Ce sujet vous guide dans la configuration de l\'authentification OAuth 2.0 pour les outils entrants Model Context Protocol (MCP) au sein de Automation Anywhere.

La mise en œuvre d\'OAuth offre une méthode plus sécurisée et robuste permettant aux assistants IA tiers d\'interagir avec vos automatisations Automation Anywhere, tout en maintenant l\'identité de l\'utilisateur et en appliquant le contrôle d\'accès basé sur les rôles (RBAC) sans exiger que les utilisateurs saisissent manuellement leurs identifiants. Suivez ces étapes pour configurer la prise en charge OAuth 2.0 pour les outils entrants MCP. Le processus implique une configuration à la fois dans la Control Room et dans votre assistant IA tiers (par exemple, Microsoft Copilot Studio).

Prérequis

Avant de configurer la prise en charge OAuth 2.0, assurez-vous que les conditions suivantes sont remplies :

  • Licence de l\'utilisateur : L\'utilisateur qui configure et accède aux outils MCP doit disposer d\'une licence Bot Runner assisté.
  • Connexion de l\'appareil : L\'utilisateur Bot Runner assisté doit être connecté à un appareil local enregistré dans la Control Room. Vérifiez que la configuration du robot est correcte et qu\'il peut être exécuté avec succès depuis la Control Room.

Autorisations requises :

  • Autorisations IA :
    • Afficher les connexions d\'agent : Pour voir les outils et les connexions entrants et sortants.
    • Gérer les connexions d\'agent : Pour configurer et gérer les outils et les connexions entrants et sortants.
  • Autorisation API : générer une clé API.
  • Autorisations des robots :
    • Afficher mes robots et Exécuter mes robots.
    • Assurez-vous que les robots requis sont attribués au rôle de l\'utilisateur via RBAC. Pour plus d\'informations, consultez RBAC dans Control Room.

