SSO über Microsoft Entra ID (ehemals Azure Active Directory)
Wir empfehlen Ihnen, sich als Administrator:in sowohl bei Entra ID, als auch in Ihrer Tipp10-Schulplattform einzuloggen, da für die nachfolgende Einrichtung einige Informationen ausgetauscht werden müssen.
Grundsätzliches zum Umgang mit Accounts
Es gibt verschiedene Möglichkeiten die Accounts von Entra ID in Tipp10 zu integrieren. Ein Möglichkeit ist es, alle benötigten Accounts in Ihrer Tipp10-Plattform händisch anzulegen oder zu importieren. Sie müssen dabei darauf achten, dass die Benutzer:innennamen denen in Entra ID entsprechen, damit initial eine korrekte Zuordnung stattfinden kann. Normalerweise ist ein Benutzer:innenname in Entra ID eine E-Mail-Adresse. Bei einer funktionierenden SSO-Konfiguration sollten die angelegten Accounts dann bereits über Entra ID aufrufbar sein.
Bis auf den Besitzer:innen-Account können Sie auf diese Weise allen Accounts Zugriff über Entra ID gewähren, egal ob Lehrer:innen oder Schüler:innen-Account.
Eine andere (oder zusätzliche) Möglichkeit ist es, unbekannte Accounts nach einem SSO-Login in Tipp10 automatisch neu anlegen zu lassen. Dieses Verhalten können Sie bei der SSO-Konfiguration in Tipp10 aktivieren. Wenn Tipp10 einen Account automatisch anlegt, handelt es sich immer um einen Schüler:innen-Account. Dieser wird in einer neuen Klasse "Nicht zugeordnet" beim Besitzer:innen-Account angelegt. Existiert keine Klasse "Nicht zugeordnet", wird diese automatisch angelegt. Wenn eine E-Mail-Adresse übermittelt wird, wird diese beim Account hinterlegt.
Tipp10 unterstützt keine Provisionierung der Benutzer:innen. Accounts werden also zum Beispiel nicht automatisch gelöscht, wenn sie in Entra ID gelöscht werden. Aber Sie können in der SSO-Konfiguration von Tipp10 festlegen, dass die Profildaten (Benutzer:innenname, Vorname und Nachname) und die E-Mail-Adresse bei jedem Login neu abgeglichen werden.
Mit der Möglichkeit Accounts automatisch anzulegen, sparen Sie sich das umständliche Anlegen aller Accounts und ggf. auch Klassen. Im Normalfall müssen die Accounts bzw. Klassen dann aber noch einmalig den korrekten Lehrer:innen zugeordnet werden und auch das Löschen von Accounts müssen Sie über die Tipp10-Plattform erledigen.
Achtung: Wenn Sie unbekannte Accounts nicht abweisen, können sich alle Benutzer:innen mit Zugriff auf Ihr Entra ID und die SSO-Anbindung bei Ihrer Tipp10-Plattform einloggen und werden dort als neue Benutzer:innen angelegt. Sie sollten dann beachten, dass ausreichend Lizenzen vorhanden sind.
Tipp: Benutzer:innen, deren Account über einen SSO-Login automatisch angelegt wurde, können optional in den Einstellungen ein Passwort einrichten, damit ein Login auch ohne Entra ID möglich ist.
SSO in Entra ID einrichten
Zuerst müssen Sie Tipp10 als App registrieren. Gehen Sie hierfür im "Microsoft Entra Admin Center" auf "App-Registrierungen". Vergeben Sie einen Namen für die App und definieren Sie die unterstützten Kontotypen. Unter "Umleitung-URI" wählen Sie als Plattform "Web" und geben Sie bitte die Weiterleitung-URI ein, die Ihnen im nachfolgenden Schritt "SSO in Tipp10 einrichten" angezeigt wird.
Wenn Sie die App registriert haben, können Sie schon einmal die Zeichenfolge der "Anwendungs-ID (Client)" aus der Zusammenfassung in der App-Übersicht herauskopieren, diese muss dann in den Tipp10-Einstellungen hinterlegt werden.
Unter "Zertifikate & Geheimnisse" legen Sie nun einen neuen geheimen Clientschlüssel an. Dazu müssen Sie einen Namen definieren und eine Gültigkeitsdauer. Wenn Sie den Clientschlüssel generiert haben, kopieren Sie den "Wert" des geheimen Clientschlüssels heraus, dieser muss dann ebenfalls in den Tipp10-Einstellungen hinterlegt werden.
SSO in Tipp10 einrichten
Unter "Einstellungen" - "Single Sign On" können Sie die Entra ID-Anbindung einrichten. Wählen Sie hier als Provider den Eintrag "Microsoft Entra ID" aus und geben Sie unter Entra ID URL die Domain Ihrer Entra ID-Plattform ein. Normalerweise ist das "https://login.microsoftonline.com/" gefolgt von der Mandanten-ID ("Tenant ID") ohne abschließenden Schrägstrich. Sie finden die Url auch in Entra ID bei der App-Übersicht, wenn Sie auf "Endpunkte" klicken.
In die Felder Client-ID und Client-Geheimnis kopieren Sie bitte die Zeichenfolgen, die Sie bei der Single Sign On Einrichtung in Entra ID erhalten haben.
Wenn Sie möchten, dass bei einer automatischen Account-Anlage auch die E-Mail-Adresse hinterlegt wird, können Sie unter "Scopes" optional "E-Mail" aktivieren.
Die Weiterleitungs-URI können Sie herauskopieren. Diese wird in Entra ID benötigt, um Sie dort als "Umleitung-URI" (siehe oben) einzutragen.
Nun können Sie noch festlegen, wie mit unbekannten Benutzer:innen verfahren wird. Wenn Sie unbekannte Benutzer:innen nicht abweisen, beachten Sie bitte "Grundsätzliches zum Umgang mit Accounts" weiter oben.
Unter "Synchronisierung" können Sie definieren, ob das Profil (Benutzer:innenname, Vorname und Nachname) und die E-Mail-Adresse bei jedem Login neu abgefragt und bei Tipp10 aktualisiert werden soll.
Wenn Sie neben dem Absprung zu Tipp10 aus Entra ID heraus auch möchten, dass ein Login mittels Entra ID über einen Button auf der Tipp10-Loginseite möglich ist, können Sie diesen hier aktivieren.
Wenn Sie die Einstellungen gespeichert haben, sollte nun die SSO-Anbindung über Entra ID funktionieren.