このトピックでは、Automation Anywhere 内の Model Context Protocol (MCP) インバウンドツールの OAuth 2.0 認証の設定方法について説明します。

OAuth を実装することで、サードパーティの AI アシスタントがユーザーの認証情報を手動で入力することなく、ユーザーのアイデンティティを維持し、ロールベースのアクセス制御(RBAC)を強制しながら、Automation Anywhere のオートメーションとより安全かつ堅牢な方法で連携できるようになります。 以下の手順に従って、MCP インバウンドツールの OAuth 2.0 サポートを構成します。 このプロセスには、Control Roomおよびサードパーティの AI アシスタント(例:Microsoft Copilot Studio)の両方での設定が含まれます。

前提条件

OAuth 2.0 サポートを構成する前に、次の要件が満たされていることを確認してください。

  • ユーザー ライセンス: ユーザーがMCPツールを構成およびアクセスするには、有人 Bot 実行者ライセンスが割り当てられている必要があります。
  • デバイス接続: 有人 Bot 実行者ユーザーは、Control Room で登録済みローカルデバイスに接続している必要があります。 Bot の構成、および Control Room から実行できることを確認してください。

必要な権限:

  • AI の権限
    • エージェント接続の表示: インバウンドおよびアウトバウンドのツールと接続を表示
    • エージェント接続の管理: インバウンドおよびアウトバウンドのツールや接続を設定・管理
  • API 権限API キーを生成
  • Bot の権限
    • マイ Bot を表示マイ Bot を実行
    • 必要な Bot が RBAC を通じてユーザーのロールに割り当てられていることを確認してください。 詳細については、Control Room の RBACを参照してください。

