In diesem Thema erfahren Sie, wie Sie die OAuth 2.0-Authentifizierung für Model Context Protocol (MCP) Inbound-Tools innerhalb von Automation Anywhere einrichten.

Die Implementierung von OAuth bietet eine sicherere und robustere Methode, damit Drittanbieter-KI-Assistenten mit Ihren Automation Anywhere-Automatisierungen interagieren können. Dabei wird die Benutzeridentität beibehalten und die rollenbasierte Zugriffskontrolle (RBAC) durchgesetzt, ohne dass Benutzer ihre Anmeldeinformationen manuell eingeben müssen. Führen Sie die folgenden Schritte aus, um OAuth 2.0-Unterstützung für MCP-Inbound-Tools zu konfigurieren. Der Prozess umfasst die Konfiguration sowohl im Control Room als auch in Ihrem Drittanbieter-AI-Assistenten (z. B. Microsoft Copilot Studio).

Vorbereitungen

Stellen Sie vor der Konfiguration der OAuth 2.0-Unterstützung sicher, dass die folgenden Anforderungen erfüllt sind:

  • Nutzerlizenz: Der Benutzer, der die MCP-Tools konfiguriert und darauf zugreift, muss über eine Beaufsichtigter Bot Runner-Lizenz verfügen.
  • Geräteverbindung: Der Benutzer des Beaufsichtigten Bot Runners muss mit einem registrierten lokalen Gerät im Control Room verbunden sein. Überprüfen Sie, ob die Bot-Konfiguration korrekt ist und erfolgreich aus dem Control Room ausgeführt werden kann.

Erforderliche Berechtigungen:

  • KI-Berechtigungen:
    • Agent-Verbindungen anzeigen: Um eingehende und ausgehende Tools sowie Verbindungen anzuzeigen.
    • Agent-Verbindungen verwalten: Um eingehende und ausgehende Tools sowie Verbindungen zu konfigurieren und zu verwalten.
  • API-Berechtigung: API-Schlüssel generieren.
  • Bot-Berechtigungen:
    • Meine Bots anzeigen und Meine Bots ausführen.
    • Achten Sie darauf, dass die erforderlichen Bots der Benutzerrolle über RBAC zugewiesen sind. Weitere Informationen finden Sie unter RBAC im Control Room.

