Server ist erreichbar

DocuWare für KI-Assistenten.

Ein gehosteter, OAuth-geschützter MCP Server für DocuWare Cloud und DocuWare 7.11+. Kein lokaler MCP-Prozess nötig – verbinden, bei DocuWare anmelden und die Platform API nutzen.

Schnellstart

In drei Schritten verbinden

Ein Administrator registriert die Webanwendung einmal in DocuWare. Danach führt der MCP-Client jeden Benutzer automatisch durch den sicheren Anmeldeprozess.

1

App in DocuWare registrieren

Unter DocuWare Configuration → Integrations → App Registration eine Web Application anlegen.

2

MCP Server hinzufügen

Im MCP-fähigen Client die Server-URL https://docuware.mcp.clye.ai/mcp eintragen.

3

DocuWare verbinden

Der Browser-Wizard fragt die App-Daten ab und leitet anschließend zur normalen DocuWare-Anmeldung weiter.

Redirect URL

Diese URL muss exakt in der DocuWare App Registration hinterlegt werden:

https://docuware.mcp.clye.ai/oauth/docuware/callback

Benötigte Scopes

Die App Registration muss folgende delegierte Zugriffe erlauben:

docuware.platform dwprofile openid offline_access
Für den Verbindungswizard bereithalten: DocuWare-URL, Organization ID, Application (Client) ID, Client Secret und – falls nicht automatisch erkennbar – die Identity-Service/Issuer-URL.
Anmeldung

DocuWare bleibt die Identitätsquelle

Passwort, Single Sign-on und Mehrfaktor-Authentifizierung werden ausschließlich durch DocuWare verarbeitet. Der MCP Server sieht das Passwort nicht.

1 · ClientOAuth-Verbindung starten
2 · MCP ServerDeployment konfigurieren
3 · DocuWareSSO, Passwort oder MFA
4 · MCP ServerTokens verschlüsseln
5 · ClientMCP-Werkzeuge verwenden
Funktionsumfang

Verfügbare MCP-Werkzeuge

Der Server folgt den von DocuWare gelieferten REST-Relations. Welche Daten und Aktionen verfügbar sind, richtet sich nach Version, Lizenz und Berechtigungen des angemeldeten Benutzers.

docuware_connection_infoNur lesen

Platform-Version, Servicebeschreibung und verfügbare API-Relations abrufen.

docuware_list_file_cabinetsNur lesen

Alle für den Benutzer sichtbaren Archive und Briefkörbe der verbundenen Organisation ermitteln.

docuware_getNur lesen

Eine relative Platform-API-URL oder eine von DocuWare zurückgegebene Relation sicher lesen.

docuware_requestSchreibzugriff

JSON-basierte POST-, PUT-, PATCH- und DELETE-Aktionen über eine DocuWare-Relation ausführen.

Aktueller Stand: JSON-Funktionen der Platform API sind erreichbar. Spezialisierte binäre Upload-/Download-Werkzeuge für Dokumentdateien werden separat ergänzt.
Self-hosting

Als Docker-Container betreiben

Der Server ist ein statisches Go-Binary in einem minimalen Distroless-Image. Er benötigt keine Datenbank und kein beschreibbares Volume.

docker build -t docuware-mcp .
docker run --read-only --cap-drop=ALL \
  -p 8080:8080 \
  -e PUBLIC_BASE_URL=https://docuware.mcp.clye.ai \
  -e TOKEN_ENCRYPTION_KEY='BASE64_KEY' \
  docuware-mcp

Einen persistenten Schlüssel erzeugen:

openssl rand -base64 32
VariableStandardZweck
PUBLIC_BASE_URLlocalhostÖffentliche HTTPS-Adresse dieses Servers
TOKEN_ENCRYPTION_KEYPersistenter 32-Byte-Schlüssel für JWE-Tokens
ACCESS_TOKEN_TTL10mMaximale Lebensdauer eines MCP Access Tokens
REFRESH_TOKEN_TTL720hMaximale Lebensdauer eines MCP Refresh Tokens
ALLOWED_ORIGINSZusätzliche vertrauenswürdige Browser-Origins
ALLOW_PRIVATE_DOCUWARE_HOSTSfalsePrivate On-Prem-Ziele ausdrücklich erlauben
Sicherheitsmodell

Wenig Serverzustand, kurze Berechtigungen

Was gespeichert wird

  • Kurzlebige Hashes einmalig einlösbarer OAuth-Codes im RAM
  • Keine Dokumente oder Suchergebnisse
  • Keine persistenten Benutzerkonten

Was beim Client liegt

  • Verschlüsseltes MCP Access Token
  • Verschlüsseltes MCP Refresh Token
  • DocuWare-Verbindung nur innerhalb authentifizierter JWE-Daten
Wichtig: Ohne serverseitige Datenbank gibt es keine sofortige lokale Token-Sperrliste. Access Tokens sind deshalb kurzlebig. Ein Wechsel des Verschlüsselungsschlüssels trennt bestehende Verbindungen.
Diagnose

Endpunkte und Status

URLBeschreibungStatus
/mcpMCP Streamable HTTPOAuth geschützt
/.well-known/oauth-protected-resource/mcpOAuth Protected Resource MetadataÖffentlich
/.well-known/oauth-authorization-serverAuthorization Server MetadataÖffentlich
/health/readyReadiness HealthcheckBereit