Jeder Benutzer benötigt einen persönlichen Benutzerzugang. Aus der Zugehörigkeit dieses Benutzers zu einer Benutzergruppe leiten sich die Berechtigungen für den einzelnen Benutzer ab.
Die Lehrkräfte-Stammdaten kommen aus Untis und sind die Datenelemente des Stundenplans mit denen gearbeitet wird. Ein Benutzer ist eine reale Person, die mit WebUntis arbeitet. Um nun Lehrkräften das Arbeiten mit WebUntis zu ermöglichen, muss jeder Lehrkraft der Stammdaten ein Benutzer zugeordnet werden . Bei den Schüler*innen ist die Sachlage analog.
Den meisten Benutzern muss auch eine Rolle zugeordnet werden. Es gibt die Rollen "Lehrkräfte", "Schüler*innen", "Klasse" und "Andere". Mit der Rolle Lehrkräfte wird z.B. festgelegt, welcher Lehrkraft der Benutzer entspricht. Aus dieser Zuordnung leiten sich wieder Rechte ab. Ein Benutzer mit einer Lehrkraftzuordnung hat z.B. für "seinen" Unterricht mehr Rechte als für den Unterricht einer anderen Lehrkraft.
Benutzer können im Navigationsmenü unter | | Button "Neu" angelegt werden. Geben Sie für jeden neuen Benutzer zumindest den Benutzernamen, die Personenrolle, die Person dahinter, die Benutzergruppe und ein Passwort an. Das automatische Anlegen mehrerer Benutzer gleichzeitig finden Sie in der Benutzerverwaltung .
CSV-Import
Benutzer-Attribute können auch aus einer CSV-Datei importiert werden (<Administration> | <Benutzer> | <Benutzerverwaltung> | <Import>). Die Benutzer selbst müssen dafür allerdings schon existieren.
(Es gibt die Möglichkeit Benutzer, welche nicht an Personen hängen (z.B. Admins, Schulverwaltung, ...) per CSV-Import neu anzulegen. Dabei muss jedoch unbedingt das Passwort auch in der Import-Datei sein und entsprechend gemappt werden.)
Es ist auch möglich Passwörter zu importieren. In diesem Fall werden die Passwörter auch gegen die vorhandene Security Richtlinien geprüft. Entsprechen die Passwörter nicht den Richtlinien, wird der Import für diese Benutzer verweigert. Wird die Benutzergruppe auch im Import angegeben, wird gegen die jeweilige Security Richtlinie der Gruppe geprüft. Ansonsten wird gegen die Standard-Policy geprüft. Diese umfasst folgende Regeln:
- Mindestens 8 Zeichen
- Mindestens eine Zahl
- Keine Ähnlichkeit mit dem Benutzernamen
- Großbuchstaben
Berichte
Die Berichte unter <Administration> | <Benutzer> | <Berichte> sind in PDF, CSV und XLS abrufbar und bieten eine Auflistung aller Benutzer aus der Anzeige.
Änderungshistorie
Sowohl bei Benutzern als auch bei Benutzergruppen ist die Änderungshistorie nun über eine eigene Schaltfläche zugänglich.
Weitere Funktionen
Neu - Neue Benutzer anlegen Sortieren - Benutzerdefinierte Reihenfolge der Benutzer in der Liste Löschen - Löschen einzelner oder mehrerer Benutzer Benutzerverwaltung - siehe Kapitel Benutzerverwaltung
Benutzerattribute
Die folgenden Attribute können bei einem Benutzer gesetzt werden:
Benutzername
Der Name, der beim Anmelden in WebUntis verwendet wird.
Fremdbenutzername
Das Feld Fremdbenutzername wird ausschließlich in Zusammenhang mit Drittsystemen (z.B. bei Single Sign On über SAML) verwendet und wird in der Regel ohne diese Systeme nicht benötigt.
Der Fremdbenutzername muss (wie die externe ID in den Stammdaten) eindeutig sein. Auf Groß- und Kleinschreibung wird nicht geachtet. Bsp: es ist nicht möglich einen Benutzer mit "Abc" und einen weiteren Benutzer mit "abc" zu speichern.