Prozedur

  1. Registrieren Sie den Control Room bei OAuth2-Diensten. In diesem Schritt wird der Control Room als vertrauenswürdiger OAuth 2.0-Autorisierungsserver registriert, sodass er Token für eingehende MCP-Anfragen ausstellen und validieren kann. Da die MCP-Inbound-Authentifizierung darauf angewiesen ist, dass der Control Room selbst als Identitätsautorität fungiert, ist diese Registrierung erforderlich, bevor Sie einen OAuth-Client erstellen oder einen Drittanbieter-KI-Assistenten verbinden können. Der Control Room unterstützt standardmäßige Identitätsanbieter für diese Registrierung, einschließlich OIDC (OpenID Connect) und SAML-basierter Authentifizierung. Wenn Ihre Organisation bereits einen IdP hat, können Sie den Control Room so konfigurieren, dass es während der Registrierung verwendet wird.
    1. Im Control Room navigieren Sie zu Einstellungen.
    2. Registrieren Sie die OAuth2.0-Konfiguration, indem Sie sich mit Ihren Control-Room-Administrator-Anmeldeinformationen anmelden und ein Token generieren, um die OAuth 2.0-Dienste zu validieren und zu registrieren. Weitere Informationen finden Sie unter Konfigurieren Sie OAuth-Verbindungen im Control Room.
      Bestätigung: Eine Bestätigungsmeldung erscheint, wenn die Registrierung abgeschlossen ist.
  2. Erstellen Sie einen OAuth-Client.
    1. Navigieren Sie zu Verwalten > OAuth-Client.
    2. Klicken Sie auf Client erstellen, um einen neuen Client zu erstellen.
    3. Geben Sie einen beschreibenden Anwendungsnamen ein, zum Beispiel MCP Inbound Client.
    4. Wählen Sie den entsprechenden Anwendungstyp aus, der Ihrer MCP-Client-Bereitstellung entspricht: Reguläre Webanwendung oder .Single-Page-Anwendung. Ausführliche Informationen zu Anwendungstypen und zur Konfiguration von OAuth-Clients finden Sie unter OAuth-Clients konfigurieren.
    5. Optional: Geben Sie eine Beschreibung ein.
      Anmerkung: Sie können das Feld Redirect URI beim Erstellen des OAuth-Clients für MCP-Inbound leer lassen. Die Redirect-URL wird vom MCP-Client (Drittanbieter-KI-Assistent) während der Tool-Konfiguration generiert und muss später in Schritt 5 hinzugefügt werden.
    6. Klicken Sie auf Client erstellen.
    Nach erfolgreicher Erstellung generiert das System wichtige Details wie Client-ID, Secret-ID und weitere erforderliche Informationen. Bewahren Sie diese Angaben griffbereit auf, da Sie sie für die nächsten Schritte benötigen.
  3. Fügen Sie ein MCP-Tool in Ihrem Drittanbieter-KI-Assistenten hinzu.
    1. Melden Sie sich bei Ihrem Drittanbieter-KI-Assistenten an, wie zum Beispiel Microsoft Copilot Studio oder ChatGPT.
    2. Navigieren Sie zum Abschnitt Tools und wählen Sie die Option, ein Model Context Protocol (MCP)-Tool hinzuzufügen.
    3. Geben Sie einen Servernamen (zum Beispiel Automation 360 MCP Server) und eine Beschreibung für das Tool ein.
    4. Geben Sie die Server-URL ein. Dies ist Ihre Automation Anywhere Control Room-URL, gefolgt von /mcp (z. B. https://your-control-room-url/mcp). Weitere Informationen zur Einrichtung von Copilot finden Sie unter Verbinden Sie Ihren Agent mit einem bestehenden Model Context Protocol (MCP)-Server.
      Anmerkung: Nur die Authentifizierungsmethode Manuell wird für OAuth mit MCP unterstützt. Wenn Sie das MCP-Tool in Ihrem Drittanbieter-KI-Assistenten konfigurieren, wählen Sie als OAuth-Typ „Manuell“ aus.
      MCP Inbound OAuth konfigurieren
  4. OAuth 2.0-Authentifizierung konfigurieren.
    1. Kopieren Sie aus den OAuth-Client-Details, die Sie im Control Room (Schritt 2) erhalten haben, die Client-ID, Secret-ID, Autorisierungs-URL, Token-URL und Refresh-URL.
    2. Fügen Sie diese kopierten Details in die entsprechenden Felder der Authentifizierungskonfiguration des MCP-Tools Ihres Drittanbieter-KI-Assistenten ein.
  5. Aktualisieren Sie die Weiterleitungs-URL im Control Room.
    1. Nachdem Sie die Erstellung des MCP-Tools in Ihrem Drittanbieter-AI-Assistenten abgeschlossen haben, wird eine Redirect-URL generiert.
    2. Kopieren Sie diese Redirect URL von Ihrem Drittanbieter-AI-Assistenten.
    3. Kehren Sie zum Bereich OAuth-Clients des Control Rooms zurück und bearbeiten Sie den in Schritt 2 erstellten Client.
    4. Fügen Sie die kopierte Redirect-URL in die Konfiguration des Clients ein.
    5. Speichern Sie die Änderungen.
    Damit ist die Integration abgeschlossen und eine sichere Verbindung zwischen dem Control Room und dem Drittanbieter-KI-Assistenten hergestellt.
  6. Benutzerverbindung im Drittanbieter-KI-Assistenten herstellen.: Wenn Sie das integrierte MCP-Tool innerhalb des Drittanbieter-KI-Assistenten zum ersten Mal verwenden, werden Sie aufgefordert, sich zu authentifizieren. Folgen Sie dem OAuth-Flow, um die Berechtigung mit Ihren Automation Anywhere Control Room Anmeldeinformationen zu erteilen.
    Eine erfolgreiche Verbindung wurde hergestellt.
  7. Zugriffs- und Auslöser-Tools (Automatisierungen/KI-Agents/Prozesse).
    1. Sobald die Verbindung hergestellt ist, listet der Drittanbieter-AI-Assistent die verfügbaren Tools vom Automation Anywhere MCP-Server auf. Dazu gehören standardmäßige statische Tools wie DiscoverAutomation, RunAutomation und GetAutomationResult sowie alle benutzerdefinierten eingehenden Tools, die Sie im Control Room konfiguriert haben.
    2. Rollenbasierte Zugriffssteuerung (RBAC): Die Sichtbarkeit und Ausführungsberechtigungen dieser Tools werden strikt durch die RBAC-Berechtigungen des Benutzers geregelt, die im Control Room konfiguriert sind. Beispielsweise kann ein Benutzer nur Automatisierungen entdecken oder ausführen, für die er über die Berechtigungen Meine Bots anzeigen und Meine Bots ausführen verfügt.
    Sie können jetzt Automatisierungen konversationell über den Drittanbieter-Assistenten auslösen, indem Sie natürliche Sprache verwenden, um Aufgaben zu initiieren.
Verhalten des MCP-Clients, wenn Authentifizierungs-Header fehlen oder ungültig sind
  • Wenn Authentifizierungs-Header fehlen oder falsch sind, versucht der MCP-Client automatisch eine OAuth-Authentifizierung.
  • Wenn die Authentifizierung fehlschlägt, zeigt der MCP-Client eine Fehlermeldung ähnlich der folgenden an:
    {"error": "Unauthorized", "message": "Missing or invalid headers: API_KEY, USER_NAME, Authorization or X-AUTH"}
  • Je nach MCP-Client-Implementierung (zum Beispiel Microsoft Copilot oder andere MCP-kompatible Clients) können zusätzliche Fehlermeldungen angezeigt werden, die darauf hinweisen, dass die OAuth-Authentifizierung fehlgeschlagen ist.
Anmerkung: Fehlermeldungen können je nach verwendetem MCP-Client variieren.
Tokenverarbeitung
  • Der MCP-Client verwaltet die Aktualisierung des Zugriffstokens automatisch, wenn das Token abläuft.
  • Sie müssen Token während des normalen Betriebs nicht manuell aktualisieren.
Authentifizierungsmethoden

MCP Inbound unterstützt die OAuth-basierte Authentifizierung mit standardmäßigen Identitätsanbietern, einschließlich:

  • OIDC (OpenID Connect)
  • SAML-basierte Authentifizierung

Das Authentifizierungserlebnis (zum Beispiel Anmeldeaufforderungen oder Zustimmungsbildschirme) hängt vom konfigurierten Identitätsanbieter ab.