Aktivieren von SSO zwischen Moodle und WebUntis
Sie können als Administrator in der Konfiguration SSO für Ihre Moodle-Instanz aktiveren
'SSO Aktiv' führt zu einer automatischen Verknüpfung zwischen der Moodle Login Page und WebUntis
💡 Hinweis: Um SSO zu benutzen müssen Schüler*innen eine E-Mail Adresse und einen Nutzernamen aufweisen. Diese müssen sowohl in WebUntis als auch in Moodle eingetragen (wird beim erstellen über dem Connector automatisch übernommen) werden und die E-Mail Adressen müssen ident sein. Dies ist eine Anforderung von Moodle.
💡 Hinweis: "Moodle in neuem Tab öffnen" ist eine relevante Einstellung für SSO. Wenn aktiviert, öffnet sich Moodle in einem neuen Browser-Tab. Dadurch ist bei der Verwendung von SSO kein zusätzlicher Login erforderlich. Wenn Moodle innerhalb von WebUntis geöffnet wird, ist aufgrund von Sicherheitsrichtlinien im Browser trotz der Verwendung von SSO ein separater Login notwendig.
Konfiguration von SSO in Moodle
Sobald Sie die Funktion 'SSO Aktiv' gewählt haben und die Konfiguration speichern, wird er Connector die Konfiguration vom SSO in Ihrer Moodle Instanz automatisch einstellen.
💡 Hinweis: Sie können die automatische Konfiguration vom Oauth Service auch neu erneut triggern, indem Sie die 'SSO Aktiv' Option deaktivieren (und speichern) und erneut aktivieren (und speichern).
Manuelle Konfiguration
Falls es bei der Konfiguration von SSO Probleme gibt, können für eine manuelle Konfiguration von Oauth in Moodle, auf der Verbindungsseite, die nötigen Client-Daten für Moodle erstellt oder inspiziert werden.
Die nötigen Client Daten werden automatisch erstellt, wenn die Verbindung zu Moodle mit SSO hergestellt wird. Auch wenn die Verbindung fehlschlägt, werden in der Konfiguration der Verbindung eine ClientID und ein ClientSecret erstellt und hinterlegt.
In Moodle unter 'Website-Administration/Server/Oauth 2-Services' einen 'Nutzerdefinitiertes' Service anlegen.
Bei den Einstellungen die
- clientId (aus WebUntis Verbindungsseite)
- Client-Secret (Aus der Webuntis Verbindungsseite)
- Name (beliebig)
- Dieser Service wird verwendet - Muss auf 'Anmeldeseite und interne Services' gestellt sein
- Angezeigter Name auf der Anmeldeseite (Beliebig)
- Scopes auf default (openid profile e-mail) belassen
- E-Mail-Bestätigung nicht notwendig
Dann müssen beim Service unter 'Bearbeiten\Endpunkte konfigurieren" diese Endpunkte eingetragen werden:
| Authorization_endpoint | https://moodle.app.webuntis.com/oauth2/authorize/{tenantId} Hier muss {tenantID} durch Ihre Tennant ID (unter Administrator - Plattform den Connector öffnen) ersetzt werden |
| token_endpoint | https://moodle.app.webuntis.com/oauth2/token |
| userinfo_endpoint | https://moodle.app.webuntis.com/userinfo |
Für die Benutzer-Zuweisung gelten folgende Felder:
| Externer Feldname | Interner Feldname |
| name | username |
💡 Hinweis: Wenn der Untis Connector für Moodle aus der Plattform entfernt wird bevor die Verbindung zu Moodle getrennt wird, wird die Konfiguration in Moodle nicht entfernt und der 'Login mit WebUntis' Button bleibt bestehen. Die SSO Funktionalität ist dann aber nicht mehr gegeben. Der Button in Moodle kann durch die manuelle Entfernung der OAuth Konfiguration wieder entfernen werden.
💡 Hinweis: User die über den Untis Connector für Moodle angelegt werden müssen beim erstmaligen Login ihr Passwort ändern. Das initiale Passwort wird dem User per E-Mail zugesendet und wird für das SSO nicht weiter benötigt. Die initiale Passwortänderung kann in Moodle bei Schülern eingestellt werden, sodass diese das initial versandte Passwort nicht ändern müssen. Dies ist ein potentielles Sicherheitsrisiko. Die Einstellung kann für Benutzer einzeln in Moodle aktualisiert werden.