Die Einstellung zum 'SSO Provider' finden Sie unter <Administration> | <Integration> | <SAML>
Zertifikate und Ports
- Es werden nur offiziell signierte Zertifikate (inkl. LetsEncrypt - kostenlos) akzeptiert, also keine selbstsignierten Zertifikate.
- SAML läuft immer über Port 443 (also HTTPS) - obwohl Port 80 grundsätzlich möglich wäre, empfehlen wir den Einsatz aus Sicherheitsgründen nicht, da die Verbindung sonst nicht verschlüsselt, also nicht gesichert, ist.
Einrichtung Identity Provider / SAML für WebUntis
- Definieren Sie das Attribut, das den Benutzernamen enthält, das mit WebUntis-IDP verwendet wird. Das gewählte Attribut kann in WebUntis mit „Benutzername“ oder „Fremdbenutzername“ verglichen werden.
- Bitte kontaktieren Sie das WebUntis-Team bezüglich den von Ihnen gewählten attribute-name oder urnid
- Übermitteln Sie die Metadaten Ihres IDPs an das WebUntis-Team (Wichtig: WebUntis unterstützt nur offiziell signierte SSL-Zertifikate)
- Laden Sie die WebUntis-Metadaten herunter (https://name.webuntis.com/WebUntis/saml/metadata) und importieren Sie diese in Ihren IDP.
- Das WebUntis-Team importiert Ihre Metadaten in den WebUntis SAML-Provider. Der Import neuer Metadaten kann bis zu 24 Stunden in Anspruch nehmen.
- Geben Sie Ihren SSO-Provider in WebUntis unter <Administration> | <Integration> | <SAML> ein und speichern Sie die Einstellungen.
Testen IDP / SSO Provider
Wenn Sie den SSO-Provider unter <Administration> | <Integration> | <SAML> aktivieren, wird der Button "SSO-Login" im ausgeloggten Bereich von WebUntis aktiviert.
- Versuchen Sie sich über den SSO-Provider anzumelden, indem Sie auf den Login-Button klicken.
- Wenn die Anmeldung nicht erfolgreich ist, wenden Sie sich an den WebUntis-Support, um weitere Informationen zu erhalten. Andernfalls fahren Sie mit der Konfiguration der SAML-Integration fort. in WebUntis.
Identifikation und automatische Erstellung eines Benutzers
Wenn Sie nicht möchten, dass Benutzer dynamisch erstellt werden, können Sie die Funktion mit der Option "Unbekannten Benutzer nach erfolgreicher Anmeldung anlegen" deaktivieren. Durch Deaktivierung dieser Option können sich nur Benutzer anmelden, die bereits einen Benutzer in WebUntis besitzen.
Die Benutzerrolle (Lehrkraft, Schüler*in oder Erziehungsberechtigte) kann durch den Vergleich mit einem Benutzerattribut bestimmt werden.
Vergleich mit einem Attribut
In diesem Fall identifiziert der Eintrag im Feld "Personenrolle" die Rolle, z. B. "Lehrkräfte". Der Name des Attributs, welches die Rollenbezeichnung, z. B. 'urn: oid: 1.2.3.4.5.6.1234.1.1.1.1', enthält, muss im Feld "SAML Personenrolle Attribut " eingegeben werden. Der Benutzer wird somit als Lehrkraft identifiziert, wenn für einen Benutzer die Bezeichnung "Lehrkraft" im Attribut "urn: oid: 1.2.3.4.5.6.1234.1.1.1.1" gefunden wird.
Die Identifizierung der Rolle bedeutet, dass die Standardrechte definiert werden können. Dafür werden Benutzergruppen, z. B. Lehrkräfte, benötigt. Wenn Attribute miteinander verglichen werden, müssen die Benutzergruppen-Namen ident mit den Einträgen in den Feldern "Personenrolle" sein.
Wenn in WebUntis keine übereinstimmende Benutzergruppe gefunden wird, wird die DefaultBenutzergruppe herangezogen.
Zusätzliche Angaben sind erforderlich, um die Person zu identifizieren. Diese Angaben können sich für Lehrkräfte, Schüler*innen und Erziehungsberechtigte unterscheiden. Identifizierung bedeutet, dass das System nach einem geeigneten Stundenplanelement (Lehrkräfte, Schüler*innen oder Erziehungsberechtigte) für den Benutzer sucht.
Es gibt einige Möglichkeiten, um eine Identifizierung durchzuführen:
Einzelattribut : Diese Methode ist normalerweise die effektivste, da kein Namensvergleich erforderlich ist. Jedoch ist dies nicht in allen Fällen möglich. Diese Methode vergleicht einen eindeutigen Wert aus einem WebUntis-Feld des Benutzers mit dem persönlichen Attribut in SAML.
Mögliche Felder in WebUntis sind von der Rolle abhängig und können im Dropdownfeld "Elementdaten ID-Feld" ausgewählt werden.
Der Name des Attributs in SAML wird in das Feld "SAML ID Attribut" eingegeben. Beispiel: Der Kurzname der WebUntis-Lehrkraft wird auch in SAML unter dem Attribut "urn: oid: 2.4.5.1" gespeichert. "urn:oid:2.4.5.1" wird daher in das Feld "SAML ID Attribut" eingegeben und "Kurzname" im Dropdown "Elementdaten ID Feld" ausgewählt.
Attribut für Nachname und Vorname
Diese Methode verwendet den Namen zur Identifizierung. Nachname und Vorname müssen in verschiedenen Attributen in SAML existieren. Beide Attribute werden im Feld "SAML ID Attribut", mit einem Komma getrennt, eingegeben - zuerst das Attribut für den Familiennamen und dann das Attribut für den Vornamen.