Der Login erfolgt dann nicht mehr über das Login-Formular des Schulmanagers, sondern über einen speziellen Link, über den die Login-Daten für ein anderes System (sogenannter Identity Provider, z. B. IServ oder Office 365) eingegeben werden.
Voraussetzungen
Folgende Voraussetzungen müssen gegeben sein, damit das funktioniert:
1. Sie verwenden ein Identitätsmanagement-System (IDM), das OpenID Connect anbietet
Das ist z. B. IServ, Office 365 oder Univention.
Falls Ihr IDM kein OpenID Connect, sondern ausschließlich LDAP/Active Directory anbietet, könnten Sie auf Basis dieser Zugangsdaten mittels KeyCloak (https://www.keycloak.org/) einen OpenID-Connect-Identity-Provider anbieten. Dabei können wir Ihnen aber nicht behilflich sein.
Eine direkte LDAP-Authentifizierung kann ebenfalls eingerichtet werden.
Eine direkte LDAP-Authentifizierung kann ebenfalls eingerichtet werden.
Single-Sign-On per SAML wird nicht unterstützt.
2. Die E-Mail-Adressen entsprechen einem der möglichen Muster
Die Zuordnung der Benutzer erfolgt anhand der E-Mail-Adressen in Ihrem IDM. Diese müssen, damit das funktioniert, eines der folgenden Muster haben:
max.mustermann@schule.de
mustermann.max@schule.de
m.mustermann@schule.de
mustermann.m@schule.de
mus@schule.de (wenn "mus" das Kürzel der Lehrkraft ist)
max.mustermann.5a@schule.de (wenn Max Mustermann ein Schüler aus der 5a ist)
Wie erfolgt die Zuordnung der Benutzer?
Bevor Sie den Single-Sign-On per OpenID Connect nutzen können, müssen Sie die SchülerInnen bzw. Lehrkräfte im Schulmanager mit Namen importiert haben. Sie legen dann jeweils für SchülerInnen und Lehrkräfte ein Muster an, nach dem sich die E-Mail-Adressen zusammensetzen, z. B. [firstname].[lastname]@schule.de
Wenn sich dann der Benutzer max.mustermann@schule.de erstmalig per OpenID Connect im Schulmanager einloggt, sucht der Schulmanager nach Lehrkräften/SchülerInnen mit dem Vornamen "Max" und dem Nachnamen "Mustermann". Wenn es genau eine passende Lehrkraft bzw. eine(n) passende(n) SchülerIn gibt, erfolgt der Login.
Was ist bei E-Mail-Adressen, die nicht dem allgemeinen Schema entsprechen?
Manchmal gibt es BenutzerInnen, deren E-Mail-Adresse nicht dem allgemein an der Schule üblichen Schema entspricht, z. B. da es eine Dopplung gibt.
Beispiel:
Wenn sich max.mustermann@schule.de einloggt und an Ihrer Schule gibt es zwei Lehrkräfte, die "Max Mustermann" heißen, kann die Zuordnung nicht eindeutig erfolgen und der Login ist zunächst nicht möglich. In solchen Fällen wird mindestens eine der beiden Lehrkräfte eine abweichende E-Mail-Adresse haben, z. B. max.mustermann2@schule.de. In diesem Fall müssen Sie bei den Lehrkräften den OpenID Connect-Benutzernamen hinterlegen. Dazu klicken Sie im Schulmanager als Administrator in der Verwaltung auf "Lehrkräfte" bzw. "Schüler" und dort bei der entsprechenden Person auf "Bearbeiten". Hier können Sie den Open ID Connect-Benutzernamen hinterlegen. Das machen Sie dann bitte unbedingt bei beiden Personen, damit es eindeutig ist.
Auch in anderen Fällen, in denen eine E-Mail-Adresse vom allgemeinen Schema abweicht, hinterlegen Sie bitte, wie oben beschrieben, den OpenID Connect-Benutzernamen bei der Person.
Alternativ können beim Import der Schüler:innen aus einer Excel-Liste die OpenID Connect-Benutzernamen mit importiert werden. Dazu muss lediglich eine weitere Spalte mit dem Benutzernamen hinterlegt werden.