手順

  1. OAuth2 サービスにControl Roomを登録します。 この手順では、Control Roomを信頼された OAuth 2.0 認証サーバーとして登録し、着信する MCP リクエストに対してトークンを発行および検証できるようにします。 MCP のインバウンド認証は、Control Room自体が認証機関として機能することに依存しているため、OAuth クライアントを作成したり、サードパーティの AI アシスタントを接続したりするには、この登録が必要です。 Control Room は、この登録のために、OIDC(OpenID Connect)および SAML ベースの認証を含む標準的なアイデンティティプロバイダーをサポートしています。 組織に既存の IdP がある場合、登録時にControl Roomでそれを使用するように設定できます。
    1. Control Room設定 に移動します。
    2. Control Room 管理者の認証情報でログインし、トークンを生成して OAuth 2.0 サービスを検証および登録することで、OAuth2.0 構成を登録します。 詳細については、Control Room で OAuth 接続を構成するを参照してください。
      確認: 登録が完了すると、確認メッセージが表示されます。
  2. OAuth クライアントを作成する
    1. 管理 > OAuth クライアント に移動します。
    2. クライアントを作成をクリックして、新しいクライアントを作成します。
    3. わかりやすいアプリケーション名を入力してください(例:MCP Inbound Client)。
    4. 適切なアプリケーションタイプを選択し、使用する MCP クライアントの展開に一致させます。 通常のウェブ または .シングルページアプリケーション。 アプリケーションタイプの詳細および OAuth クライアントの設定方法については、OAuth クライアントを構成する を参照してください。
    5. オプション: 説明を入力します。
      注: MCP インバウンド用の OAuth クライアントを作成する際、リダイレクト URI フィールドは空のままにしておくことができます。 リダイレクト URL は、ツールの構成時に MCP クライアント(サードパーティ AI アシスタント)によって生成され、後で手順5で追加する必要があります。
    6. クライアントを作成をクリックします。
    作成後、システムはクライアント IDシークレット ID、およびその他の必要な情報などの重要な詳細を生成します。 これらの詳細を手元に保管しておいてください。次の手順で必要になります。
  3. サードパーティの AI アシスタントに MCP ツールを追加します。
    1. Microsoft Copilot Studio や ChatGPT などのサードパーティの AI アシスタントにサインインします。
    2. ツールセクションに移動し、Model Context Protocol (MCP) ツールを追加するオプションを選択します。
    3. サーバー名(例:Automation 360 MCP Server)と説明をツールのために入力してください。
    4. サーバー URLを入力します。 これは、Automation Anywhere Control Room の URL の後に /mcp(例:https://your-control-room-url/mcp)が続きます。 Copilot のセットアップに関する詳細については、既存の Model Context Protocol (MCP) サーバーにエージェントを接続する方法 を参照してください。
      注: OAuth で MCP を使用する場合、手動認証方法のみがサポートされています。 サードパーティの AI アシスタントで MCP ツールを構成する際は、OAuth タイプとして 手動 を選択してください。
      MCP インバウンド OAuth の設定
  4. OAuth 2.0 認証を構成します。
    1. Control Room(ステップ 2)で取得した OAuth クライアントの詳細から、クライアント IDシークレット ID認証 URLトークン URL、および リフレッシュ URL をコピーします。
    2. これらのコピーした詳細を、サードパーティ AI アシスタントの MCP ツール認証設定内の対応するフィールドに貼り付けてください。
  5. Control Room のリダイレクト URL を更新します。
    1. サードパーティの AI アシスタントで MCP ツールの作成を完了すると、リダイレクト URLが生成されます。
    2. このリダイレクト URLをサードパーティの AI アシスタントからコピーしてください。
    3. Control Room の OAuth クライアント セクションに戻り、手順 2 で作成したクライアントを 編集 します。
    4. コピーしたリダイレクト URL をクライアントの設定に貼り付けてください。
    5. 変更を保存します。
    これで統合が完了し、Control RoomとサードパーティのAIアシスタント間で安全な接続が確立されます。
  6. サードパーティ AI アシスタントでユーザー接続を確立します。: サードパーティの AI アシスタント内で統合された MCP ツールを初めて使用する際、認証を求められます。 OAuth フローに従い、Automation AnywhereControl Room 資格情報を使用して権限を付与してください。
    接続が確立されました。
  7. アクセスおよびトリガーツール(自動化/AI エージェント/プロセス)。
    1. 接続が確立されると、サードパーティの AI アシスタントはAutomation Anywhere MCP サーバーから利用可能なツールを一覧表示します。 これらには、DiscoverAutomationRunAutomationGetAutomationResult などの標準的な静的ツールに加え、Control Room で設定したカスタムのインバウンドツールも含まれます。
    2. ロールベースアクセス制御(RBAC): これらのツールの可視性および実行機能は、Control Roomで設定されたユーザーの RBAC 権限によって厳格に管理されています。 たとえば、ユーザーは、Bot 閲覧 および Bot 実行 の権限を持っている Bot のオートメーションのみを発見または実行できます。
    自然言語を使用して、サードパーティアシスタント経由で自動化を会話形式でトリガーできるようになりました。
認証ヘッダーが欠落している場合または無効な場合の MCP クライアントの動作
  • 認証ヘッダーが不足しているか不正な場合、MCP クライアントは自動的に OAuth 認証を試行します。
  • 認証に失敗した場合、MCP クライアントは次のようなエラーメッセージを表示します:
    {"error": "Unauthorized", "message": "Missing or invalid headers: API_KEY, USER_NAME, Authorization or X-AUTH"}
  • MCP クライアントの実装(たとえば、Microsoft Copilot やその他の MCP 互換クライアント)によっては、OAuth 認証が失敗したことを示す追加のエラーメッセージが表示される場合があります。
注: エラーメッセージは、使用するMCPクライアントによって異なる場合があります。
トークン処理
  • MCP クライアントは、トークンの有効期限が切れた際にアクセス トークンのリフレッシュを自動的に管理します。
  • 通常の運用中にトークンを手動で更新する必要はありません。
認証方法

MCP インバウンドは、標準のアイデンティティプロバイダーを使用した OAuth ベースの認証をサポートしています。

  • OIDC(OpenID Connect)
  • SAML ベースの認証

認証エクスペリエンス(例えば、ログインプロンプトや同意画面)は、設定されたアイデンティティプロバイダーによって異なります。