Shiba Code Labs LogoShiba Code Labs
Von einer 10 Minuten RAG-Demo zum Teams Enterprise-Copilot: OAuth2, SSO und echte Business-Kontexte
KI-AgentenWorkflowKIAutomatisierungMicrosoft TeamsMicrosoft 365OAuth2SSOIntegration

Von einer 10 Minuten RAG-Demo zum Teams Enterprise-Copilot: OAuth2, SSO und echte Business-Kontexte

Michael Haushofer

Michael Haushofer

16. Juni 2025

Erinnern Sie sich an unsere 10-Minuten KI-Wissensdatenbank? Das war ein netter Proof-of-Concept – aber für echte Enterprise-Nutzung fehlte ein entscheidendes Element: die Integration in den täglichen Workflow.

Das Problem kennt jeder: Ein isolierter Chatbot auf einer Webseite wird schnell vergessen. Echte Assistenten leben dort, wo die Arbeit stattfindet. Und das ist bei den meisten Unternehmen Microsoft Teams.

Aber hier wird es interessant: Die meisten "Teams Bots" sind Spielzeug. Sie haben App-Permissions (sehen alles oder nichts), arbeiten mit statischen Daten und verstehen keinen Business-Kontext. Kein Wunder, dass sie nach dem ersten Hype in der Schublade landen.

Was wäre, wenn Ihr KI-Assistent stattdessen echten Zugriff auf Ihre Kalenderdaten hätte? Ihre E-Mails lesen könnte? Salesforce-Opportunities analysiert? Mit den Rechten, die Sie als eingeloggte Person haben – nicht mehr, nicht weniger.

Genau das haben wir aus unserer simplen RAG-Demo gemacht.

Das Problem: Teams Bots bleiben an der Oberfläche

Die meisten Teams-Integrationen kranken am gleichen Problem: Sie nutzen Application Permissions statt Delegated Access. Das bedeutet:

Typischer Teams Bot (Application Permissions):

  • Sieht entweder alles oder nichts
  • Arbeitet als "Service Account"
  • Keine personalisierte Erfahrung
  • Compliance-Albtraum für IT-Abteilungen
  • Statische Daten ohne Business-Kontext

Echte Enterprise-Integration (Delegated Access):

  • Sieht nur, was der User sehen darf
  • Arbeitet als eingeloggte Person
  • Personalisierte, kontextuelle Antworten
  • Standard-Compliance durch OAuth2/SSO
  • Live-Zugriff auf alle Business-Systeme

Der Unterschied ist gewaltig. Stellen Sie sich vor:

User A (Vertrieb) fragt: "Zeig mir die wichtigsten Opportunities"
→ Sieht nur seine eigenen Deals

User B (Manager) fragt dasselbe:
→ Sieht alle Deals seines Teams

Gleiche Frage, völlig unterschiedliche Antworten – basierend auf echten Berechtigungen.

Die Lösung: OAuth2 + Teams AI SDK

Die technische Herausforderung lag nicht in der KI, sondern in der sauberen Integration zwischen Microsoft Teams und unserem n8n-basierten Agent-System.

Die Architektur im Überblick:

  1. Teams AI SDK / Microsoft 365 Agents Toolkit als Foundation für OAuth2/SSO
  2. n8n Workflow Engine als Agent-Orchestrator
  3. Delegated API Calls mit echten User-Rechten

Teams Integration mit nativer OAuth2/SSO

Anders als bei Standard-Bots, die mit einem festen "Bot Token" arbeiten, nutzt unser System moderne Microsoft-SDKs (Teams AI SDK oder Microsoft 365 Agents SDK) mit nativer OAuth2/SSO-Integration:

text
1User schreibt in Teams
2→ Teams AI SDK (OAuth2/SSO nativ)
3→ n8n Webhook erhält Message + User-Tokens
4→ Microsoft Graph/Salesforce APIs mit delegated access
5→ Antwort zurück an User in Teams

Das Entscheidende: Jeder API-Call läuft mit den Rechten des eingelogten Users. Nicht mit Bot-Rechten.

