Inovativi logo
ENDE
← Zurück zu den Fallstudien
Interne R&D-Referenzarchitektur

Nervora: Kontrollierte Tool-Ausführung für Enterprise-AI-Agenten

Eine sichere MCP-Gateway-Referenzarchitektur, die zeigt, wie AI-Agenten Enterprise-Tools nutzen können, ohne Identität, Rollenrechte, Auditierung, Freigaben und operative Kontrollen zu umgehen.

Kontext

Nervora ist Inovativis Flaggschiff-Referenzarchitektur für die sichere Tool-Ausführung von Enterprise-AI. Sie demonstriert, wie AI-Agenten über ein kontrolliertes MCP-Gateway mit Geschäftssystemen interagieren können — statt über direkten, unkontrollierten API-Zugriff. Das System umfasst OIDC-Authentifizierung, Tool-Level-RBAC, PII-Redaktion, Dry-Run-Handling für sensible Schreibaktionen, asynchrone Job-Ausführung, Idempotenz, strukturierte Audit-Logs und OpenTelemetry-Tracing.

Problem

Die meisten Enterprise-AI-Piloten scheitern beim Übergang von Chat-Oberflächen zu realen Geschäftssystemen. Das Schwierige ist nicht die Texterzeugung, sondern Agenten einen sicheren, auditierbaren und policy-kontrollierten Zugriff auf Tools, Daten, Workflows und Legacy-Systeme zu geben. Unternehmen müssen wissen, wer was aufgerufen hat, welche Rolle es erlaubt hat, welche Daten offengelegt wurden, ob die Aktion lesend oder destruktiv war und ob Fehler ohne versehentliche Doppelausführung wiederholt werden können.

Was gebaut / modernisiert wurde

Nervora fungiert als kontrollierte Ausführungsschicht zwischen AI-Agenten und Enterprise-Systemen. Statt Agenten direkten Zugriff auf Backend-Systeme zu erlauben, laufen alle Tool-Calls über ein policy-bewusstes MCP-Gateway. Das Gateway validiert die Identität, prüft Tool-Level-Berechtigungen, redigiert sensible Daten, protokolliert jede Entscheidung, leitet langlaufende Aufgaben über einen asynchronen Worker-Pfad und blockiert destruktive Aktionen, sofern sie nicht ausdrücklich freigegeben sind oder im Dry-Run-Modus laufen.

Kontrollierter Ausführungspfad

  1. AI-Agent

    Finance-, Sales- oder HR-Agent fordert ein Tool an

  2. OIDC-Authentifizierung

    Azure-Entra-ID-fähige Identitätsschicht

  3. Tool-Level-RBAC

    Per-Tool-Berechtigungsmatrix nach Rolle

  4. PII-Redaktionsgrenze

    Sensible Felder vor modellsichtbarer Ausgabe redigiert

  5. Dry-Run- / Freigabe-Gate

    Destruktive Schreibaktionen erfordern explizite Freigabe

  6. Async-Worker

    Langlaufende Jobs über Azure-Service-Bus-Abstraktion eingereiht

  7. Enterprise-Tools / Databricks

    Konnektoren zu APIs, CRM und Daten-Workflows

  8. Audit-Trail + OpenTelemetry

    Strukturierte Audit-Datensätze und geteilte Trace-IDs

Kontrollierter Ausführungspfad vom AI-Agenten zu Enterprise-Tools — inklusive Identitätsvalidierung, Tool-Level-RBAC, PII-Redaktion, asynchroner Workflow-Ausführung, Audit-Logging und Tracing.

Referenz-Demo-Flow

  1. 1. Budget-Abweichungsbericht

    Finance-Agent fordert einen Bericht an

  2. 2. Identität & Rolle validiert

    Gateway authentifiziert den Aufrufer

  3. 3. RBAC erlaubt den Call

    Tool-Level-Berechtigung erteilt

  4. 4. Bericht ausgeführt & auditiert

    Ergebnis zurückgegeben, Audit-Datensatz geschrieben

  5. 5. Databricks-Workflow ausgelöst

    Finance-Agent startet einen langlaufenden Job

  6. 6. Asynchron eingereiht

    Über den Worker-Pfad geleitet

  7. 7. Worker verarbeitet den Job

    Job erfolgreich abgeschlossen

  8. 8. Doppelter Idempotency-Key

    Gleiche Job-ID zurückgegeben, keine Neuausführung

  9. 9. Sales-Agent HR-Zugriff verweigert

    Rollenübergreifender Zugriff blockiert und protokolliert

  10. 10. HR-Profil-Redaktion

    PII-Felder in der Ausgabe redigiert

  11. 11. CRM-Update als Dry-Run

    Vorschlag erfordert menschliche Freigabe

  12. 12. Destruktive Ausführung blockiert

    Standardmäßig deaktiviert

Eine End-to-End-Demonstration der Governance-, Async-Ausführungs-, Idempotenz-, RBAC-, Redaktions- und Freigabe-Kontrollen von Nervora.

