人用アクセス トークン、外部アプリケーション トークン、MCP OAuth フロー トークン |
すべてのスキームでは、署名の検証、発行者の検証、対象ユーザーの検証、有効期限の検証、および要求 URL からの組織に対するパーティション ID (prt_id クレーム) の照合が適用されます。