Einrichtung

Einen GovBridge-Endpunkt für eine Behörden-Organisation provisionieren, Backend-Credentials hinterlegen und die Bridge in SovrGPT verbinden.

Die Einrichtung erfolgt in zwei Schritten: Ein Plattform-Admin provisioniert den Endpunkt, dann wird der einmalig angezeigte Bridge-Token in der Behörden-Organisation hinterlegt.

Voraussetzungen

Die Organisation hat das Entitlement Behörden-Konnektoren (schaltet ein Plattform-Admin frei). Ohne Entitlement wird die Org im Formular mit „⚠ ohne Behörden-Entitlement" markiert.
Auf dem Server ist GOVBRIDGE_ENCRYPTION_KEY (32-Byte base64) gesetzt — sonst ist die Provisionierung deaktiviert.
Je nach Protokoll ein erreichbares Backend mit Dienstkonto (Basic oder OAuth2 Client-Credentials):
- CMIS: ein CMIS-1.1-Browser-Binding-Endpunkt des DMS.
- FIT-Connect: eine Submission-API-v2-Instanz (FITKO) mit den Zustellpunkten (Destinations), an die eingereicht werden soll.

Schritt 1 — Endpunkt provisionieren

Unter Sidebar → Plattform-Admin → GovBridge (/admin/govbridge) das Formular „Neuen Endpoint provisionieren" ausfüllen:

Feld	Bedeutung
Organisation	Ziel-Org, der der Endpunkt gehört.
Protokoll	`CMIS (DMS/Akte)` oder `FIT-Connect (Zustellung)`.
Backend-Base-URL	Bei CMIS der Browser-Binding-Endpunkt des DMS (Service-Dokument); bei FIT-Connect die Submission-API-v2-Instanz.
Schreibzugriff	Aktiviert die Schreib-Werkzeuge (`allow_writes`). Standard: aus.
Auth-Modus	`OAuth2 Client-Credentials` (Default) oder `Basic`.

Je nach Auth-Modus zusätzlich:

Basic: Benutzername + Passwort des DMS-Dienstkontos.
OAuth2 Client-Credentials: Token-URL (https), Client-ID, Client-Secret und optional Scope (z. B. cmis.read cmis.write).

Nach dem Absenden generiert die Plattform automatisch einen opaken Slug und einen Bridge-Token, verschlüsselt die Backend-Credentials (AES-256-GCM) und legt die Endpunkt-Zeile an.

Schritt 2 — Bridge-Token sichern

Direkt nach dem Anlegen wird der Bridge-Token einmalig angezeigt („Neuer GovBridge-Token – nur jetzt sichtbar"). Diesen Wert sofort kopieren:

Gespeichert wird ausschließlich sein SHA-256-Hash — der Klartext ist danach nicht wieder abrufbar.
Geht er verloren, muss der Endpunkt neu provisioniert (oder ein neuer Token erzeugt) werden.

Schritt 3 — In SovrGPT verbinden

Der Endpunkt ist über die zwei Faktoren erreichbar:

URL: https://govbridge.sovrgpt.com/<slug>/<protocol> (z. B. …/abcd1234/cmis).
Header: Authorization: Bearer <bridge-token>.

In der Behörden-Org wird dieser MCP-Endpunkt wie jeder andere MCP-Server eingebunden (siehe Eigene Systeme anbinden und MCP-Server). Anschließend erscheinen die zum Protokoll passenden Werkzeuge im Composer:

CMIS → cmis_*: Akten suchen, Metadaten und Inhalte lesen sowie — bei aktiviertem Schreibzugriff — Dokumente ablegen und verschieben.
FIT-Connect → fit_*: Zustellpunkte prüfen sowie — bei aktiviertem Schreibzugriff und nach Bestätigung — Anträge einreichen.

Test des Endpunkts

Ein schneller MCP-initialize-Handshake bestätigt Erreichbarkeit und Token:

curl -s https://govbridge.sovrgpt.com/<slug>/<protocol> \
  -H "Authorization: Bearer <bridge-token>" \
  -H "Content-Type: application/json" \
  -d '{"jsonrpc":"2.0","id":1,"method":"initialize","params":{"protocolVersion":"2025-06-18"}}'

<protocol> ist das provisionierte Protokoll (cmis oder fit-connect) und muss exakt passen. Erwartet wird eine JSON-RPC-Antwort mit serverInfo.name ("GovBridge CMIS" bzw. "GovBridge FIT-Connect"). Ein 401 bedeutet, dass Slug oder Token nicht passen (welcher Faktor, wird bewusst nicht verraten).

Verwaltung & Widerruf

Im Admin-Dashboard werden alle Endpunkte (ohne Secrets) gelistet — inklusive Slug, Protokoll, Token-Prefix, Auth-Modus, Schreibflag und Status. Ein Endpunkt kann deaktiviert oder widerrufen werden; widerrufene Zeilen werden von der Bridge nicht mehr aufgelöst. Jede Aktion landet im Audit-Log.