Bonus: Durch Azure Bot Service Channels funktioniert dasselbe System auch in Slack, Web Chat, Facebook Messenger, Telegram und allen anderen unterstützten Channels – mit derselben Business-Logic, nur OAuth-Flows müssen je Channel angepasst werden.

Von Webhook zu Business-Kontext

Unser Teams-Webhook empfängt nicht nur Text, sondern vollständigen Business-Kontext:

json
1{
2  "activity": {
3    "text": "Was steht heute an?",
4    "from": { "aadObjectId": "user-id", "name": "Max Mustermann" },
5    "localTimezone": "Europe/Berlin"
6  },
7  "tokens": {
8    "graph": "user-specific-graph-token",
9    "salesforce": "user-specific-sf-token"
10  }
11}

Diese Token sind nicht statisch – sie repräsentieren die aktuellen Berechtigungen des Users.

Warum n8n als Orchestrator? Für diesen POC war Low-Code perfekt – schnelle Iteration, visuelle Workflows, einfaches Debugging. Bei performance-kritischen Production-Systemen mit stabilen Requirements könnte man die Orchestration auch direkt in C#/JavaScript implementieren. Aber solange man noch experimentiert und optimiert, ist n8n die pragmatische Wahl.

Praxis: Wo der Unterschied sichtbar wird

Der echte Wert zeigt sich erst im täglichen Gebrauch. Hier ein paar Beispiele, wo delegated access den Unterschied macht:

Kalendermanagement mit echtem Kontext

Frage: "Verschiebe mein 14 Uhr Meeting um eine Stunde"

Standard Bot: "Ich kann keine Kalender verwalten" oder "Welches Meeting meinen Sie?"

Unser System:

  • Lädt Kalender des Users (nur seine Termine)
  • Findet das 14 Uhr Meeting automatisch
  • Verschiebt Meeting (wenn User Organizer ist)
  • Sendet automatisch Updates an alle Teilnehmer

CRM-Integration mit Berechtigungen

Frage: "Wie läuft die ACME-Opportunity?"

Standard Bot: Generische Antwort oder Fehlermeldung

Unser System:

  • Sucht in Salesforce nach "ACME" (mit User-Rechten)
  • Findet nur Opportunities, die der User sehen darf
  • Zeigt aktuelle Pipeline, nächste Schritte, Ansprechpartner
  • Kann sogar Follow-up Tasks erstellen

E-Mail-Analyse mit Personalisierung

Frage: "Welche wichtigen E-Mails habe ich verpasst?"

Standard Bot: "Ich kann nicht auf E-Mails zugreifen"

Unser System:

  • Analysiert Posteingang des Users (nicht alle E-Mails!)
  • Filtert nach Wichtigkeit und Kontext
  • Fasst Inhalte zusammen
  • Schlägt Aktionen vor (Antworten, Termine erstellen)

Live-Demo: Delegated Access in Action

Der Screenshot zeigt unser System bei echter Arbeit – mit echten User-Daten durch delegated access:

Teams Enterprise Copilot Screenshot mit delegated access

Teams Enterprise Copilot Screenshot mit delegated access

Was hier passiert:

  • User Profile: Echte Daten aus Microsoft Graph (Name, E-Mail, Jobtitel, Standort)
  • Kalendertermine: Live-Zugriff auf Outlook-Kalender mit Details
  • Personalisierung: "Deine wichtigsten Termine" statt generische Antworten
  • Business-Kontext: Konkrete Meetings wie "Kaster GmbH Demo" oder "KI-Initiative Status-Update"

Das ist der Unterschied zwischen App Permissions ("alle Kalender oder keine") und delegated access ("genau die Termine, die dieser User sehen darf").

