Este tema lo guía a través de la configuración de la autenticación OAuth 2.0 para las herramientas de entrada de protocolo de contexto de modelo (MCP) dentro de Automation Anywhere.

La implementación de OAuth proporciona un método más seguro y sólido para que los asistentes de IA de terceros interactúen con sus automatizaciones de Automation Anywhere, manteniendo la identidad del usuario y aplicando el control de acceso basado en roles (RBAC) sin requerir que los usuarios ingresen credenciales manualmente. Siga estos pasos para configurar la compatibilidad de OAuth 2.0 para las herramientas de entrada de MCP. El proceso implica la configuración tanto en la Control Room como en su asistente de IA de terceros (por ejemplo, Microsoft Copilot Studio).

Antes de empezar

Antes de configurar la compatibilidad de OAuth 2.0, asegúrese de que se cumplen los siguientes requisitos:

  • Licencia de usuario: El usuario que configure y acceda a las herramientas de MCP debe tener asignada una licencia de Bot Runner asistido.
  • Conexión del dispositivo: El usuario de Bot Runner asistido debe estar conectado a un dispositivo local registrado en la Control Room. Verifique que la configuración del bot sea correcta y que pueda ejecutarse correctamente desde la Control Room.

Permisos necesarios:

  • Permisos de IA:
    • Ver conexiones de agentes: Para ver las herramientas y conexiones entrantes y salientes.
    • Gestionar conexiones de agentes: Para configurar y gestionar herramientas y conexiones entrantes y salientes.
  • Permiso de API: Generar clave de API.
  • Permisos de bot:
    • Ver mis bots y Ejecutar mis bots.
    • Asegúrese de que los bots requeridos estén asignados al rol del usuario a través de RBAC. Para obtener más información, consulte RBAC en Control Room.

