Single Sign-On mit IServ (OIDC)

Aus lernlog Hilfesystem
Wechseln zu: Navigation, Suche
Bitte beachten:
  • Die finale Einrichtung der Single Sign-On Schnittstelle zu IServ kann nicht eigenhändig durchgeführt werden. Dazu ist ein Server-Neustart notwendig. Bitte wende dich, nachdem du die Konfiguration vorgenommen hast, an den Support.
  • Wenn Du Single-Sign-On mit lernlog verwendest, musst du nur einmalig deine Anmeldeinformationen eingeben.
  • Wenn du nicht in lernlog registriert bist, wird der Zugriff auf die Plattform durch SSO unterbunden und leitet auf eine Fehlerseite weiter.
  • Vorhandene Nutzer*innen in lernlog müssen den gleichen Nutzernamen haben wie in IServ. Dies solltest du vor der Einrichtung sicherstellen.

Um die OIDC-Schnittstelle für den Single Sign-On (SSO) via IServ in lernlog aktivieren zu können, sind sowohl Einstellungen innerhalb deines IServ-Systems als auch innerhalb von lernlog notwendig.

Wie genau vorzugehen ist, wird im Folgenden erläutert. Hierbei gelangt man an alle notwendigen Informationen zur Konfiguration der OIDC-Schnittstelle.

Außerdem findest Du hier ein Video, das dir Schritt für Schritt die Einrichtung erläutert

https://handbuch.lernlog.digital/__attachments/2807071623/SSO_mit_IServ_komprimiert.mp4?inst-v=236331c4-4b04-4eab-aff2-d0571a4c5cec

(Vielen Dank an den Ersteller aus der Community: Christoph Trümper!).


Schritt für Schritt Anleitung[ ]

Erläuterungen in der IServ-Dokumentation zur Einrichtung von Single-Sign-On: https://doku.iserv.eu/manage/system/sso/


Konfiguration in IServ[ ]



  • Nachdem du dich mit Admin-Rechten in deiner IServ-Instanz eingeloggt hast, gehst du in den Bereich "Verwaltung".
  • In der Verwaltungsoberfläche klickst du in der Navigation auf "System" und dann auf den Menüpunkt "Single-Sign-On".



  • Die vorhanden Einstellungen für IServ bleiben an dieser Stelle unberührt.
  • Klicke "+ Hinzufügen", um eine neue IServ-Verbindung einzurichten.



  • In der neuen Maske vergibst du nun einen neuen Namen für die Verbindung (z.B. “Lernlog”)
  • Unter "Vertrauenswürdig" kannst du einstellen, ob die Verbindung zu lernlog vertrauenswürdig sein soll oder nicht. Wird diese Einstellung bei "Nein" belassen, müssen alle User, die sich in lernlog einloggen wollen bei jedem Login bestätigen, dass ihre Daten an lernlog übertragen werden.
  • Um den Zugang für Nutzerinnen und Nutzer so einfach wie möglich zu machen, wähle hier "Ja" aus.
  • Dann speicherst du die Eingaben.



  • Nachdem du gespeichert hast, gehe in den Bereich "Bearbeiten".
  • Wähle dort den Reiter "Rechte" aus.



  • Unter "Gruppen" können ggf. Gruppen ausgewählt werden, die lernlog nutzen sollen (z.B. einem Jahrgang oder einer bestimmten Lerngruppe)
  • Wenn alle Schüler*innen sowie Lehrer*innen lernlog nutzen, wähle diese unter "Rollen" aus.



  • Unter "Beschränkungen" ist es möglich, weitere Zugriffsbeschränkungen vorzunehmen.
  • Im Normalfall änderst du an dieser Stelle nichts.



  • Im Bereich "Anwendung" muss noch die "Weiterleitungs-URIs" eingetragen werden.
  • Diese lautet: https://YOUR-SERVER.lernlog.digital/login/oauth2/code/lernlog_oidc
  • Nachdem du diese Adresse in IServ eingefügt hast, musst du noch YOUR-SERVER gegen deine eigene lernlog-Adresse austauschen (beispiel.lernlog.digital)
  • Abschließend klickst du auf "Hinzufügen".



  • Auf IServ-Seite ist jetzt soweit alles eingerichtet.


Konfiguration in lernlog[ ]



  • Nachdem du dich in lernlog als Admin angemeldet hast, wechsle nun in der Navigation unter "Schnittstellen" zum Menüpunkt "Single Sign-On".
  • Anschließend klickst du auf den Reiter "Open-Identity-Connect".
  • Hier kannst du die Verbindung zu IServ konfigurieren, indem du auf das "Stift-Symbol" klickst und deine Informationen in die Eingabemaske einträgst.



  • Folgende Werte musst du in der Eingabemaske eintragen:
    • Anzeigename: Dieser Name wird Nutzerinnen und Nutzern beim Login in lernlog angezeigt und kann von dir bestimmt werden (z.B. "Anmelden mit IServ").
    • Client-Name: Nur für Administrator*in wichtig (z.B. "Iserv").
    • Client-Id: Kopiere den Wert aus der Konfiguration in deiner IServ-Instanz (Feld Client-ID) und füge ihn im Formular ein.
    • Client-Secret: Kopiere den Wert aus der Konfiguration in deiner IServ-Instanz (Feld Client-Geheimnis) und füge ihn im Formular ein.
    • Die nun folgenden Informationen findest du in der IServ-Dokumentation unter dem Absatz Endpunkte → https://doku.iserv.eu/manage/system/sso/. Diese Informationen kannst du in das Formular in lernlog kopieren und einfügen.
    • Authorisierungs-Endpoint:
      • Authorisierungsendpunkt: https://mein-iserv.de/iserv/oauth/v2/auth
    • Token-Endpoint:
      • Tokenendpunkt https://mein-iserv.de/iserv/oauth/v2/token
    • Userinfo-Endpoint:
      • Userinfoendpunkt https://mein-iserv.de/iserv/public/oauth/userinfo
    • JKWS-URI:
      • JWK-Endpunkt https://mein-iserv.de/iserv/public/jwk
    • Regler PKCE Protokoll: Hier muss nichts geändert werden.
    • Scopes: Hier ergänzt du den Eintrag mit ",profile" so, dass dort "openid,profile" eingetragen ist.
  • Abschließend klickst du "Speichern", um die vorgenommen Einstellungen zu speichern.
  • Nachdem du die Konfiguration vorgenommen hast, musst du den Support von lernlog über das Online-Support-Formular kontaktieren, damit der lernlog-Server neu gestartet wird. Anschließend steht dir die Schnittstelle zur Verfügung.
Abgerufen von „https://hilfe.lernlog.digital/wiki/index.php?title=Single_Sign-On_mit_IServ_(OIDC)&oldid=6283