Die Evolution in Zahlen

Von der 10-Minuten-Demo zum Enterprise-Copilot:

  • 10-Minuten-Demo: 1 Wissensdatenbank, statische PDFs
  • Teams Integration: 20+ Microsoft Graph APIs, Live-Daten
  • Business-Systeme: + Salesforce, + weitere via OAuth2
  • User-Kontext: Personalisierte Antworten statt generische Infos

Was als einfacher RAG-Chatbot begann, ist zu einem vollwertigen Business-Assistenten geworden, der:

  • In Echtzeit auf alle Business-Systeme zugreift
  • Mit echten User-Rechten arbeitet
  • Komplexe Multi-System-Workflows orchestriert
  • Nahtlos in den täglichen Workflow integriert ist

Lessons Learned: OAuth2 ist nicht optional

Nach diesem Projekt steht fest: Delegated Access ist nicht nice-to-have, sondern Grundvoraussetzung für echte Enterprise-KI.

Was wir gelernt haben:

1. Compliance wird einfacher, nicht schwerer
Mit delegated access arbeitet die KI mit Standard-Berechtigungen. Keine Sonder-Accounts, keine "God-Mode" Service-Accounts.

2. User Adoption steigt dramatisch
Wenn die KI relevante, personalisierte Antworten gibt statt generischer Phrasen, wird sie tatsächlich genutzt.

3. Business-Kontext ist entscheidend
Ein Assistent, der nur Text versteht, ist kein Assistent. Echte Assistenten verstehen Ihr Business.

4. Microsoft verspricht viel, liefert Grundlagen
Teams AI SDK und Microsoft 365 Agents SDK bieten OAuth2/SSO-Templates – aber die Implementation, Debugging und Multi-Tenant-Scenarios erfordern trotzdem Entwicklungsarbeit.

5. Low-Code für POCs, Custom Code für Performance
Für Prototyping und Iteration ist n8n ideal. Bei performance-kritischen Production-Systemen könnte man die Orchestration auch direkt in C#/JavaScript implementieren – aber nur wenn nötig.

6. Build Once, Deploy Everywhere
Azure Bot Service Channels ermöglichen es, denselben Agent in Teams, Slack, Web Chat, Telegram und 15+ anderen Plattformen zu nutzen – die Business-Logic bleibt gleich, nur OAuth-Flows sind channel-spezifisch.

Was als nächstes kommt

Diese Teams-Integration war nur der erste Schritt. In den kommenden Blog-Posts zeigen wir:

Teil 2: Wie aus einem Agent ein Multi-Agent-System wird – mit spezialisierten KI-Assistenten für verschiedene Business-Bereiche

Teil 3: Der Paradigmenwechsel von reaktiv zu proaktiv – wenn der Assistent Sie über wichtige Entwicklungen informiert, bevor Sie fragen

Modularer Ausbau: Ihr Weg zur Enterprise-KI

Sie müssen nicht gleich ein komplettes Multi-Agent-System aufbauen. Der Weg dorthin ist modular:

Stufe 1: Teams Bot mit einfachen APIs (Kalender, E-Mail)
Stufe 2: + CRM-Integration (Salesforce, HubSpot)
Stufe 3: + Multi-Agent-Orchestration (verschiedene Spezialisten)
Stufe 4: + Proaktive Benachrichtigungen (Event-driven)

Jede Stufe bringt sofort Mehrwert. Jede Stufe baut auf der vorherigen auf.

Fazit: Von Demo zu Production

Was als 10-Minuten-Experiment startete, ist zu einem Production-ready Enterprise-System geworden. Der Schlüssel war nicht bessere KI-Modelle, sondern bessere Integration.

Die wichtigste Erkenntnis: Enterprise-KI scheitert selten an der KI, sondern an der Integration. OAuth2, SSO und delegated access sind die Grundlagen, die den Unterschied zwischen Spielzeug und echtem Business-Tool ausmachen.

Wenn Sie heute ein KI-System für Ihr Unternehmen evaluieren, fragen Sie nicht nur: "Wie gut ist die KI?" Fragen Sie: "Wie gut ist die Integration in meine bestehenden Systeme?"

Die Antwort entscheidet über Erfolg oder Schublade.

Haben Sie Fragen zur Teams-Integration oder OAuth2-Implementation? In unserer Beratung zeigen wir Ihnen, wie Sie von der Demo zur Production-Lösung kommen – mit Ihren bestehenden Systemen und Ihrem Budget.

Jetzt Gespräch vereinbaren
← Zurück zur Blogübersicht