- 入门指南
- 最佳实践
- 租户
- 注册表
- Cloud Robots
- Automation Suite 机器人
- 文件夹上下文
- 流程
- 作业
- Apps
- 触发器
- 日志
- 监控
- 索引
- 队列
- 资产
- 连接
- 业务规则
- 存储桶
- MCP 服务器
- Orchestrator 测试
- 资源目录服务
- 集成
- 故障排除
Orchestrator 用户指南
UiPath MCP 服务器要求对每个 HTTP 请求进行身份验证。没有基于会话的身份验证结转。即使在建立 MCP 会话之后,每个后续请求也必须包含有效的Authorization: Bearer <token>标头。
mcp-session-id标头仅用于 MCP 协议状态管理。这不是一种身份验证机制。
身份验证方法
获取用于访问 UiPath MCP 服务器的令牌的方法有四种:
| 方法 | 令牌来源 | 所需的作用域和权限 |
|---|---|---|
| MCP OAuth 流程 | 自动,由 IDE 处理 | 由发现流程处理 |
| Personal access token (PAT) | UiPath Cloud 用户界面 | 从“Orchestrator API 访问权限”资源中选择OR.Jobs和OR.Execution 。 |
| 外部应用程序 | “管理员”>“外部 Apps” | 在应用程序中配置OR.Execution和OR.Jobs 。在令牌请求时,请添加OR.Default ,以控制路由行为。 |
| 交互式登录 (CLI) | uipath auth CLI 命令 | 登录时自动授予 |
每种方法的使用时间
正确的方法取决于登录时是否有人在场,以及 MCP 服务器是否公开了 Integration Service 连接器。
| 场景 | 推荐方法 | 注意 |
|---|---|---|
| 使用 IDE(VS Code、GitHub Copilot) | MCP OAuth 流程 | IDE 会自动处理发现、登录和令牌刷新。除了 MCP 服务器 URL 外,无需配置任何内容。 |
| 自动化或无人值守的工作负载(CI/CD 管道、服务帐户、微服务、长时间运行的流程) | 外部应用程序 - 应用程序作用域 | 唯一无需用户交互即可工作的方法。请求OR.Default以进行最简单的设置。 |
| 从第三方应用程序(Copilot Studio、ChatGPT)连接 | 外部应用程序 - 用户作用域 | 创建包含用户作用域的机密应用程序,手动配置第三方应用程序的 OAuth 设置,并让用户通过应用程序登录。 |
| 构建桌面或移动 MCP 客户端 | 外部应用程序 - 使用 PKCE 的非机密应用程序 | 客户端密码不会泄漏,PKCE 会保护授权代码流程。用户通过浏览器登录,应用程序代表他们接收令牌。 |
| 在本地开发或测试 (人工在场) | 交互式登录 (CLI)或个人访问令牌 | 交互式登录需要一个命令,并会继承您的文件夹权限;令牌持续一小时。PAT 的可配置有效期最长为一年,并且适用于任何 HTTP 客户端。 |
| MCP 服务器使用 Integration Service 活动 | MCP OAuth 流程、交互式登录或外部应用程序 - 用户作用域 | Integration Service 活动需要用户上下文。PAT 和客户端凭据已连接到 MCP 服务器,但 Integration Service 支持的工具调用超时。 |
常见要求
无论选择哪种身份验证方法,以下要求都适用。
每个请求都必须经过身份验证
没有会话结转。每个 HTTP 请求都必须包含有效的Authorization: Bearer <token>标头。mcp-session-id标头仅适用于 MCP 协议状态。
URL 格式
MCP 服务器端点 URL 始终采用以下格式:
https://cloud.uipath.com/{org}/{tenant}/agenthub_/mcp/{folderKey}/{slug}
https://cloud.uipath.com/{org}/{tenant}/agenthub_/mcp/{folderKey}/{slug}
其中:
{org}:您的 UiPath 组织名称{tenant}:您的租户名称{folderKey}:文件夹的 GUID(而非文件夹名称或路径){slug}:MCP 服务器的 URL 缩略名
最低文件夹权限
经过身份验证的身份(用户或外部应用程序)必须在包含 MCP 服务器的文件夹中具有MCPServers.View权限。Automation User 、 Automation Developer和Folder Administrator角色中包含此权限。
编码服务器和命令服务器的额外权限
编码 MCP 服务器和命令 MCP 服务器执行 Orchestrator 作业。该身份还必须具有Jobs.Create权限。“自动化用户”和Automation Developer角色中包含此权限。
Integration Service 限制
如果 MCP 服务器公开了由 Integration Service 活动支持的工具,则只有用户上下文身份验证有效(交互式登录或MCP OAuth 流程)。PAT 和外部应用程序客户端凭据已连接到 MCP 服务器,但 Integration Service 支持的工具调用超时。
令牌验证
UiPath MCP 服务器按顺序使用以下方案验证令牌。以第一场匹配为准:
| 方案 | 受众 | 使用人 |
|---|---|---|
| 机器人访问令牌 | Orchestrator | 机器人执行令牌 |
| 身份 OAuth 访问令牌 | OrchestratorApiUserAccess | 交互式登录 |
| 个人访问令牌身份 | UiPath.Orchestrator | 个人访问令牌、外部应用程序令牌、MCP OAuth 流程令牌 |
所有方案都根据请求 URL 中的组织强制执行签名验证、颁发者验证、受众验证、过期验证和分区 ID( prt_id声明)匹配。