Este tópico orienta você na configuração da autenticação OAuth 2.0 para ferramentas de entrada do Protocolo de Contexto de Modelo (MCP) na Automation Anywhere.

A implementação do OAuth oferece um método mais seguro e robusto para assistentes de IA de terceiros interagirem com suas automações da Automation Anywhere, mantendo a identidade do usuário e aplicando o controle de acesso baseado em funções (RBAC) sem exigir que os usuários insiram credenciais manualmente. Siga estas etapas para configurar o suporte ao OAuth 2.0 para as ferramentas de entrada do MCP. O processo envolve configuração tanto na Control Room quanto no seu assistente de IA de terceiros (por exemplo, Microsoft Copilot Studio).

Pré-requisitos

Antes de configurar o suporte ao OAuth 2.0, certifique-se de que os seguintes requisitos sejam atendidos:

  • Licença de usuário: o usuário que configura e acessa as ferramentas de MCP deve ter uma licença de Bot Runner assistido atribuída.
  • Conexão do dispositivo: o usuário Bot Runner assistido deve estar conectado a um dispositivo local registrado na Control Room. Verifique se a configuração do bot está correta e se pode ser executada com sucesso a partir da Control Room.

Permissões necessárias:

  • Permissões de IA:
    • Visualizar conexões de agentes: para ver ferramentas e conexões de entrada e saída.
    • Gerenciar conexões de agentes: para configurar e gerenciar ferramentas e conexões de entrada e saída.
  • Permissão de API: gerar chave de API.
  • Permissões de Bot:
    • Exibir meus bots e Executar meus bots.
    • Garanta que os bots necessários estejam atribuídos à função do usuário por meio do RBAC. Para obter mais informações, consulte RBAC em Control Room.