Ist in den Stammdaten (z.B. Schülerstammdaten) die externe ID gesetzt, wird diese automatisch in den Fremdbenutzernamen übertragen. Das dient als Eingabehilfe, die Attribute werden nicht gegenseitig synchronisiert.
Personenrolle
Benutzer können folgenden Personenrollen zugeordnet werden:
- Lehrkräfte
- Schüler*innen
- Administration
- System
- Schulleitung
- Verwaltung
- Klasse
- Erziehungsberechtigte
- Ausbildungsbeauftragte
- Andere
Diese Zuordnung aktiviert für Schüler*innen und Lehrkräfte ein zusätzliches Feld mit den tatsächlichen Personen aus den Stammdaten, die weiter ausgewählt werden können.
Sollte keiner dieser Fälle zutreffen, so wählen Sie "Andere" als Personenrolle.
Personenrolle Klasse An einigen (Fach- [Hoch-]) Schulen wird nicht jedem Schüler*innen/Studenten ein eigener Benutzerzugang zu WebUntis eingerichtet. Damit die Studierenden trotzdem Ihre Stundenpläne (z.B. über UntisMobile) abfragen können, kann man in diesem Fall pro KIasse einen Benutzer mit der Personenrolle Klasse einrichten.
Um diese Klassenbenutzer daran zu hindern, das Passwort des Benutzers zu ändern, können eigene Sicherheitsrichtlinien angelegt und der Benutzergruppe zugewiesen werden.
Passwort
Hier kann das Passwort geändert werden. Das kann notwendig werden, wenn der Benutzer dieses vergessen hat.
Benutzergruppe
Die Benutzergruppe muss auf jeden Fall definiert werden. Über diese werden die Benutzerrechte an den Benutzer vergeben.
Abteilung
Der Benutzer kann auch einer Abteilung zugeordnet werden.
Benutzerzugang aktiviert/gesperrt
Der Benutzerzugang wird vom System gesperrt, wenn ein Benutzer zu viele ungültige Anmeldeversuche hat. Hier können Sie den Zugang wieder entsperren. Sie können einen Benutzerzugang aber jederzeit manuell auf aktiv oder inaktiv setzen.
Max. offene Buchungen / Offene Buchungen
Diese Felder sind nur mit dem Modul Termin freigeschaltet. Hier kann die maximale Anzahl von aktiven Buchungen für einen Benutzer festgelegt werden. "Offen" ist eine Buchung dann, wenn Sie noch in der Zukunft liegt. Hat der Benutzer die Maximalzahl an offenen Buchungen erreicht, kann die nächste Buchung erst erfolgen, wenn eine bereits getätigte Buchung abgelaufen ist (oder eine Buchung storniert wird).
Eine Eintragung hier überschreibt den bei der Benutzergruppe eingetragenen Wert, der im "ausgegrauten" Feld rechts neben dem Eingabefeld eingeblendet wird. Weiters werden im Anzeigefeld "Offene Buchungen" die derzeitigen offenen Buchungen des Benutzers angezeigt.
Sprache
Die Sprache, in der WebUntis dem Benutzer präsentiert wird, sobald er sich angemeldet hat. Die Sprache kann vom Benutzer selbst unter Profil verändert werden.
E-Mail Adresse
E-Mail-Nachrichten werden an diese E-Mail Adresse versandt. Im E-Mail-Feld können mehrere Adressen durch Komma getrennt eingegeben werden (insgesamt maximal 255 Zeichen). Die Nachrichten werden an alle diese Adressen geschickt.
Anlegen von mehreren Benutzern
WebUntis bietet auch eine Funktion zum Anlegen von Benutzern aus der Lehrkraft- bzw. Schüler*innenliste. Sie finden diese Funktion in der Ansicht Benutzerverwaltung, die Sie über <Administration> | <Benutzer> Schaltfläche <Benutzerverwaltung> aufrufen können.
Benutzer für Lehrkräfte anlegen
Die Funktion geht alle Lehrkräfte in WebUntis durch und legt für jede Lehrkraft einen Benutzer an. Die Benutzer werden dabei der Benutzergruppe zugeordnet, die Sie ausgewählt haben. Wenn bei den Lehrkräftestammdaten schon eine E-Mail-Adresse angegeben wurde, wird diese auch für den Benutzer übernommen.
