https://hilfe.lernlog.digital/wiki/index.php?action=history&feed=atom&title=Single_Sign-On%3A_OpenID_Connect_%28OIDC%29Single Sign-On: OpenID Connect (OIDC) - Versionsgeschichte2026-04-13T15:39:06ZVersionsgeschichte dieser Seite in lernlog HilfesystemMediaWiki 1.41.1https://hilfe.lernlog.digital/wiki/index.php?title=Single_Sign-On:_OpenID_Connect_(OIDC)&diff=6306&oldid=prevArevik am 28. Oktober 2025 um 09:20 Uhr2025-10-28T09:20:21Z<p></p>
<p><b>Neue Seite</b></p><div><br><br />
{{Box Info | Die OIDC-Schnittstelle muss zunächst konfiguriert und zur Anwendung der Konfiguration die lernlog-Instanz neu gestartet werden. Der Neustart muss mit dem Hoster/Anbieter von lernlog durchgeführt werden. Bei Fragen oder Problemen steht der Support von lernlog über das Online-Support-Formular zur Verfügung.<br />
<br />
Nach dem Neustart lässt sich die SSO-Funktionalität jederzeit de-/aktivieren.<br />
}}<br />
<br><br />
{{Box Achtung | Nutzer*innen müssen in lernlog mit demselben Nutzernamen wie im ID-Provider existieren, um sich über OIDC-SSO einloggen zu können.<br />
}}<br />
<br><br />
:* Überprüfe, ob du einen Client/Zugriff für lernlog in deinem Identitätsanbieter eingerichtet hast und ob dir folgende Daten vorliegen:<br />
::* I.d.R. erhält man von dem ID-Provider die sensiblen Daten: '''Client-Namen''', '''Client-ID''' und das '''Client-Secret'''.<br />
::* Die restlichen, notwendigen Daten findet man im JSON-Format hinter der OpenID Connect-Metadaten-URL (z.B. <nowiki>https://YOUR-ID_PROVIDER_URL/.well-known/openid-configuration</nowiki>, oder <br><nowiki>https://YOUR-ID_PROVIDER_URL/realm/MY-REALM/.well-known/openid-configuration</nowiki>):<br />
<br><br />
[[Datei:Single Sign-On OpenID Connect (OIDC) Abb.1.png|800 px|center]]<br />
<br><br />
:* '''Folgende Werte sind für die weitere Konfiguration relevant (Angabe → Name in lernlog):'''<br />
::* '''Client-Name:''' Dies ist der Name des Clients (Serviceanbieters), der mit dem OpenID Connect-Provider interagiert.<br />
::* '''Client-ID:''' Dies ist die eindeutige Identifikationsnummer für den Client (Serviceanbieter).<br />
::* '''Client-Secret:''' Dies ist eine Zeichenabfolge, die zu Ver- und Entschlüsselung von dem Client und dem ID-Provider gemeinsam verwendet wird, um die Integrität ihrer Datenübertragung sicherzustellen.<br />
::* '''Autorisierungs-Endpoint''' (<code>authorization_endpoint</code>): Dies ist die URL, an der die Nutzer*innen ihre Authentifizierung durchführen können. Hier müssen sie ihr Nutzerkonto und Passwort eingeben oder sich mit einem externen Anbieter (z.B. itsLearning, Keycloak, …) anmelden.<br />
::* '''Token-Endpoint''' (<code>token_endpoint</code>): Dies ist die URL, an der der Serviceanbieter ein Token anfordern kann, um den Zugriff auf die von dem*der Nutzer*in eingerichteten Daten zu überprüfen.<br />
::* '''Userinfo-Endpoint'''(<code>userinfo_endpoint</code>): Dies ist die URL, an der zusätzliche Informationen über den*die Nutzer*in abgerufen werden können (z.B. sein Name, seine Email-Adresse).<br />
::* '''JWKS-URL''' (<code>jwks_uri</code>): Dies ist die URL, an der sich das JWK-Set (JSON Web Key Set) befindet. Das JWK-Set beinhaltet alle Schlüssel, die vom OpenID Connect-Provider verwendet werden können.<br />
::* '''PKCE Protokoll:''' Wenn aktiv, wird die Sicherheit der SSO-Verbindung durch ein ergänzendes Protokoll verbessert, falls der ID-Provider es unterstützt.<br />
::* '''Scopes:''' Für welche Art von Zugriffen authentifiziert man sich gegenüber dem ID-Provider; kommaseparierte Auflistung (mindestens notwendig <code>openid</code>, je nach ID-Provider auch zusätzliche Werte notwendig; z.B. iServ <code>openid,profile</code>).<br />
<br />
__FORCETOC__ <br />
<!--{{Relevante Seiten}}--><br />
[[Kategorie:Single_Sign-On]]</div>Arevik