SSO und Identitäten: der erste Baustein
Vor der ersten Nutzerverbindung verbinden Sie den Assistenten mit Ihrem Verzeichnis (Azure AD, Google Workspace, LDAP, Keycloak). Drei Vorteile:
- Keine zusätzlichen Passwörter zu verwalten.
- Automatische Deaktivierung eines Kontos, wenn der Nutzer die Organisation verlässt.
- Anwendung der bereits geltenden Passwort- und MFA-Richtlinien.
Auf Protokollseite: SAML 2.0 oder OIDC sind Standard und müssen von Ihrem Anbieter ohne Zusatzkosten unterstützt werden.
ACL und Berechtigungen: der dichte Perimeter
Der gesamte Nutzen eines internen Assistenten beruht auf einer Sache: jeder Nutzer sieht nur das, was er sehen darf. Drei zu modellierende Ebenen:
- Nach Fachgruppe (HR sieht die Buchhaltungsdateien nicht, die Produktion sieht die Gehaltsabrechnungen nicht).
- Nach Mandant (in der Steuerkanzlei: ein Mitarbeiter im Mandat A sieht das Mandat B nicht).
- Nach Sensibilität (vertrauliche Dokumente nur für berechtigte Personen zugänglich).
Ideal: Die ACL des Assistenten erben von denen Ihres DMS oder Dateiservers. Keine doppelte Pflege.
Quell-Konnektoren: die Einspielung industrialisieren
Über das manuelle Hochladen hinaus muss der Assistent sich automatisch synchronisieren mit:
- Ihrem DMS (SharePoint, Alfresco, NextCloud, NUXEO).
- Ihren Dateiservern (CIFS/SMB, NFS).
- Ihrem Messaging oder Collaboration-Tools (je nach Fall, unter Wahrung der ACL).
- Ihren Fachanwendungen (CRM, ERP, Buchhaltungssoftware) per API.
Ohne Synchronisierung kehren Sie nach drei Monaten in den „manuellen” Modus zurück. Das Projekt stirbt.
Logs und Audit: Was zu bewahren ist
Vier ab Start zu aktivierende Logs:
- Authentifizierungsprotokoll (wer sich wann von wo verbindet).
- Anfrageprotokoll (wer welche Frage an welchen Assistenten stellt).
- Einspielprotokoll (welches Dokument von wem wann geladen wurde).
- Quellzugriffsprotokoll (welches Dokument in welcher Antwort zitiert wurde).
Typische Aufbewahrung: mindestens 12 Monate, exportierbar in Ihr SIEM, falls vorhanden.
Backups und K-Fall
Die eingespielten Dokumente sind bei Ihnen, ihre Indexierung beim Anbieter. Die Regel: alles muss aus den Quellen rekonstruierbar sein.
Vom Anbieter sind zwei Zusicherungen zu fordern:
- Tägliches Backup der Indexbasis, Wiederherstellung in weniger als 4 Stunden.
- Dokumentierter K-Fall-Plan bei Rechenzentrumsausfall, RTO < 24 h, RPO < 4 h.
Monitoring und Alarme
Drei laufend zu überwachende Indikatoren:
- Verfügbarkeit des Dienstes (% der Zeit, in der der Assistent antwortet).
- Antwortzeit (Median und 95. Perzentil).
- Rate der „ich weiß es nicht”-Antworten (steigt sie, ist das ein Driftsignal der Basis).
Idealerweise werden diese Metriken in Ihr übliches Überwachungstool exportiert (Grafana, Datadog usw.).
Für die End-to-End-Steuerung eines Projekts siehe Wie Sie Ihr KI-Assistenten-Projekt zum Erfolg führen und unsere Seite Plattform.
Dreißig Minuten per Videocall mit Ihrer IT oder Ihrem ISB. Wir gehen jeden obigen Punkt durch und identifizieren die IT-Abhängigkeiten, die zu antizipieren sind.
Demo buchen→