Im Rahmen eines technischen Updates wird das zentrale Login-Verfahren für WebUntis modernisiert. Diese Änderung betrifft alle Schulen, die sich per SSO (Single Sign-On) authentifizieren.
Die Umstellung erfordert gegebenenfalls technische Anpassungen durch Sie und muss bis spätestens 01.07.2025 abgeschlossen sein. Danach sind ausschließlich die neuen zentralen SSO-Domains funktionsfähig.
Diese Anpassungen sind notwendig um die Funktionsfähigkeit der Anmeldung sicherzustellen. Bitte planen Sie daher die Umstellung rechtzeitig ein.
Bin ich betroffen?
Die Umstellung betrifft alle Schulen, die eine der folgenden Technologien zur Anmeldung verwenden:
-
OpenID Connect (OIDC)
-
Office365 (O365)
-
SAML
Ob Ihre Schule eine dieser Anwendungen verwendet, erkennen Sie daran, dass hier Einstellungen hinterlegt sind bzw. Einträge in den einzelnen Feldern vorhanden sind.
So prüfen Sie Ihre Konfiguration:
Navigieren Sie in WebUntis zu Administration > Integration
und kontrollieren Sie, ob eine der drei Technologien in Verwendung ist.
Wenn die Eingabefelder bei Ihnen leer sind, müssen Sie nichts weiter tun - Sie können hier aufhören zu lesen.
Sind Einträge vorhanden, lesen Sie bitte unbedingt weiter!
Zeitlicher Ablauf
🟡 Ab wann kann getestet werden?
Ein Test der neuen SSO-Integrationen ist ab 05.06.2025, 15:00 Uhr, mit dem WebUntis-Release 2025.13.0 möglich.
🟢 Parallelbetrieb bis zur Deadline
-
Zeitraum: 05.06.2025 – 30.06.2025
-
Während dieses Zeitfensters sind beide Varianten – alte und neue – gleichzeitig verwendbar.
-
Dies ermöglicht ein risikofreies Testen und eine schrittweise Umstellung.
Sie können frei wählen, wann in diesem Zeitraum die Umstellung für Ihre Schule am besten passt.
🔴 Ab 01.07.2025
-
Nur noch die neuen zentralen Domains sind gültig.
Ohne Umstellung besteht die Möglichkeit, dass keine Anmeldung mehr für Ihre Benutzer möglich ist.
Technische Umstellung: Was ist zu tun?
1. Domains freigeben (Allow-Listing)
Falls in Ihrem Netzwerk ein Schulnetzfilter im Einsatz ist, so stellen Sie bitte sicher, dass folgende Domains freigegeben sind:
-
o365.webuntis.com -
oidc.webuntis.com -
saml.webuntis.com
Hinweis: Wenden Sie sich ggf. an Ihre IT-Administration.
2. Umsetzung je nach SSO-Technologie
🔹 Office365
-
Hier ist sonst nichts zu tun
🔹 OIDC
-
Am Identity Provider (IDP) müssen Sie die Domain
oidc.webuntis.comals Allowed Redirect Host hinterlegen:- Callback URL: https://oidc.webuntis.com/WebUntis/oidc/callback
- Logout URL: https://oidc.webuntis.com/WebUntis/
-
🔍 Hinweis:
Bei Azure AD genügt es, die Domain einmal in der Liste der Umleitungs-URIs zu hinterlegen.
Bei anderen IDPs (z. B. Keycloak, Auth0) müssen Login- und Logout-Redirects ggf. separat eingetragen werden.
-
In WebUntis die Option
Zentrale Redirect URI verwenden (Preview)aktivieren -
Speichern klicken
-
Login testen
Sollte es nach der Umstellung Probleme bei der Anmeldung geben können Sie die Option einfach wieder deaktivieren. Kontaktieren Sie anschließend bitte Ihren regionalen WebUntis-Support.
🔹 SAML
-
Registration ID prüfen
Prüfen Sie inAdministration > Integration > SAML, ob das Feld Registration ID befüllt ist.
Falls leer: Kontaktieren Sie bitte Ihren regionalen WebUntis-Support.
Dieses Feld muss nur befüllt sein, wenn Ihre Schule SAML verwendet, also wenn hier Einstellungen hinterlegt sind. -
Neue Metadaten übernehmen
-
Klicken Sie auf den Button „Download new Metadata XML“
-
Hinterlegen Sie die XML-Datei bei Ihrem eingesetzten SAML IDP (z. B. Azure AD, Keycloak o. ä.).
-
Der Rest der Konfiguration am IDP bleibt unverändert
-
-
Login testen
Klicken Sie auf „Test Login“, um die Anmeldung mit der neuen SAML-Integration zu testen. -
Aktivierung für alle Benutzer
Aktivieren Sie anschließend die Checkbox „Neue SAML-Implementierung verwenden“ und speichern Sie die Änderung.
Unterstützung
-
Bei Fragen wenden Sie sich bitte an Ihren regionalen WebUntis-Support.