Single Sign-On via Keycloak (OIDC)
Aus lernlog Hilfesystem
BITTE BEACHTEN
- Die Konfiguration der Single Sign-On Schnittstelle zu Keycloak kann nicht eigenhändig durchgeführt werden. Bitte wende dich diesbezüglich an den Support.
- Wenn du Single Sign-On in lernlog verwendest, musst du nur einmalig deine Anmeldeinformationen eingeben.
- Wenn du nicht in lernlog registriert bist, wird der Zugriff auf die Plattform durch SSO unterbunden und leitet auf eine Fehlerseite weiter.
- Um die OIDC-Schnittstelle für den Single Sign-On (SSO) via Keycloak in lernlog aktivieren zu können, sind sowohl Einstellungen innerhalb deines Keycloak-Systems und innerhalb von lernlog notwendig. Wie genau vorzugehen ist, wird im Folgenden erläutert.
- Hierbei gelangt man an alle notwendigen Informationen zur Konfiguration der OIDC-Schnittstelle.
- Leite diese bitte an den technischen Support weiter, damit sie dich bei der Einrichtung unterstützen können.
- Es ist erforderlich einen Service-Provider für lernlog in Keycloak einzurichten:
- Klicke im Hauptmenü auf den Punkt "Clients".
- Klicke dort im Untermenü auf den Punkt "Create client".
_Abb.1.png)
- Konfiguriere in der neuen Ansicht den neuen OIDC Service Provider (statt YOUR-SERVER den Namen deines Servers eintragen).
- Schritt 1: Client ID = Client Name (wie z.B. "lernlog_oidc").
_Abb.2.png)
- Schritt 2: Bitte "Client authentication" (zur Einrichtung eines Client-Secret) aktivieren und "Standard flow" auswählen.
_Abb.3.png)
- Schritt 3: Bitte die folgende URL eingeben unter: "Valid redirect URIs":
- https://YOUR-SERVER.lernlog.digital/login/oauth2/code/lernlog_oidc
_Abb.4.png)
- Wenn die Konfiguration durch den Support in lernlog aktiviert wurde, erscheint auf dem Login Screen die Login-Möglichkeit via Keycloak.
Bitte beachte, dass sich Administratoren*innen in lernlog weiterhin über das normale Authentifizierungsverfahren in lernlog einloggen müssen.
_Abb.5.png)
- Per Klick auf "Login via Keycloak" gelangen Nutzer*innen nun zur Authentifizierungsmaske des Keycloak und können sich darüber einloggen.
_Abb.6.png)
_Abb.7.png)
- Finde in Keycloak die REALM ID für lernlog heraus bzw. lege zuvor ein Realm hierfür an. Diese lässt sich schließlich als Teil der OpenID Connect-Metadaten-URL eintragen, um an die öffentlichen OIDC-Konfigurationsdaten in JSON-Format zu gelangen (z.B. https://KEYCLOAK-URL/realms/REALM ID/.well-known/openid-configuration):
_Abb.8.png)
- Für den Client kann man das Client-Secret unter dem Tab "Credential" (oder auch "Zertifikat" oder "Authentifizierung") im Kunden-Detail-Bereich finden:
_Abb.9.png)