Single-Sign-On
1. Einrichtung der „App registration“ in Office 365
Rufen Sie das "Microsoft Entra Admin Center" unter der folgenden URL auf:
https://entra.microsoft.com/
Und loggen Sie sich mit "Global Admin"-Rechten ein.
Falls der Button "Entra Admin Center" nicht direkt erscheint, klicken Sie zunächst auf "Alle Dienste".
Neue App-Registrierung erstellen
Klicken Sie jetzt links im Menü auf:
„Identität“-->"Anwendungen"-->"App-Registrierungen".
In dem sich öffnenden Fenster fügen Sie dann eine neue Registrierung hinzu.
App-Registrierung konfigurieren
Die Registrierung wird mit einem Klick auf „Registrieren“ abgeschlossen.
Danach wird Ihnen eine „Client ID“ angezeigt. Notieren Sie diese, sie wird später gebraucht.
API-Berechtigungen setzen
Als nächstes setzen Sie die API-Berechtigungen, dazu wählen Sie „API Berechtigungen“ aus.
Klicken Sie auf "Berechtigung hinzufügen". Dann wählen Sie rechts "Microsoft Graph" aus und klicken dann auf "Delegierte Berechtigungen". Jetzt setzen Sie den Haken neben "email", "openid" und "profile". Anschließend klicken Sie auf "Berechtigungen hinzufügen".
Client Secret erzeugen
Als nächstes muss ein „Geheimnis“ erzeugt werden. Man kann das mit einem Passwort gleichsetzen und wird benötigt, dass sich die Applikation „Schulmanager Online“ an Entra AD anmelden kann.
Um ein "Geheimnis" zu erstellen klicken Sie auf: "Zertifikate & Geheimnisse"-->"Neuer geheimer Clientschlüssel".
In dem sich neu öffnenden Fenster hinterlegen Sie eine Beschreibung und geben ein Gültigkeitszeitraum an (max. zwei Jahre). Sobald dieser Zeitraum abgelaufen ist, kann sich der Schulmanager nicht mehr bei Entra AD anmelden. Dadurch können sich die Nutzer Ihrer Schule (die den Single-Sign-On verwenden) nicht mehr beim Schulmanager anmelden. In diesem Fall muss ein neues "Geheimnis" erzeugt werden. Wir empfehlen daher, dass Sie sich selbst eine Erinnerung setzen, um das "Geheimnis" ggf. auch schon vor Ablauf des Zeitraums zu erneuern.
Sobald Sie das "Geheimnis" hinzugefügt haben, werden Ihnen "Wert" und "Geheime ID" im Klartext angezeigt.
Achtung:
Die Einträge sind nur einmalig sichtbar und sollten für die Dauer der Einrichtung zwischengespeichert werden. Im späteren Verlauf der Einrichtung wird der Eintrag unter "Wert" noch einmal benötigt.
Das „Geheimnis“ ist mit Sorgfalt zu behandeln und zu verwahren.
Endpoint-Informationen auslesen
Bevor mit der Konfiguration im Schulmanager Online begonnen werden kann. Müssen noch einige Informationen aus Entra AD beschafft werden.
Wählen Sie dazu oben den Punkt „Endpunkte“ aus.
Aus dem sich neu öffnenden Fenster notieren Sie sich bitte die Werte für:
OAuth 2.0-Autorisierungsendpunkt (v2)
OAuth 2.0-Token-Endpunkt (v2)
2. Konfiguration in Schulmanager Online
Ins Feld „Token URL“ den Wert vom „OAuth 2.0 token endpoint (v2)“ eintragen.
Ins Feld „User Info URL“ den Wert https://graph.microsoft.com/oidc/userinfo eintragen.
Ins Feld „Issuer“ tragen sie den Wert von Token URL ein, kürzen diesen jedoch ab.
https://login.microsoftonline.com/test922a-1e3c-4c53-a623-ade321d9714f/oauth2/v2.0/token
so dass Folgendes herauskommt:
Ins Feld „Client ID“ tragen sie die Client ID der registrierten Applikation „Schulmanager Online“ ein, die Sie vorher notiert haben.
Im Feld „Client Secret“ tragen Sie den „Wert“ des "Geheimnisses" ein, welches sie oben erstellt haben.
Aufruf des Schulmanagers
https://login.schulmanager-online.de/oidc/1234/callback
- Sie rufen direkt den Login-Link auf
- Sie richten den Schulmanager als App in Office 365 ein, die auf diesen Link verweist
- Sie loggen sich in der App ein - hier wird die Schule explizit abgefragt, wodurch der Login-Link nicht nötig ist.