Schnittstellen für Single Sign-On (SSO) und Identitätsmangement
Inhalt
Unterstützte Standards und Systeme
lernlog lässt sich mit bestehenden Identitätssystemen (sogenannten Identity Providern) verbinden. So können sich Nutzerinnen und Nutzer bequem per Single Sign-On (SSO) anmelden – also mit einem einzigen Login für alle Systeme. Zusätzlich können auch Nutzerdaten wie Name, Rolle, Klasse oder Gruppen automatisch ins lernlog übernommen und aktuell gehalten werden. Das spart Zeit in der Verwaltung und erhöht die Sicherheit.
lernlog unterstützt die Authentifizierungsstandards SAML (Security Assertion Markup Language) und OpenID Connect (OIDC). Diese Protokolle sind weit verbreitet und werden von vielen schulischen IT-Systemen sowie Identity-Providern unterstützt – z. B. Microsoft Azure, UCS@school, IServ, Keycloak oder dem Univention ID-Broker.
Entscheidend ist nicht das konkrete System, sondern dass es den jeweiligen Standard korrekt implementiert. Damit ist es grundsätzlich möglich, lernlog mit einer Vielzahl weiterer Plattformen zu verbinden, sofern diese SAML oder OIDC unterstützen. Wir arbeiten laufend daran, die Kompatibilität weiter auszubauen.
Technische Grundlagen
SAML (Security Assertion Markup Language): Klassischer Standard für SSO, z. B. bei UCS@school, Microsoft Entra (Azure) oder Keycloak
OIDC (OpenID Connect): Modernerer, flexibler Standard, z. B. bei IServ, Keycloak oder dem Univention ID-Broker
CSV-Import: Für Schulen ohne zentrale Nutzerverwaltung: manuelle Pflege von Nutzerdaten über Excel-Dateien
Wichtig: Datenqualität
Die Umstellung auf SSO setzt eine saubere Datenbasis voraus. Vor allem die Nutzernamen müssen in beiden Systemen übereinstimmen. Auch die Zuordnung zu Klassen oder Gruppen sollte klar gepflegt sein. Die Schul-IT bzw. Administration spielt hier eine zentrale Rolle, um spätere Verwirrung oder Doppelungen zu vermeiden.
Anbindungen im lernlog (Stand Mai 2025)
UCS@school
Anbindung über SAML für SSO. Zusätzlich können Nutzer- und Gruppendaten über die Kelvin-REST-API automatisch übernommen werden (sofern aktiviert). Voraussetzung ist eine einmalige Konfiguration und passende Zugangsdaten. Es erfolgt kein Zurückschreiben ins UCS-System.
Microsoft Azure (Entra ID)
SSO über SAML möglich. Die Einrichtung erfolgt über das Azure-Portal. Nutzer*innen müssen im lernlog bereits vorhanden sein. Ein Erklärvideo von Jonas Gardmann (RHG Krefeld) unterstützt bei der Einrichtung.
IServ
SSO über OIDC ist möglich. Voraussetzung ist, dass IServ korrekt konfiguriert ist. Christoph Trümper (Oskar-Schindler-Gesamtschule Hildesheim) hat hierzu ein Video-Tutorial erstellt.
Keycloak (eigene Instanz)
SSO kann sowohl über SAML als auch über OIDC eingerichtet werden. Wird vor allem in größeren Schulträgerstrukturen oder Landesinstallationen genutzt. Die Konfiguration erfolgt über die Keycloak-Oberfläche und den lernlog-Support.
ID-Broker (Univention)
Zentraler Identity-Service für viele Schulen. Nutzt OIDC und überträgt Nutzer*innen und Gruppen automatisch ins lernlog beim ersten Login. Just-in-Time-Provisionierung ohne manuellen Import. Voraussetzung ist die Freigabe durch den Schulträger.
CSV-Import
Für kleinere Schulen oder den Übergang: Nutzer*innen können auch manuell über Excel-Tabellen eingespielt werden. Kein SSO, aber nützlich zur Erstbefüllung oder Testphase.
Empfehlung: Guter Zeitpunkt zum Umstieg auf SSO ist der Schuljahreswechsel
Wir empfehlen, das lernlog möglichst frühzeitig mit einem zentralen Identity Provider zu verbinden. Das erhöht die Sicherheit, vereinfacht die Nutzung und verringert manuellen Pflegeaufwand. Der beste Zeitpunkt für die Umstellung ist der Schuljahreswechsel, wenn das lernlog noch oder wieder leer ist – so lassen sich Datenkonflikte vermeiden. Wichtig ist eine gute Planung und Vorbereitung, bei der das Team von onto digital gerne unterstützt.
Schnittstellen
Das lernlog kann über verschiedene Schnittstellen mit Dritt-Systemen verbunden werden, um den Austausch von Daten zu ermöglichen.
Informationen zur Einrichtung und Nutzung findet ihr im jeweiligen Kapitel des Dritt-Systems.