- 基本情報
- ベスト プラクティス
- テナント
- レジストリ
- Cloud ロボット
- Automation Suite ロボット
- フォルダー コンテキスト
- プロセス
- ジョブ
- Apps (アプリ)
- トリガー
- ログ
- 監視
- インデックス
- キュー
- アセット
- コネクション
- ビジネス ルール
- ストレージ バケット
- MCP サーバー
- Orchestrator のテスト
- リソース カタログ サービス
- Integrations
- トラブルシューティング
Orchestrator ユーザー ガイド
このページでは、UiPath MCP サーバーへの認証を行う際の一般的なエラーについて説明します。
401 未承認
トークンの有効期限が切れています
最も一般的な原因は、トークンの期限切れです。再認証:
uipath auth
uipath auth
URL の形式が正しくない
すべての URL セグメントが正しいことを確認します。
https://cloud.uipath.com/{org}/{tenant}/agenthub_/mcp/{folderKey}/{slug}
https://cloud.uipath.com/{org}/{tenant}/agenthub_/mcp/{folderKey}/{slug}
場所:
{org}: UiPath の組織名{tenant}: テナント名{folderKey}: フォルダーの GUID{slug}: MCP サーバーのスラグ名
間違った ID プロバイダーからのトークン
ログにオーディエンス検証エラーが表示される場合は、トークンが別のサービスに対して発行された可能性があります。正しい UiPath Cloud インスタンスに対して認証していることを確認します。
403 Forbidden
外部アプリまたはユーザーがフォルダーに割り当てられていない
必要な修正は、外部アプリに含まれるスコープによって異なります。
アプリにはアプリケーション スコープがある (ユーザー スコープの有無にかかわらず)
MCP サーバーを含むフォルダーにアプリを割り当てます。
- フォルダーを Orchestrator で開きます。
- [ アクセス権を管理] > [割り当て] に移動します。
- 外部アプリを検索します。
- 外部アプリに Automation User ロールを割り当てます。
アプリにはユーザー スコープのみがある
アプリ自体をフォルダーに割り当てることはできません。[ アクセス権を管理 ] でアプリを検索しても結果は返されません。Orchestrator ではアプリケーション スコープを持つアプリのみがリストされるためです。代わりに、アプリからログインするユーザーを割り当てます。
- フォルダーを Orchestrator で開きます。
- [ アクセス権を管理] > [割り当て] に移動します。
- 外部アプリを介してログインするユーザーを検索します。
- ユーザーに Automation User、Automation Developer、または Folder Administrator のロールを割り当てます。
ORがありません。既定のスコープ
OR.Defaultを含まずに、特定のOR.*範囲 (OR.Execution や [ OR.Jobsなど) のみを持つトークンを要求する場合、トークンはフォルダー レベルのロール解決をバイパスし、テナント内のすべてのフォルダーにわたるアクセス権を付与します。Orchestrator では、すべての API 呼び出しに X-UIPATH-FolderKey ヘッダーが必要です。
現在の MCP サーバー バージョンは、これを自動的に処理します。古いバージョンでは、このため Orchestrator の呼び出しが失敗する可能性があります。この問題を回避するには、 OR.Default をトークン要求の唯一のスコープとして含め、代わりにフォルダーのロールベースのアクセスを使用します。
GetFoldersForCurrentUser がクライアント資格情報で 403 を返す
これは正常な動作です。GetFoldersForCurrentUser Orchestrator API は、クライアント資格情報認証をサポートしていません。これを回避するには、 UIPATH_FOLDER_KEY 環境変数を設定して、フォルダー解決の呼び出しをバイパスします。
400 Bad Request: invalid_scope (400 不正な要求:
外部アプリの資格情報の代わりにマシン資格情報を使用する
これは、 invalid_scope エラーの最も一般的な原因です。マシンの資格情報はロボット認証用であり、API アクセス用ではありません。
これを修正するには、次の手順を実行します。
-
[ 管理] >> [外部Apps ] ( Orchestrator の > マシンではない) に移動します。
-
[アプリケーションを追加] を選択します。
-
アプリの名前を入力し、アプリの種類は [機密 ] のままにします。
-
[ アプリケーション スコープ] タブを選択します。
-
OR.Executionを追加し、コード化されたサーバーまたはコマンドサーバーの場合は必要に応じてOR.Jobsを追加します。 -
[ 追加] を選択し、新しい クライアント ID と クライアント シークレットをコピーします。
-
新しい資格情報を使用して再認証します。
uipath auth --client-id "<new-client-id>" \ --client-secret "<new-client-secret>" \ --base-url "https://cloud.uipath.com/{org}/{tenant}" \ --scope "OR.Default"uipath auth --client-id "<new-client-id>" \ --client-secret "<new-client-secret>" \ --base-url "https://cloud.uipath.com/{org}/{tenant}" \ --scope "OR.Default"
MCP クライアントの OAuth フローが失敗する
コールバック URL がホワイトリストに登録されていない
UiPath Identity Server では、動的クライアント登録 (DCR) のためにコールバック URL を事前にホワイトリストに登録する必要があります。MCP クライアントのコールバック URL がホワイトリストに登録されていない場合、DCR ステップは失敗します。
既知のディスカバリールーティングの問題
一部の MCP クライアント (Copilot、Studio、OpenAI クライアントなど) は、WWW-Authenticate ヘッダーの resource_metadata URL をたどるのではなく、ルート ドメインで/.well-known/openid-configurationプローブします。このプローブが cloud.uipath.com/.well-known/openid-configurationにヒットすると、適切な 404 ではなく HTML 200 ページが返され、クライアントの検出ロジックが壊れます。
これは、ルーティングに関する既知の問題です。この問題が発生した場合は、UiPath サポートに連絡して最新のステータスを入手してください。
- 401 未承認
- トークンの有効期限が切れています
- URL の形式が正しくない
- 間違った ID プロバイダーからのトークン
- 403 Forbidden
- 外部アプリまたはユーザーがフォルダーに割り当てられていない
- ORがありません。既定のスコープ
- GetFoldersForCurrentUser がクライアント資格情報で 403 を返す
- 400 Bad Request: invalid_scope (400 不正な要求:
- 外部アプリの資格情報の代わりにマシン資格情報を使用する
- MCP クライアントの OAuth フローが失敗する
- コールバック URL がホワイトリストに登録されていない
- 既知のディスカバリールーティングの問題