Für den Benutzernamen können Sie bestimmen ob Kurzname, Vorname, Familienname, Geburtsdatum oder Personalnummer gewählt werden soll. Sie können Benutzernamen ebenfalls mit Trennzeichen generieren lassen.
Umlaute in Benutzernamen können Sie über eine eigene Option konvertieren, wie z.Bsp. 'ü' zu einem 'ue'.
Beachten Sie, dass WebUntis zuerst eine Vorschau bietet nachdem Sie den Button <Benutzer für Lehrkraft anlegen> auswählen. Erst nachdem Sie diese Vorschau "bewilligen" und auf "Benutzer erstellen" klicken, werden Benutzer angelegt.
Benutzer für Schüler*innen anlegen
Analog zu den Lehrkräften funktioniert diese Anwendung für die Schüler*innen. Hier haben Sie zusätzlich die Möglichkeit, nur Benutzer für Schüler*innen anzulegen, denen eine Klasse zugeordnet ist.
Die Funktion <Benutzer anlegen> kann beliebig oft aufgerufen werden. Bestehende Benutzer werden nicht mehr angerührt.
Passwort erstellen
Wahlweise kann das Passwort für die neuen Benutzer leer bleiben, nach dem Geburtsdatum oder zufällig generiert (erstellt) werden. Sie können ebenfalls aus Sicherheitsgründen den Benutzer forcieren, sein Passwort bei der Erstanmeldung neu zu setzen. Unter "Mitteilungen" finden Sie dann sowohl je eine Mitteilung mit einer .pdf und eine mit einer .csv Datei für die Zugangsdaten der neu erstellten Benutzer.
Die Mitteilung mit der .pdf Datei wird aufgrund der Speicherkapazitäten automatisch nach 3 Tagen vom System gelöscht. Die Mitteilung mit der .csv Datei steht Ihnen aber weiterhin zur Verfügung.
Benutzer von inaktiven oder ausgetretenen Personen sperren
Benutzer von ehemaligen Lehrkräften oder Schüler*innen, die inaktiv bzw. ausgetreten sind, können über diese Schaltfläche gesperrt werden.
Fremdschlüssel von Person für Benutzer übernehmen
Wenn der Lehrkraft oder Schüler*in ein Fremdschlüssel zugeordnet ist, kann dieser hier auch für den Benutzer übernommen werden.
E-Mail von Person für Benutzer übernehmen
Wenn der Lehrkraft oder Schüler*in eine E-Mail-Adresse zugeordnet ist, kann diese hier auch für den Benutzer übernommen werden.
LDAP
WebUntis unterstützt das Lightweight Directory Access Protocol (LDAP).
Die LDAP Authentifizierung wird stattdessen zusätzlich zum normalen WebUntis Login aktiviert, UND wird vor dem WebUntis Login priorisiert. Das heißt: Wird die LDAP Authentifizierung wieder deaktiviert ODER gibt es ein Problem mit der LDAP Authentifizierung, greift WebUntis wieder auf die eigenen Benutzerdaten - WU Benutzername und Passwort - zu. Daher möchten wir Sie darauf hinweisen, jedenfalls sichere Initialpasswörter bei der Erstellung neuer Benutzer in WebUntis zu verwenden.
LDAP-Prinzip
- Authentifizierung von Benutzername und Passwort gegen ein LDAP-System.
- Wenn sich der Benutzer erfolgreich authentifiziert, prüft WebUntis ob es diesen Benutzer in WebUntis schon gibt. Falls ja, kann der Benutzer jetzt genauso mit WebUntis arbeiten als ob er sich gegen die Benutzerkonten in WebUntis authentifiziert hätte.
- Wenn der Benutzer noch nicht existiert, legt WebUntis automatisch ein Konto für diesen Benutzer an. Dabei versucht WebUntis zunächst festzustellen, ob es sich bei dem Benutzer um einen Lehrer oder Schüler handelt und danach, um welche Person es sich handelt. Diese Identifizierung ist wichtig, damit der Benutzer eine passende Benutzergruppe erhalten kann und ihm auch das passende Stundenplan-Element (Lehrer oder Schüler) zugewiesen werden kann.