Procedimiento

  1. Registre la Control Room con los servicios de OAuth2. Este paso registra la Control Room como un servidor de autorización de OAuth 2.0 confiable para que pueda emitir y validar tókenes para solicitudes entrantes del MCP. Debido a que la autenticación entrante del MCP depende de que la propia Control Room actúe como la autoridad de identidad, este registro es necesario antes de que pueda crear un cliente de OAuth o conectar un asistente de IA de terceros. La Control Room es compatible con proveedores estándares de identidad para este registro, incluida la autenticación basada en OIDC (OpenID Connect) y lenguaje de marcado de aserciones de seguridad (SAML). Si su organización cuenta con un IdP existente, puede configurar la Control Room para utilizarla durante el proceso de registro.
    1. En la Control Room, vaya a Configuración.
    2. Registre la configuración de OAuth2.0 iniciando sesión con sus credenciales de administrador de la Control Room y generando un token para validar y registrar los servicios de OAuth 2.0. Para obtener más información, consulte Configurar conexiones ‌OAuth en la Control Room.
      Confirmación: Aparece un mensaje de confirmación cuando se completa el registro.
  2. Crear un cliente de OAuth.
    1. Diríjase a Administrar > Cliente de OAuth.
    2. Haga clic en Crear cliente para crear un cliente nuevo.
    3. Ingrese un nombre de aplicación descriptivo, por ejemplo, Cliente de entrada del MCP.
    4. Seleccione el tipo de aplicación apropiado que coincida con la implementación de su cliente del MCP: Página web regular o Aplicación de una sola página. Para obtener información detallada sobre los tipos de aplicaciones y cómo configurar clientes de OAuth, consulte Configurar clientes de OAuth.
    5. Opcional: Ingrese una descripción.
      Nota: Puede dejar el campo Redirigir URI vacío al momento de crear el cliente de OAuth para el MCP entrante. El cliente del MCP genera la URL de redireccionamiento (asistente de IA de terceros) durante la configuración de la herramienta y debe agregarse posteriormente en el Paso 5.
    6. Haga clic en Crear cliente.
    Tras la creación exitosa, el sistema generará detalles cruciales como ID de cliente, ID secreto y otra información necesaria. Mantenga estos detalles accesibles ya que los necesitará para los siguientes pasos.
  3. Agregue una herramienta de MCP en su asistente de IA de terceros.
    1. Inicie sesión en su asistente de IA de terceros, como Microsoft Copilot Studio o ChatGPT.
    2. Navegue a la sección Herramientas y seleccione la opción para agregar una herramienta de protocolo de contexto de modelo (MCP).
    3. Ingrese un nombre de servidor (por ejemplo, Automation 360 MCP Server) y una Descripción para la herramienta.
    4. Escriba la URL del servidor. Esta es la URL de su Control Room de Automation Anywhere seguida de /mcp (p. ej., https://url-de-su-control-room/mcp). Para obtener más información sobre cómo configurar Copilot, consulte Conectar su agente a un servidor de protocolo de contexto de modelo (MCP) existente.
      Nota: Solo se admite el método de autenticación Manual para OAuth con MCP. Al momento de configurar la herramienta de MCP en su asistente de IA de terceros, seleccione Manual como el tipo de OAuth.
      Configurar OAuth de entrada de MCP
  4. Configurar la autenticación OAuth 2.0.
    1. De los detalles del cliente de OAuth que obtuvo en la Control Room (Paso 2), copie el ID de cliente, el ID secreto, la URL de autorización, la URL del token y la URL de actualización.
    2. Pegue estos detalles copiados en los campos correspondientes dentro de la configuración de autenticación de la herramienta de MCP de su asistente de IA de terceros.
  5. Actualice la URL de redireccionamiento en la Control Room.
    1. Después de completar la creación de la herramienta de MCP en su asistente de IA de terceros, este generará una URL de redireccionamiento.
    2. Copie esta URL de redireccionamiento de su asistente de IA de terceros.
    3. Regrese a la sección de Clientes de OAuth de la Control Room y edite el cliente que creó en el Paso 2.
    4. Pegue la URL de redireccionamiento copiada en la configuración del cliente.
    5. Guarde los cambios.
    Esto completa la integración y establece una conexión segura entre la Control Room y el asistente de IA de terceros.
  6. Establecer conexión de usuario en el asistente de IA de terceros.: Cuando use por primera vez la herramienta de MCP integrada dentro del asistente de IA de terceros, se le pedirá autenticar. Siga el flujo de OAuth para otorgar permisos mediante el uso de sus credenciales de la Control Room de Automation Anywhere.
    Se ha establecido una conexión exitosa.
  7. Acceda y active herramientas (automatizaciones, agentes de IA, procesos).
    1. Una vez que se establezca la conexión, el asistente de IA de terceros mostrará las herramientas disponibles del servidor de MCP de Automation Anywhere. Estas incluyen herramientas estáticas estándar como DiscoverAutomation, RunAutomation y GetAutomationResult, junto con cualquier herramienta personalizada de entrada que haya configurado en la Control Room.
    2. Control de acceso basado en roles (RBAC): La visibilidad y las capacidades de ejecución de estas herramientas están estrictamente reguladas por los permisos RBAC del usuario configurados en la Control Room. Por ejemplo, un usuario solo descubrirá o podrá ejecutar automatizaciones para las que tenga privilegios de Ver mis bots y Ejecutar mis bots.
    Ahora puede activar automatizaciones de forma conversacional a través del asistente de terceros, utilizando lenguaje natural para iniciar tareas.
Comportamiento del cliente de MCP cuando faltan los encabezados de autenticación o son inválidos
  • Si los encabezados de autenticación faltan o son incorrectos, el cliente de MCP intenta la autenticación OAuth automáticamente.
  • Si la autenticación falla, el cliente de MCP muestra un mensaje de error similar a:
    {"error": "Unauthorized", "message": "Missing or invalid headers: API_KEY, USER_NAME, Authorization or X-AUTH"}
  • Según la implementación del cliente de MCP (por ejemplo, Microsoft Copilot u otros clientes compatibles con MCP), pueden aparecer mensajes de error adicionales que indiquen que la autenticación OAuth falló.
Nota: Los mensajes de error pueden variar según el cliente de MCP utilizado.
Manejo de tókenes
  • El cliente de MCP administra automáticamente la actualización del token de acceso cuando el token expira.
  • No es necesario actualizar manualmente los tókenes durante el funcionamiento normal.
Métodos de autenticación

MCP de entrada es compatible con la autenticación basada en OAuth utilizando proveedores de identidad estándar, por ejemplo:

  • OIDC (OpenID Connect)
  • Autenticación basada en SAML

La experiencia de autenticación (por ejemplo, los mensajes de inicio de sesión o las pantallas de consentimiento) depende del proveedor de identidad configurado.