Single-Sign-On mit Office 365 einrichten

    Single-Sign-On

    1. Einrichtung der  „App registration“  in Office 365

    Rufen Sie das "Microsoft Azure Portal" unter der folgenden URL auf:

    Und loggen Sie sich mit "Global Admin"-Rechten ein.

    Falls der Button "Azure Active Directory" nicht direkt erscheint, klicken Sie zunächst auf "Alle Dienste".


    Und anschließend auf "Azure Active Directory".

    Neue App-Registrierung erstellen

    Klicken Sie jetzt links im Menü auf „App registrations“ und dann oben auf "New registration".


    App-Registrierung konfigurieren

    Die Applikation kann beliebig benannt werden.
    Unter „Redirect URI“ tragen Sie die Redirect URI ein, die Sie im Schulmanager unter folgender Adresse finden: https://login.schulmanager-online.de/#/administration/openid-connect
    Achtung: das ist nicht die Adresse, die Sie als "Redirect URI" eintragen. Sie müssen diese Adresse aufrufen, dann wird Ihnen die Redirect URI angezeigt.



    Die Registrierung mit „Register“ am Ende abschließen.

    Danach wird Ihnen eine „Client ID“ angezeigt. Notieren Sie diese, sie wird später gebraucht.

    API-Berechtigungen setzen

    Als nächstes setzen Sie die API-Berechtigungen, dazu wählen Sie „API permissions“ aus.


    Klicken Sie auf "Berechtigung hinzufügen". Dann wählen Sie rechts "Microsoft Graph" aus und klicken dann auf "Delegierte Berechtigungen". Jetzt setzen Sie den Haken neben "email", "openid" und "profile". Anschließend klicken Sie auf "Berechtigungen hinzufügen".



    Client Secret erzeugen

    Als nächstes muss ein „Secret“ erzeugt werden. Man kann das mit einem Passwort gleichsetzen und wird dazu benötigt, damit sich die Applikation „Schulmanager Online“ an Azure AD anmelden kann.




    Eine Beschreibung für das „Secret“ hinzufügen und auswählen wie lange die Gültigkeit ist.

    1 Jahr bedeutet – in einem Jahr muss das Secret neu erstellt werden und im Schulmanager neu eingetragen werden.

    „Never“ bedeutet, es ist eine einmalige Aktion.


    Achtung: Teilweise ist es wohl maximal möglich, die Laufzeit auf zwei Jahre zu setzen. In diesem Fall empfehlen wir Ihnen, sich eine Erinnerung zu setzen, dass Sie nach einem Jahr ein neues Client Secret erstellen und im Schulmanager hinterlegen.



    Achtung:

    Das „Secret“ ist nur einmalig sichtbar und sollte für die Dauer der Einrichtung Zwischengespeichert werden.

    Das „Secret“ ist mit Sorgfalt zu behandeln und zu verwahren.  



    Endpoint-Informationen auslesen

    Bevor mit der Konfiguration im Schulmanager Online begonnen werden kann. Müssen noch einige Informationen aus Azure AD beschafft werden.

    Wählen Sie dazu oben den Punkt „Endpoints“ aus.



    Notieren Sie sich bitte:

    OAuth 2.0 authorization endpoint (v2)

    OAuth 2.0 token endpoint (v2)




    2. Konfiguration in Schulmanager Online

    Rufen Sie im Schulmanager als Administrator den folgenden Link auf:

    Ins Feld „Authorization URL“ den Wert vom „OAuth 2.0 authorization endpoint (v2)“ eintragen.


    Ins Feld „Token URL“ den Wert vom „OAuth 2.0 token endpoint (v2)“ eintragen.


    Ins Feld „User Info URL“ den Wert https://graph.microsoft.com/oidc/userinfo eintragen.


    Ins Feld „Issuer“ tragen sie den Wert von Token URL ein, kürzen diesen jedoch ab.

    https://login.microsoftonline.com/test922a-1e3c-4c53-a623-ade321d9714f/oauth2/v2.0/token

    so dass Folgendes herauskommt:


    Ins Feld „Client ID“ tragen sie die Client ID der registrierten Applikation „Schulmanager Online“ ein, die Sie vorher notiert haben.

    Im Feld „Client Secret“ tragen Sie das „Secret“ ein, welches sie oben erstellt haben.



    Aufruf des Schulmanagers

    Oben haben Sie eine Redirect-URL gesehen. Diese lautet z. B.:
    https://login.schulmanager-online.de/oidc/1234/callback 

    Der Login-Link für Ihre Schule lautet dann:

    Für den Login im Schulmanager über den Single-Sign-On gibt es jetzt mehrere Möglichkeiten:
    • Sie rufen  direkt den Login-Link auf
    • Sie richten den Schulmanager als App in Office 365 ein, die auf diesen Link verweist
    • Sie loggen sich in der App ein - hier wird die Schule explizit abgefragt, wodurch der Login-Link nicht nötig ist.



    Veröffentlicht