Das Passwort wird mit einem Zufallswert belegt, so dass sich der neue Benutzer nur über LDAP, aber nicht über WebUntis authentifizieren kann.
LDAP Einstellungen
Die LDAP-Einstellungen finden Sie unter <Administration> | <Integration> | <LDAP>. Ein Beispiel:
aktiv
aktiviert die LDAP-Unterstützung
LDAP Server URL
URL für die Verbindung zum LDAP Server, z.B. ldap://ldap.meineschule.at:389 Wenn in der URL eine BaseDn angegeben wird, dann sind alle folgenden DN-Angaben relativ zu dieser BaseDn anzugeben. In diesem Fall kann der Testbutton nicht verwendet werden.
LDAP Benutzer/Passwort
LDAP-Benutzer: wenn für die LDAP-Abfrage ein Benutzer angegeben werden muss, können dessen Daten hier angegeben werden.
a) Authentifizierung von Benutzername und Passwort gegen ein LDAP-System
Für die Authentifizierung muss der Benutzername in der LDAP-Verzeichnisstruktur gefunden werden. Das kann entweder über eine direkte Angabe des Distinguished Name geschehen oder über eine LDAPSuche.
Angabe des Distinguished Name
Die Suchmaske wird im Feld "MusterDn für Benutzersuche" angegeben, z.B. mit uid={0},ou=lehrer,ou=personen. {0} ist dabei der Platzhalter für den Benutzernamen, nach dem gesucht wird. Wenn der Benutzername etwa Goethe ist, dann sucht WebUntis das Benutzerkonto bei unseren Beispieldaten an der Stelle uid=Goethe,ou=lehrer,ou=personen,dc=meineschule,dc=at . Es können auch mehrere Suchmasken durch Leerzeichen getrennt angegeben werden. Achten Sie daher bitte darauf, dass innerhalb einer Suchmaske keine Leerzeichen vorkommen.
LDAP-Suche
In diesem Fall wird eine LDAP-Suche nach dem Benutzerkonto ausgeführt. Im Feld "BaseDn für Benutzersuche" wird die Ausgangsstruktur für die Suche angegeben, z.B. ou=personen,dc=meineschule,dc=at. Im Feld "Userfilter" wird der Suchfilter nach LDAP-Syntax angeben, z.B. (&(objectClass=person)(sn={0})). Wieder für den Benutzer Goethe würde WebUntis nach einem Eintrag suchen, der die Eigenschaft objectClass person hat und dessen Attribut sn gleich Goethe ist.
Das LDAP Mail Attribut gibt den Namen des Attributs an, aus dem die E-Mail-Adresse des Benutzers genommen wird.
b) Identifizierung und automatisches Anlegen eines Benutzers
Falls das dynamische Anlegen von Benutzern nicht gewünscht wird, kann dieses Feature mit der Option "Unbekannten Benutzer nach erfolgreicher Anmeldung anlegen" ausgeschaltet werden. In diesem Fall ist ein Login nur für Benutzer möglich, die bereits in WebUntis angelegt wurden.
Die Rolle des Benutzers (Lehrkräfte und Schüler*innen) kann entweder durch Vergleich mit einem Teil des Distinguished Name des Benutzers erfolgen oder durch Vergleich mit einem Attribut des Benutzers.
Vergleich mit einem Teil des Distinguished Name
Im Feld Personenrolle (kann verschieden für Lehrkräfte und Schüler*innen sein) muss der Teil des Distinguished Name angegeben werden, der die Rolle identifizieren kann. Wenn die Lehrkraft z.B. einen Distinguished Name wie uid=Goethe,ou=lehrer,ou=personen,dc=meineschule,dc=at haben, dann wäre die Angabe in diesem Fall ou=lehrer. WebUntis sucht den Eintrag im Feld Personenrolle im DN und wenn er gefunden wird, ist damit die Benutzerrolle festgelegt.
Vergleich mit einem Attribut
In diesem Fall wird im Feld Personenrolle der Eintrag, der die Rolle identifiziert eingegeben, z.B. lehrer. Im Feld "LDAP Personenrolle Attribut" muss der Name des Attributs eingetragen werden, in dem die Rollenbezeichung zu finden ist, z.B. rolle. Wird also bei einem Benutzer im Attribut mit dem Namen rolle die Bezeichnung lehrer gefunden, dann wird der Benutzer als Lehrkraft identifiziert.