Security-Flow

  • OIDC- / Azure-Entra-ID-fähige Authentifizierung für jeden Aufrufer
  • Tool-Level-RBAC-Matrix am Gateway durchgesetzt
  • Sensible HR-Tools nur für HR-/Admin-Rollen verfügbar
  • Sales-Agenten von HR-Daten ausgeschlossen
  • PII-Felder vor modellsichtbarer Ausgabe redigiert
  • Destruktive CRM-Updates standardmäßig deaktiviert
  • CRM-Änderungen als Dry-Run-Vorschläge mit menschlicher Freigabe erstellt
  • Verweigerte Calls werden protokolliert, nicht still ignoriert

Tool-Calling-Kontrollen

  • Tool-Registry mit expliziten Policy-Metadaten — keine versteckten Tools
  • Tool-Policies klassifizieren Lese-, Schreib-, destruktive, synchrone, asynchrone und PII-sensible Operationen
  • Idempotency-Keys für sichere Wiederholungen externer Aktionen
  • Ausschließlich asynchrone Ausführung für langlaufende Jobs
  • Dry-Run-Vorschläge, bevor eine destruktive Schreibaktion ausgeführt wird
  • Dead-Letter-Queue- und Retry-Design für fehlgeschlagene Jobs

Observability

  • Strukturierte Audit-Datensätze für jeden Tool-Call
  • Geteilte Trace-IDs über Gateway, Worker und Audit-Datensätze
  • OpenTelemetry-Spans für Auth, RBAC, Redaktion, Queueing, Worker-Ausführung und Audit-Writes
  • Klare Fehlerzustände für verweigerte, Dry-Run-, eingereihte, ausgeführte und fehlgeschlagene Aktionen

Databricks & Daten-Workflow-Integration

  • Databricks-Workflow- / SQL-Warehouse-Konnektor-Abstraktion
  • Asynchroner Ausführungspfad über eine Azure-Service-Bus-Abstraktion
  • Worker-Service für langlaufende Workflows
  • Job-Status-Tracking statt synchronem Blockieren
  • Idempotente Wiedereinreichung gibt die ursprüngliche Job-ID zurück

Produktions-Urteilsvermögen — was wir bewusst nicht zulassen

  • Agenten können destruktive Schreibaktionen nicht ohne explizite Freigabe ausführen.
  • Agenten können Tool-Level-RBAC nicht umgehen.
  • Agenten können nicht auf rohe PII zugreifen, sofern die Policy es nicht erlaubt.
  • Agenten können langlaufende Jobs nicht synchron auslösen.
  • Agenten können nicht-idempotente Aktionen nicht ohne Idempotency-Key wiederholen.
  • Agenten können keine versteckten Tools außerhalb der veröffentlichten Tool-Registry aufrufen.
  • Agenten können im Demo-Modus nicht direkt in Produktionssysteme schreiben.
  • Agenten können das Audit-Logging nicht unterdrücken.

Workflow-Highlights

  • FastAPI-basiertes MCP-Gateway mit typisierter Tool-Schnittstelle
  • Tool-Registry mit expliziten Policy-Metadaten
  • OIDC- / Azure-Entra-ID-fähige Authentifizierungsschicht
  • Tool-Level-RBAC-Matrix
  • PostgreSQL-Audit-Trail
  • PII-Redaktionsgrenze
  • Asynchroner Ausführungspfad über eine Azure-Service-Bus-Abstraktion
  • Databricks-Workflow- / SQL-Warehouse-Konnektor-Abstraktion
  • Idempotency-Keys, Dead-Letter-Queue und Retry-Design
  • OpenTelemetry-Tracing über den gesamten Call-Pfad

Sicherheit, Auditierbarkeit & Governance

  • Agenten können Tool-Berechtigungen nicht umgehen
  • Sensible HR-Tools sind nur für HR-/Admin-Rollen verfügbar
  • PII-Felder werden vor modellsichtbarer Ausgabe redigiert
  • Destruktive CRM-Ausführung ist standardmäßig deaktiviert und hinter Dry-Run-Freigabe gesichert
  • Verweigerte Calls werden protokolliert, nicht still ignoriert
  • Tool-Policies klassifizieren Lese-, Schreib-, destruktive, synchrone, asynchrone und PII-sensible Operationen

Geschäftsnutzen

  • Demonstriert die Governance- und Audit-Kontrollen, die nötig sind, bevor Agenten sensible Systeme berühren
  • Zeigt destruktive Aktionen hinter Dry-Run-Freigabe statt direkter Ausführung
  • Belegt asynchrone, idempotente Ausführung, sodass Wiederholungen Geschäftsaktionen nie duplizieren
  • Liefert ein konkretes, prüfbares Muster, um Enterprise-AI vom Pilot zur kontrollierten Ausführung zu bringen

Technologien

  • Python
  • FastAPI
  • MCP
  • PostgreSQL
  • OIDC / Azure Entra ID
  • Azure Service Bus
  • Databricks
  • OpenTelemetry
  • Docker Compose
  • Pytest
  • Terraform

Relevante Rollen

  • Senior AI Backend Engineer
  • MCP / OpenAPI Tool Gateway Engineer
  • AI Integration Engineer
  • DevOps / Terraform Engineer

Status & Transparenz

Nervora ist eine interne R&D-Referenzarchitektur, kein verpacktes SaaS-Produkt. Sie ist bewusst mock-first aufgebaut, mit Konnektor-Abstraktionen für Databricks, Azure Service Bus, Azure Entra ID und Enterprise-APIs. Der Zweck ist, die Governance-, Auditierbarkeits- und Ausführungskontroll-Muster zu demonstrieren, die erforderlich sind, bevor AI-Agenten an sensible reale Systeme angebunden werden — nicht, einen produktiven Einsatz zu behaupten.

Nächster Schritt

Ähnliches Projekt besprechen

Wir können dieses Muster an Ihre Systeme anpassen und die Ingenieure bereitstellen, um es umzusetzen. Erreichen Sie uns unter info@inovativi.com.

Ähnliches Projekt besprechenIngenieurprofile anfragen