WebUntis kann so konfiguriert werden, dass ein Login mit den Zugangsdaten von IServ möglich ist. Hierzu wird OpenID Connect (OIDC) als Technologie verwendet.
Damit ein SingleSignOn korrekt funktionieren kann, ist es nötig, dass die Daten aus beiden Systemen "kompatibel" sind. Das bedeutet, die Daten müssen gleiche Identifikationsmerkmale in beiden Systemem aufweisen. Siehe "Vorbereitung".
Mit dem SSO alleine wird noch keine Stammdatensynchronisation möglich! Dies ist als eigene Funktionalität in IServ abgebildet. Details finden Sie hier: WebUntis-Modul in IServ aktivieren
Akteure
Für die Aktivierung der Schnittstelle benötigt es an der Schule folgende Personen:
- Webuntis Administrator
- IServ Administrator
Vorbereitung
Lehrer-Matching
Für das Matching der Lehrer-Benutzer wird deren Kurznamen verwendet.
Im WebUntis muss somit das Attribut “Fremdbenutzername” für die relevanten Lehrer mit deren Kurznamen aus den Stammdaten befüllt werden.
In der Benutzerverwaltung finden Sie eine Funktion mit der das Attribut für alle Lehrer auf einmal befüllt werden kann:
Schüler-Matching
Damit die Identifizierung der Schüler korrekt funktioniert, muss die Externe-ID mit der ID aus IServ übereinstimmen.
Dies sollte gewährleistet sein, wenn Sie die Schülerdaten aus einem Schülerverwaltungssystem nach IServ und auch nach WebUntis importieren.
Wenn Benutzer im Zuge des SSO automatisch angelegt werden, wird der externe Schlüssel aus IServ als WebUntis-Benutzername vergeben. Daher empfiehlt es sich, die User für die Schüler vorab in WebUntis anzulegen.
Der beste Weg führt jedoch über die Schülersynchronisation von IServ nach WebUntis. Damit bekommen Sie die korrekten Schülerdaten mit einem Knopfdruck nach WebUntis und das SSO kann korrekt funktionieren.
Aktivierung in IServ
Hier gehts zur Dokumentation
Aktivierung in WebUntis
Geben Sie Ihren SSO-Provider in WebUntis unter <Administration> | <Integration> | <OpenID Connect> ein und speichern Sie die Einstellungen.
Hierzu sind folgende Eingaben nötig:
Bitte halten Sie sich streng an die fixen und vorgeschlagenen Werte um ein Fehlverhalten beim SSO vorzubeugen.
*Diese Werte lesen Sie bitte aus IServ aus.
Eingabefeld |
Beschreibung |
Beispielwert |
---|---|---|
Client ID* |
Die Client-ID von IServ. |
12_cqr49hu3adesd676sd78s40kskosc8wgkocgadado97898adawscwksoc04 |
Client Secret* |
Das Client-Secret von IServ. |
1koi8m4rasdjaks9898skck0kgco0ksswcasdasd7a6d76ow44o4soc8 |
Authentication Server Endpoint Url* |
Die URL zu Ihrem IServ-Autorisierungs-Endpoint. |
|
Token Endpoint Url* |
Die URL zu Ihrem IServ-Token-Endpoint. |
|
User Info Endpoint Url* |
Die URL zu Ihrem IServ-UserInfo-Endpoint. |
|
Scopes |
Fixer Wert |
email iserv:webuntis |
Bezeichnung des SSO Login Buttons |
Definiert wie der Button auf der Login-Seite heißt. |
Anmelden mit IServ |
Attributname für die Benutzeridentifikation |
Fixer Wert |
untis_username |
Fremdbenutzername benutzen |
Fixer Wert |
Ja |
Mailattribut |
Fixer Wert |
|
Unbekannten Benutzer nach erfolgreicher Anmeldung anlegen |
Empfohlener Wert (Damit nicht vorhandene Benutzer automatisch angelegt werden) |
Nein (Da die Benutzer sonst mit dem externen Schlüssel angelegt werden) |
Anmeldung für nicht identifizierten Benutzer verbieten |
Empfohlener Wert (Damit keine Benutzer ohne zugehörigen Schüler angelegt werden) |
Ja (Ansonsten kann es zu doppelten Benutzer-Accounts führen, wenn die Schülersynchronisation auch verwendet wird) |
Rollenattribut |
Fixer Wert |
untis_role |
Rollenidentifzierung |
Fixer Wert |
Attribut |
Rollenbezogene Einstellungen |
||
Personenrolle |
Fixer Wert |
ROLE_TEACHER |
Personenidentifizierung |
Fixer Wert |
Einzelattribut |
Authentifizierungsattribut |
Fixer Wert |
untis_username |
Elementdaten ID Feld |
Fixer Wert |
name (für Lehrkraft) |
Standardbenutzergruppen |
WU-Benutzergruppen entsprechend der Personenrollen. |
Lehrkräfte |
So sieht eine beispielhafte Befüllung aus:
Wenn Sie den SSO-Provider unter OpenID Connect aktiviert haben, wird der Button "Anmelden mit IServ" im ausgeloggten Bereich von WebUntis aktiviert und Sie können das Login mittels IServ-Benutzerdaten starten.
Anmeldung in Untis Mobile
Damit sich die Benutzer nun auch in der Untis Mobile App anmelden können, benötigen diese den QR-Code aus dem eigenen WebUntis Profil.
Diesen findet man unter "Freigaben" - "Zugriff über Untis Mobile“ - "Anzeigen".