WebUntis kann so konfiguriert werden, dass ein Login mit den Zugangsdaten von einem anderen Identity Provider möglich ist. Hierbei unterstützen wir unter Anderem die weit verbreitete Technologie OpenID Connect (OIDC).
Aktivierung in WebUntis
Geben Sie Ihren SSO-Provider in WebUntis unter <Administration> | <Integration> | <OpenID Connect> ein und speichern Sie die Einstellungen.
Identifikation und automatische Erstellung eines Benutzers
Wenn Sie nicht möchten, dass Benutzer dynamisch erstellt werden, können Sie die Funktion mit der Option "Unbekannten Benutzer nach erfolgreicher Anmeldung anlegen" deaktivieren. Durch Deaktivierung dieser Option können sich nur Benutzer anmelden, die bereits einen Benutzer in WebUntis besitzen.
Die Benutzerrolle (Lehrkraft, Schüler*in oder Erziehungsberechtigte) kann durch den Vergleich mit einem Benutzerattribut bestimmt werden.
Vergleich mit einem Attribut
In diesem Fall identifiziert der Eintrag im Feld "Personenrolle" die Rolle, z. B. "Lehrkräfte". Der Name des Attributs, welches die Rollenbezeichnung, z. B. 'untis_role', enthält, muss im Feld "Personenrolle" eingegeben werden. Der Benutzer wird somit als Lehrkraft identifiziert, wenn für einen Benutzer die Bezeichnung "Lehrkraft" im Attribut "untis_role" gefunden wird.
Die Identifizierung der Rolle bedeutet, dass die Standardrechte definiert werden können. Dafür werden Benutzergruppen, z. B. Lehrkräfte, benötigt. Wenn Attribute miteinander verglichen werden, müssen die Benutzergruppen-Namen ident mit den Einträgen in den Feldern "Personenrolle" sein.
Wenn in WebUntis keine übereinstimmende Benutzergruppe gefunden wird, wird die DefaultBenutzergruppe herangezogen.
Zusätzliche Angaben sind erforderlich, um die Person zu identifizieren. Diese Angaben können sich für Lehrkräfte, Schüler*innen und Erziehungsberechtigte unterscheiden. Identifizierung bedeutet, dass das System nach einer geeigneten Person/Stammdaten (Lehrkräfte, Schüler*innen oder Erziehungsberechtigte) für den Benutzer sucht.
Es gibt einige Möglichkeiten, um eine Identifizierung durchzuführen:
Einzelattribut : Diese Methode ist normalerweise die effektivste, da kein Namensvergleich erforderlich ist. Diese Methode vergleicht einen eindeutigen Wert aus einem WebUntis-Feld der Person mit dem persönlichen Attribut vom IDP.
Mögliche Felder in WebUntis sind von der Rolle abhängig und können im Dropdownfeld "Elementdaten ID-Feld" ausgewählt werden.
Der Name des Attributs vom IDP wird in das Feld "Authentifizierungsattribut" eingegeben. Beispiel: Der Kurzname der WebUntis-Lehrkraft wird auch beim IDP unter dem Attribut "untis_shortname" gespeichert. "untis_shortname" wird daher in das Feld "Authentifizierungsattribut" eingegeben und "Kurzname" im Dropdown "Elementdaten ID Feld" ausgewählt.
Attribut für Nachname und Vorname
Diese Methode verwendet den Namen zur Identifizierung. Nachname und Vorname müssen in verschiedenen Attributen beim IDP existieren. Beide Attribute werden im Feld "Authentifizierungsattribut", mit einem Komma getrennt, eingegeben - zuerst das Attribut für den Familiennamen und dann das Attribut für den Vornamen. Da der Name alleine in vielen Fällen nicht eindeutig ist, empfehlen wir die Identifikation mit einem eindeutigen Einzelattribut!
Erklärung der Eingabefelder:
*Diese Werte lesen Sie bitte bei ihrem Identity Provider aus.
Eingabefeld |
Beschreibung |
Beispielwert |
---|---|---|
Client ID* |
Die Client-ID von Ihrem IDP. |
12_cqr49hu3adesd676sd78s40kskosc8wgkocgadado97898adawscwksoc04 |
Client Secret* |
Das Client-Secret von Ihrem IDP. |
1koi8m4rasdjaks9898skck0kgco0ksswcasdasd7a6d76ow44o4soc8 |
Authentication Server Endpoint Url* |
Die URL zu Ihrem OIDC-Autorisierungs-Endpoint. |
|
Token Endpoint Url* |
Die URL zu Ihrem OIDC-Token-Endpoint. |
|
User Info Endpoint Url* |
Die URL zu Ihrem OIDC-UserInfo-Endpoint. |
|
Scopes |
Angabe welche Scopes übertragen werden. |
email youridp:webuntis |
Bezeichnung des SSO Login Buttons |
Definiert wie der Button auf der Login-Seite heißt. |
Anmelden mit XY |
Attributname für die Benutzeridentifikation |
Attributsname des IDP mit dem der Benutzer identifiziert wird. |
untis_username |
Fremdbenutzername benutzen |
Gibt an ob in WebUntis mit dem Benutzernamen oder dem Fremdbenutzernamen verglichen werden soll. |
Ja |
Mailattribut |
Attributsname des IDP in dem die Mailadresse des Benutzers enthalten ist. |
|
Unbekannten Benutzer nach erfolgreicher Anmeldung anlegen |
Gibt an ob nicht vorhandene Benutzer in WU automatisch angelegt werden sollen. |
Nein |
Anmeldung für nicht identifizierten Benutzer verbieten |
Gibt an ob eine autom. Benutzeranlage durchgeführt werden soll, obwohl die passende Person in WebUntis (Stammdaten) nicht gefunden wurde. |
Ja |
Rollenattribut |
Attributsname des IDP in dem die Rolle des Benutzers enthalten ist |
untis_role |
Rollenidentifzierung |
Gibt an wie die Rollenidentifizierung stattfinden soll.
|
Attribut |
Rollenbezogene Einstellungen |
||
Personenrolle |
Name der Rolle des Benutzer bei Ihrem IDP. Also der Inhalt vom oben definierten Rollenattribut. |
ROLE_TEACHER |
Personenidentifizierung |
Gibt an wie die Personenidentifizierung stattfinden soll. |
Einzelattribut |
Authentifizierungsattribut |
Attributsname des IDP in dem die ID der Person enthalten ist. |
untis_person |
Elementdaten ID Feld |
Attributsname aus WebUntis mit dem die Person in WU identifiziert werden soll. |
name |
Standardbenutzergruppen |
WU-Benutzergruppen entsprechend der Personenrollen. |
Lehrkräfte |