Procédure

  1. Enregistrez la Control Room auprès des services OAuth2 : Cette étape enregistre la Control Room en tant que serveur d\'autorisation OAuth 2.0 de confiance afin qu\'elle puisse émettre et valider des jetons pour les requêtes MCP entrantes. Étant donné que l\'authentification entrante MCP repose sur la Control Room elle-même agissant en tant qu\'autorité d\'identité, cet enregistrement est requis avant que vous puissiez créer un client OAuth ou connecter un assistant IA tiers. La Control Room prend en charge les fournisseurs d\'identité standard pour cet enregistrement, y compris l\'authentification basée sur OIDC (OpenID Connect) et SAML. Si votre organisation dispose d\'un IdP existant, vous pouvez configurer la Control Room pour l\'utiliser lors de l\'enregistrement.
    1. Dans la Control Room, accédez à Paramètres.
    2. Enregistrez la configuration OAuth2.0 en vous connectant avec vos identifiants d\'administrateur Control Room et en générant un jeton pour valider et enregistrer les services OAuth 2.0. Pour plus d\'informations, consultez Configurer les connexions OAuth dans la Control Room.
      Confirmation : Un message de confirmation apparaît lorsque l\'enregistrement est terminé.
  2. Créer un client OAuth.
    1. Accédez à Gérer > Client OAuth.
    2. Cliquez sur Créer un client pour créer un nouveau client.
    3. Saisissez un nom d\'application descriptif, par exemple, Client entrant MCP.
    4. Sélectionnez le type d\'application approprié, correspondant au déploiement de votre client MCP : Web classique ou .Application monopage. Pour des informations détaillées sur les types d\'application et la configuration des clients OAuth, consultez Configurer les clients OAuth.
    5. Facultatif : Saisissez une description.
      Remarque : Vous pouvez laisser le champ URI de redirection vide lors de la création du client OAuth pour MCP entrant. L\'URL de redirection est générée par le client MCP (assistant IA tiers) lors de la configuration de l\'outil et doit être ajoutée ultérieurement à l\'étape 5.
    6. Cliquez sur Créer le client.
    Une fois la création réussie, le système générera des informations essentielles telles que Client ID, Secret ID, ainsi que d\'autres informations nécessaires. Conservez ces informations à portée de main, car vous en aurez besoin pour les prochaines étapes.
  3. Ajoutez un outil MCP dans votre assistant IA tiers.
    1. Connectez-vous à votre assistant IA tiers, tel que Microsoft Copilot Studio ou ChatGPT.
    2. Accédez à la section Outils et sélectionnez l\'option pour ajouter un outil Model Context Protocol (MCP).
    3. Saisissez un nom de serveur (par exemple, Automation 360 MCP Server) et une description pour l\'outil.
    4. Saisissez l\'URL du serveur. Il s\'agit de l\'URL de votre Control Room Automation Anywhere, suivie de /mcp (par exemple, https://votre-url-control-room/mcp). Pour plus d\'informations sur la configuration de Copilot, voir Connectez votre agent à un serveur Model Context Protocol (MCP) existant.
      Remarque : Seule la méthode d\'authentification Manuelle est prise en charge pour OAuth avec MCP. Lors de la configuration de l\'outil MCP dans votre assistant IA tiers, sélectionnez Manuel comme type OAuth.
      Configurer OAuth pour MCP entrant
  4. Configurer l\'authentification OAuth 2.0.
    1. À partir des détails du client OAuth que vous avez obtenus dans la Control Room (étape 2), copiez les éléments suivants : ID client, ID secret, URL d\'autorisation, URL du jeton et Actualiser l\'URL.
    2. Collez ces détails copiés dans les champs correspondants de la configuration d\'authentification de l\'outil MCP de votre assistant IA tiers.
  5. Mettre à jour l\'URL de redirection dans la Control Room.
    1. Après avoir terminé la création de l\'outil MCP dans votre assistant IA tiers, celui-ci générera une URL de redirection.
    2. Copiez cette URL de redireciton depuis votre assistant IA tiers.
    3. Retournez dans la section Clients OAuth de la Control Room et modifiez le client que vous avez créé à l\'étape 2.
    4. Collez l\'URL de redirection copiée dans la configuration du client.
    5. Enregistrez les modifications.
    Cela termine l\'intégration et établit une connexion sécurisée entre la Control Room et l\'assistant IA tiers.
  6. Établir la connexion utilisateur dans l\'assistant IA tiers : Lorsque vous utilisez pour la première fois l\'outil MCP intégré au sein de l\'assistant IA tiers, il vous est demandé de vous authentifier. Suivez le flux OAuth pour accorder l\'autorisation en utilisant vos identifiants de la Control Room Automation Anywhere.
    Une connexion réussie est établie.
  7. Accédez aux outils de déclenchement et d\'accès (automatisations/agents IA/processus).
    1. Une fois la connexion établie, l\'assistant IA tiers affichera la liste des outils disponibles depuis le serveur MCP Automation Anywhere. Cela inclut des outils statiques standard tels que DiscoverAutomation, RunAutomation et GetAutomationResult, ainsi que tous les outils entrants personnalisés que vous avez configurés dans la Control Room.
    2. Contrôle d\'accès basé sur les rôles (RBAC) : La visibilité et les capacités d\'exécution de ces outils sont strictement régies par les autorisations RBAC de l\'utilisateur configurées dans la Control Room. Par exemple, un utilisateur ne pourra découvrir ou exécuter que les automatisations pour lesquelles il possède les privilèges Afficher mes robots et Exécuter mes robots.
    Vous pouvez désormais déclencher des automatisations de manière conversationnelle via l\'assistant tiers, en utilisant le langage naturel pour lancer des tâches.
Comportement du client MCP lorsque les en-têtes d\'authentification sont manquants ou invalides
  • Si les en-têtes d\'authentification sont manquants ou incorrects, le client MCP tente automatiquement l\'authentification OAuth.
  • Si l\'authentification échoue, le client MCP affiche un message d\'erreur similaire à :
    {"error": "Unauthorized", "message": "Missing or invalid headers: API_KEY, USER_NAME, Authorization or X-AUTH"}
  • Selon la mise en œuvre du client MCP (par exemple, Microsoft Copilot ou d\'autres clients compatibles MCP), des messages d\'erreur supplémentaires peuvent apparaître indiquant que l\'authentification OAuth a échoué.
Remarque : Les messages d\'erreur peuvent varier selon le client MCP utilisé.
Gestion des jetons
  • Le client MCP gère automatiquement le rafraîchissement du jeton d\'accès lorsque le jeton expire.
  • Vous n\'êtes pas obligé de rafraîchir manuellement les jetons pendant le fonctionnement normal.
Méthodes d\'authentification

L\'assistance MCP entrant prend en charge l\'authentification basée sur OAuth à l\'aide de fournisseurs d\'identité standard, notamment :

  • OIDC (OpenID Connect)
  • Authentification basée sur SAML

L\'expérience d\'authentification (par exemple, les invites de connexion ou les écrans de consentement) dépend du fournisseur d\'identité configuré.