Procedimento

  1. Registrar a Control Room com serviços OAuth2: essa etapa registra a Control Room como um servidor de autorização OAuth 2.0 confiável, para que ele possa emitir e validar tokens para solicitações de MCP recebidas. Uma vez que a autenticação de entrada do MCP depende da própria Control Room atuando como autoridade de identidade, este registro é necessário antes que você possa criar um cliente OAuth ou conectar um assistente de IA de terceiros. A Control Room oferece suporte a provedores de identidade padrão para este registro, incluindo autenticação baseada em OIDC (OpenID Connect) e SAML. Se sua organização possui um IdP existente, você pode configurar a Control Room para usá-la durante o registro.
    1. Na Control Room, acesse Configurações.
    2. Registre a configuração OAuth2.0 fazendo login com suas credenciais de administrador da Control Room e gerando um token para validar e registrar os serviços OAuth 2.0. Para obter mais informações, consulte Configurar conexões OAuth na Control Room.
      Confirmação: uma mensagem de confirmação aparece quando o registro é concluído.
  2. Crie um cliente OAuth.
    1. Navegue até Gerenciar > Cliente OAuth.
    2. Clique em Criar cliente para criar um novo cliente.
    3. Insira um nome do aplicativo descritivo, por exemplo, Cliente de entrada de MCP.
    4. Selecione o Tipo de aplicativo apropriado, que corresponde à implantação do seu cliente MCP: Web regular ou Aplicativo de página única. Para obter informações detalhadas sobre os tipos de aplicativo e como configurar clientes OAuth, consulte Configurar clientes OAuth.
    5. Opcional: Insira uma descrição.
      Nota: Você pode deixar o campo URI de redirecionamento em branco ao criar o cliente OAuth para o MCP de entrada. O URL de redirecionamento é gerado pelo cliente MCP (assistente de IA de terceiros) durante a configuração da ferramenta e deve ser adicionado posteriormente na Etapa 5.
    6. Clique em Criar cliente.
    Após a criação bem-sucedida, o sistema gerará detalhes cruciais como ID do cliente, ID do segredo e outras informações necessárias. Mantenha esses detalhes acessíveis, pois você precisará deles nas próximas etapas.
  3. Adicione uma ferramenta MCP no seu assistente de IA de terceiros.
    1. Faça login no seu assistente de IA de terceiros, como o Microsoft Copilot Studio ou o ChatGPT.
    2. Navegue até a seção Ferramentas e selecione a opção para adicionar uma ferramenta de Protocolo de Contexto de Modelo (MCP).
    3. Insira um nome do servidor (por exemplo, Servidor Automation 360 MCP) e uma Descrição para a ferramenta.
    4. Digite o URL do servidor. Este é o URL da Control Room da Automation Anywhere seguido de /mcp (por exemplo, https://your-control-room-url/mcp). Para obter mais informações sobre como configurar o Copilot, consulte Conectar seu agente a um servidor de Protocolo de Contexto de Modelo (MCP) existente.
      Nota: Somente o método de autenticação Manual é compatível com OAuth com MCP. Ao configurar a ferramenta de MCP em seu assistente de IA de terceiros, selecione Manual como o tipo de OAuth.
      Configurar o OAuth de entrada do MCP
  4. Configure a Autenticação OAuth 2.0.
    1. A partir dos detalhes do cliente OAuth que você obteve na Control Room (Etapa 2), copie o ID do cliente, ID do segredo, URL de autorização, URL de token e URL de atualização.
    2. Cole estas informações copiadas nos campos correspondentes dentro da configuração de autenticação da ferramenta de MCP do seu assistente de IA de terceiros.
  5. Atualize o URL de redirecionamento na Control Room.
    1. Após você concluir a criação da ferramenta MCP no seu assistente de IA de terceiros, será gerado um URL de redirecionamento.
    2. Copie este URL de redirecionamento do seu assistente de IA de terceiros.
    3. Retorne à seção Clientes OAuth da Control Room e edite o cliente que você criou na Etapa 2.
    4. Cole o URL de redirecionamento copiado na configuração do cliente.
    5. Salve as alterações.
    Isso conclui a integração e estabelece uma conexão segura entre a Control Room e o assistente de IA de terceiros.
  6. Estabeleça a conexão do usuário no assistente de IA de terceiros: Ao usar pela primeira vez a ferramenta de MCP integrada no assistente de IA de terceiros, você será solicitado a autenticar. Siga o fluxo OAuth para conceder permissão usando suas credenciais da Control Room da Automation Anywhere.
    Uma conexão bem-sucedida foi estabelecida.
  7. Acesse e acione ferramentas (automações/agentes de IA/processos).
    1. Depois que a conexão for estabelecida, o assistente de IA de terceiros listará as ferramentas disponíveis do servidor MCP da Automation Anywhere. Estas incluem ferramentas estáticas padrão como DiscoverAutomation, RunAutomation e GetAutomationResult, juntamente com quaisquer ferramentas personalizadas de entrada que você tenha configurado na Control Room.
    2. Controle de acesso baseado em função (RBAC): a visibilidade e as capacidades de execução dessas ferramentas são estritamente regidas pelas permissões RBAC do usuário configuradas na Control Room. Por exemplo, um usuário só poderá descobrir ou executar automações para as quais possua os privilégios de Ver meus bots e Executar meus bots.
    Agora você pode acionar automações de maneira conversacional por meio do assistente de terceiros, usando linguagem natural para iniciar tarefas.
Comportamento do cliente MCP quando os cabeçalhos de autenticação estão ausentes ou inválidos
  • Se os cabeçalhos de autenticação estiverem ausentes ou incorretos, o cliente MCP tentará a autenticação OAuth automaticamente.
  • Se a autenticação falhar, o cliente MCP exibirá uma mensagem de erro semelhante a:
    {"error": "Unauthorized", "message": "Missing or invalid headers: API_KEY, USER_NAME, Authorization or X-AUTH"}
  • Dependendo da implementação do cliente MCP (por exemplo, Microsoft Copilot ou outros clientes compatíveis com MCP), mensagens de erro adicionais podem aparecer indicando que a autenticação OAuth falhou.
Nota: As mensagens de erro podem variar dependendo do cliente MCP utilizado.
Gerenciamento de tokens
  • O cliente MCP gerencia automaticamente a atualização do token de acesso quando o token expira.
  • Você não precisa atualizar os tokens manualmente durante a operação normal.
Métodos de autenticação

O MCP de entrada oferece suporte à autenticação baseada em OAuth usando provedores de identidade padrão, incluindo:

  • OIDC (OpenID Connect)
  • Autenticação baseada em SAML

A experiência de autenticação (por exemplo, prompts de login ou telas de consentimento) depende do provedor de identidade configurado.