Skip to main content
Skip table of contents

Single Sign-On: ID-Broker

Konfiguration ID-Broker

Notwendige Schritte zur Einrichtung – Ablauf

  • Im Formular notwendige Informationen eintragen und dann onto benachrichtigen.

    • Anzeigenname

    • Schulträger

    • Schul-ID

  • onto erstellt ein Support-Ticket bei ID-Broker.

  • ID-Broker bringt die lernlog-Schul-URL in das System von ID-Broker.

  • Wenn dies erledigt ist, aktiviert onto die Schnittstelle und macht einen Restart der Instanz.

  • onto gibt eine Rückmeldung an Admin.

Screenshot(2).png

Zusätzliche Konfigurationsmerkmale

Erforderliche Einstellungen und notwendige Informationen:

Diese Werte werden i.d.R. vom Betreiber des ID Brokers (Univention) zur Verfügung gestellt:

  • Schulträger: Identifikation/ID des Schulträgers im ID Broker

  • Schul-ID: Identifikation/ID der Schule im ID Broker

Weitere Einstellungen sind in der Konfiguration nicht notwendig.

Optionale Einstellungen

  • Lerngruppen anlegen: Wenn aktiviert, wird beim Anlegen von Systemgruppen aus dem ID Broker jeweils eine gleichnamige Lerngruppe erstellt (ggf. wird mit einem Suffix eine Namenskollision vermieden, z.B. “Klasse A” → “Klasse A1”) und die beide miteinander verknüpft sind. Wenn deaktiviert, werden keine Lerngruppen pro synchronisierter Systemgruppe angelegt.

  • Systemgruppen aktiviert anlegen: Wenn aktiviert, werden übertragene Systemgruppen im lernlog direkt als aktiviert markiert. Wenn deaktiviert, sind sie direkt aktiviert nutzbar.Schule muss uns Schul-ID Schulträger-ID geben

    Durch Formular. Rest leer lassen.

    Wir machen ein Support-Ticket bei ID-Broker.

    ID-Broker bringt lernlog-ID in System von ID-Broker.

    Wenn das gemacht, aktivieren wir die Schnittstelle und machen einen Restart der Instanz.

  • Gruppen für Lernende übertragen: Wenn aktiviert, werden auch für Lernende (nicht nur für Lernbegleitende) Systemgruppen ins lernlog übertragen. Eine Deaktivierung kann Zeit bei vielen parallelen Logins einsparen. Wenn deaktiviert, werden auch beim Login von Lernenden deren Gruppen synchronisiert.

  • Deaktivierung der Synchronisation einer Systemgruppe:
    In der Konfiguration der Systemgruppen:

    • Admin → Gruppen → Systemgruppen → Gruppe auswählen und anzeigen

    • → Detailansicht: Im Menü (3 Punkte) "Von Propagierung ausschliessen" auswählen.

Hintergrund

Die SSO-Schnittstelle zum ID Broker von Univention erlaubt es nicht nur, dass sich Nutzer*innen nur einmalig für gleiche mehrere Web-Dienste wie u.a. das lernlog einloggen müssen, es werden auch ohne weitere Handgriffe Nutzer*innen und deren Gruppen(-mitgliedschaften) direkt ins lernlog übertragen.

Der ID Broker agiert dabei als Mittelsmann zwischen dem ID-Provider der Schulinsitution (i.d.R. UCS@school) und dem lernlog als so genannten Service-Provider/Anbieter.

Automatische Datenübertragung beim Login

Beim Login von Nutzer*innen werden diese automatisch mit ihren wichtigsten Kenndaten ins lernlog übertragen oder, falls bereits vorhanden, aktualisiert.

Nur Lernende und Lernbegleitende können sich so in lernlog einloggen.

Die so genannte Provisionierung der Nutzerdaten erfolgt just-in-time (JIT), d.h. erst beim Login der/des ersten so angebunden Nutzerin oder Nutzers werden über die Schnittstelle Nutzer*innen und Gruppen ins lernlog übertragen. Die Daten sind außerdem geschützt, indem nur jene übertragen werden, auf die der/die jeweilige Nutzer*in passende Zugriffsrechte besitzt. Das sind üblicherweise Nutzer*innen selbst, die Gruppen, in denen er sich befindet und ggf. andere Nutzer*innen, die sich ebenfalls in diesen Gruppen befinden.

Das lernlog erhält sozusagen über sich einloggende Nutzer*innen für eine kurze Zeit das Recht, diese Daten auszulesen.

Für Klassen und Arbeitsgruppen aus dem ID Broker werden im lernlog Systemgruppen und ggf. direkt zugehörige Lerngruppen angelegt. Deren Namen orientieren sich an jenen aus dem ID Broker. Abweichungen sind möglich, da der ID Broker Namen pseudonymisiert. Namenskollisionen mit bestehenden Gruppen im lernlog werden automatisch vermieden. Gleiches gilt für Nutzernamen, aber nicht für Vor- und Nachnamen.

Weitere Informationen

(warning) Es sollten sich möglichst alle Nutzer*innen mindestens einmal eingeloggt haben, um sicherzustellen, dass alle notwendigen Daten ins lernlog übertragen wurden.

(warning) Die Provisionierung erfolgt bei jedem SSO-Login über die Schnittstelle. Bestehende Gruppen und Nutzer*innen werden entsprechend aktualisiert.

(warning) Es werden stets alle Gruppen aus dem ID-Provider ins lernlog üertragen, die dafür über die Konfiguration im ID Broker bzw. ID-Provider freigegeben sind.
Man kann jedoch überflüssige Gruppen für eine bessere Übersicht deaktivieren und zusätzlich deren Synchronisation unterbinden.

(warning) Die Löschung von Gruppen im ID-Provider führt niemals zu einer automatischen Löschung im lernlog, da lediglich die positive Mitgliedschaft in Gruppen erkannt werden kann.
Systemgruppen und Lerngruppen lassen sich weiterhin manuell im lernlog entfernen.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close