Mit der Feststellung der Rolle können auch die Standardberechtigungen festgelegt werden. Dafür müssen für Lehrkräfte bzw. Schüler*innen Benutzergruppen angelegt werden. Beim Attributsvergleich müssen die Benutzergruppen gleich heißen wie der Eintrag im Feld Personenrolle. Beim Vergleich des Teil-DN müssen die Benutzergruppen wie der Werteteil des Eintrags heißen. Bei ou=lehrer, also auch lehrer. Wird keine passende Benutzergruppe in WebUntis gefunden, dann wird die Benutzergruppe mit dem Kennzeichen Standardgruppe zugeordnet.
Zur Identifizierung der Person selbst werden weitere Angaben benötigt. Diese Angaben können sich für Lehrkräfte und Schüler*innen auch unterscheiden. Identifizierung bedeutet, dass zum Benutzer ein passendes Stundenplanelement (Lehrkräfte oder Schüler*innen) gesucht wird.
Es gibt derzeit 3 Arten wie die Personenidentifizierung erfolgen kann.
1. Einzelattribut
Diese Methode ist normalerweise die eindeutigste, weil nicht mit einem Namensvergleich gearbeitet werden muss. Sie wird aber nicht in allen Fällen möglich sein.
Hier wird ein eindeutiger Wert aus einem WebUntis-Feld der Person mit einem Wert aus einem Attribut der Person in LDAP verglichen.
Mögliche Felder in WebUntis sind von der Rolle abhängig und können im Dropdownfeld "Elementdaten ID-Feld" ausgewählt werden.
Im Feld "LDAP ID Attribute" wird der Name des Attributs in LDAP eingegeben.
Beispiel: Der Untis-Kurzname der Lehkräfter ist auch in LDAP in einem Attribut mit dem Namen kuerzel gespeichert. Im Feld "LDAP ID Attribute" wird also kuerzel eingegeben, im Dropdown "Elementdaten ID Feld" Kurzname ausgewählt.
2. Attribut für Familienname und Vorname
Die Identifikation erfolgt bei dieser Methode nach dem Namen. Es müssen Familienname und Vorname in verschiedenen Attributen in der LDAP-Struktur stehen. Im Feld LDAP ID Attribute werden beide Attribute durch Leerzeichen getrennt eingegeben, zuerst das Attribut für den Familiennamen und dann für den Vornamen.
Wenn die Namen z.B. in den Attributen sn und givenName gespeichert sind, würden Sie sn givenName eingeben. WebUntis vergleicht dann die Inhalte dieser Felder mit den entsprechenden Namenseinträgen der Personen.
3. Einzelattribut mit Namensfeldern
Wenn im LDAP-System die Namensbestandteile nicht in verschiedenen Attributen, sondern nur in einem Attribut gespeichert sind, kann über diese Methode eine Identifikation erfolgen. Diese Methode ist die unsicherste und sollte nur als letzter Ausweg verwendet werden.
In diesem Fall muss es möglich sein, dass Vorname und Familienname aufgrund einer Maske, die im Feld "LDAP ID Attribute" eingegeben wird, unterschieden werden können. Im Feld "LDAP ID Attribute" wir zunächst der Name des Attributes angegeben. Hinter einem Doppelpunkt folgt dann die Erkennungsmaske. In der Maske müssen die Platzhalter {s} für den Familiennamen und {f} für den Vornamen eingesetzt werden. Wenn z.B. im Attribut cn der Name in der Form Newton Isaac steht, dann wäre die Eingabe im Feld "LDAP ID Attribute" cn: {s} {f}
Für den Feldervergleich kann noch eingestellt werden, dass Groß-/Kleinschreibung berücksichtigt werden soll bzw. dass der Vergleich numerisch stattfinden soll. Die letztere Option kann wichtig sein, wenn der Identifier an sich numerisch ist, aber in einem System als Zeichenkette mit eventuellen führenden Nullen und im anderen System als Zahl gespeichert wird.