Single Sign-On: ID-Broker
Aus lernlog Hilfesystem
- Die SSO-Schnittstelle zum ID Broker von Univention erlaubt es nicht nur, dass sich Nutzer*innen nur einmalig für gleich mehrere Web-Dienste wie u.a. lernlog einloggen müssen, es werden auch ohne weitere Handgriffe Nutzer*innen und deren Gruppen(-mitgliedschaften) direkt in lernlog übertragen.
- Der ID Broker agiert dabei als Mittelsmann zwischen dem ID-Provider der Schulinstitution (i.d.R. UCS@school) und lernlog als sogenannten Service-Provider/Anbieter.
- Beim Login von Nutzer*innen werden automatisch ihre wichtigsten Kenndaten in lernlog übertragen oder, falls bereits vorhanden, aktualisiert.
- Nur Lernende und Lernbegleitende können sich so in lernlog einloggen.
- Die sogenannte Provisionierung der Daten von Nutzer*innen erfolgt just-in-time (JIT), d.h. erst beim Login des*der ersten so angebunden Nutzers*in werden über die Schnittstelle Nutzer*innen und Gruppen in lernlog übertragen. Die Daten sind außerdem geschützt, indem nur jene übertragen werden, auf die der*die jeweilige Nutzer*in passende Zugriffsrechte besitzt. Das sind üblicherweise der*die Nutzer*in selbst, die Gruppen, in denen er*sie sich befindet und ggf. andere Nutzer*innen, die sich ebenfalls in diesen Gruppen befinden.
- Lernlog erhält sozusagen über den*die sich einloggenden Nutzer*innen für eine kurze Zeit das Recht, diese Daten auszulesen.
- Für Klassen und Arbeitsgruppen aus dem ID Broker werden in lernlog Systemgruppen und ggf. direkt zugehörige Lerngruppen angelegt. Deren Namen orientieren sich an jenen aus dem ID Broker. Abweichungen sind möglich, da der ID Broker Namen pseudonymisiert, oder Namenskollisionen mit bestehenden Gruppen in lernlog automatisch vermieden werden. Gleiches gilt für Nutzer*innennamen, aber nicht für Vor- und Nachnamen.
- Es sollten sich möglichst alle Nutzer*innen mindestens einmal eingeloggt haben, um sicherzustellen, dass alle notwendigen Daten in lernlog übertragen wurden.
- Die Provisionierung erfolgt bei jedem SSO-Login über die Schnittstelle. Bestehende Gruppen und Nutzer*innen werden entsprechend aktualisiert.
- Es werden stets alle Gruppen aus dem ID-Provider in lernlog übertragen, die dafür über die Konfiguration im ID Broker bzw. ID-Provider freigegeben sind. Man kann jedoch überflüssige Gruppen für eine bessere Übersicht deaktivieren und zusätzlich deren Synchronisation unterbinden.
- Die Löschung von Gruppen im ID-Provider führt niemals zu einer automatischen Löschung in lernlog, da lediglich die positive Mitgliedschaft in Gruppen erkannt werden kann. Systemgruppen und Lerngruppen lassen sich weiterhin manuell in lernlog entfernen.
- Die Kommunikation mit dem ID Broker findet über das OIDC-Protokoll statt. Es sind daher weitestgehend dieselben Einrichtungshinweise wie bei der OpenID Connect-Schhnittstelle zu berücksichtigen (siehe hier).
- Erforderliche Einstellungen:
Diese Werte erhalten sie i.d.R. vom Betreiber des ID Brokers (Univention).
- Schulträger: Identifikation/ID des Schulträgers im ID Broker
- Schul-ID: Identifikation/ID der Schule im ID Broker
- Optionale Einstellungen:
- Lerngruppen anlegen: Wenn aktiviert, wird beim Anlegen von Systemgruppen aus dem ID Broker jeweils eine gleichnamige Lerngruppe erstellt (ggf. wird mit einem Suffix eine Namenskollision vermieden, z.B. "Klasse A" → "Klasse A1"), die beide miteinander verknüpft. Wenn deaktiviert, werden keine Lerngruppen pro synchronisierter Systemgruppe angelegt.
- Systemgruppen aktiviert anlegen: Wenn aktiviert, werden übertragene Systemgruppen in lernlog direkt als aktiviert markiert. Wenn deaktiviert, sind sie direkt aktiviert nutzbar.
- Gruppen für Lernende übertragen: Wenn aktiviert, werden auch für Lernende (nicht nur für Lernbegleitende) Systemgruppen in lernlog übertragen. Eine Deaktivierung kann bei vielen parallelen Logins Zeit einsparen. Wenn deaktiviert, werden auch beim Login von Lernenden deren Gruppen synchronisiert.