SSO über die IServ Schulplattform
Wir empfehlen Ihnen, sich als Administrator:in sowohl bei IServ, als auch in Ihrer Tipp10-Schulplattform einzuloggen, da für die nachfolgende Einrichtung einige Informationen ausgetauscht werden müssen.
Grundsätzliches zum Umgang mit Accounts
Es gibt verschiedene Möglichkeiten die Accounts von IServ in Tipp10 zu integrieren. Ein Möglichkeit ist es, alle benötigten Accounts in Ihrer Tipp10-Plattform anzulegen oder zu importieren. Sie müssen dabei darauf achten, dass die Benutzer:innennamen denen in IServ entsprechen, damit eine korrekte Zuordnung stattfinden kann. Normalerweise hat ein Benutzer:innenname in IServ den Aufbau "vorname.nachname". Bei einer funktionierenden SSO-Konfiguration sollten die angelegten Accounts dann bereits über IServ aufrufbar sein.
Bis auf den Besitzer:innen-Account (der Benutzer:innenname ist zwingend eine E-Mail-Adresse) können Sie auf diese Weise allen Accounts Zugriff über IServ gewähren, egal ob Lehrer:innen oder Schüler:innen-Account.
Eine andere (oder zusätzliche) Möglichkeit ist es, unbekannte Accounts nach einem SSO-Login in Tipp10 automatisch neu anlegen zu lassen. Dieses Verhalten können Sie bei der SSO-Konfiguration in Tipp10 aktivieren. Dabei geht Tipp10 nach folgendem Schema vor:
- Werden Rollen übermittelt (siehe "Scopes" in den nachfolgenden Schritt-für-Schritt-Anweisungen), kann zwischen Lehrer:innen- und Schüler:innen-Account unterschieden werden. Wird keine Rolle übermittelt, wird immer ein Schüler:innen-Account angelegt.
- Werden Gruppen (Zuordnung zu einer Klasse) übermittelt, versucht Tipp10 eine entsprechende Klasse auszumachen und den Account hier anzulegen (unabhängig davon, wer die Klasse betreut). Wird keine entsprechende Klasse gefunden, wird diese automatisch beim Besitzer:innen-Account angelegt. Wenn gar keine Gruppe übermittelt wird, wird der Account in einer neuen Klasse "Nicht zugeordnet" beim Besitzer:innen-Account angelegt.
- Wird eine E-Mail-Adresse übermittelt, wird diese beim Account hinterlegt.
Tipp10 unterstützt keine Provisionierung der Benutzer:innen. Accounts werden also zum Beispiel nicht automatisch gelöscht, wenn sie in IServ gelöscht werden. Aber Sie können in der SSO-Konfiguration von Tipp10 festlegen, dass die Profildaten (Benutzer:innenname, Vorname und Nachname) und die E-Mail-Adresse bei jedem Login neu abgeglichen werden.
Mit der Möglichkeit Accounts automatisch anzulegen, sparen Sie sich das umständliche Anlegen aller Accounts und ggf. auch Klassen. Im Normalfall müssen die Accounts bzw. Klassen dann aber noch einmalig den korrekten Lehrer:innen zugeordnet werden und auch das Löschen von Accounts müssen Sie über die Tipp10-Plattform erledigen.
Achtung: Wenn Sie unbekannte Accounts nicht abweisen, können sich alle Benutzer:innen mit Zugriff auf IServ und die SSO-Anbindung bei Ihrer Tipp10-Plattform einloggen und werden dort als neue Benutzer:innen angelegt. Sie sollten dann beachten, dass ausreichend Lizenzen vorhanden sind.
Tipp: Benutzer:innen, deren Account über einen SSO-Login automatisch angelegt wurde, können optional in den Einstellungen ein Passwort einrichten, damit ein Login auch ohne IServ möglich ist.
SSO im IServ einrichten
Es muss das Paket "IServ 3: OAuth- und Open-ID-Connect-Server" installiert sein. Sie finden das Paket in der IServ-Verwaltung unter "System" - "Pakete".
Ist das IServ-Paket in Ihrem IServ installiert, finden Sie im Verwaltungsbereich des IServ-Portals unter "System" den Punkt "Single-Sign-On". Klicken Sie hier auf "Hinzufügen", vergeben Sie einen beliebigen Namen (z.B. "Tipp10") und wählen Sie "Vertrauenswürdig" mit "Ja" aus.
Die IDs für "Client-ID" und "Client-Geheimnis" können Sie herauskopieren, diese müssen dann in den Tipp10-Einstellungen hinterlegt werden.
Unter "Rechte" können Sie den Zugriff auf die SSO-Anbindung auf bestimmte Gruppen oder Rollen beschränken.
Unter "Beschränkungen" müssen Sie nicht unbedingt Änderungen vornehmen.
Bei den "erlaubten Grand-Typen" muss nur das Häkchen bei "Autorisierungs-Code" gesetzt sein.
"Scopes" sind die Accountinformationen, die mit Tipp10 geteilt werden. Wenn Sie keine Scopes selektieren, werden automatisch alle Scopes übertragen. Zwingend notwendig für eine erfolgreiche Verbindung sind die Scopes "OpenID" und "Profil". Alle anderen Scopes sind nur relevant, wenn Sie in Tipp10 die Einstellung "Unbekannte Accounts anlegen" wählen. Die Informationen "Gruppen", "Rollen" und "E-Mail" werden dann genutzt, um die Accounts entsprechend anzulegen und zuzuordnen (siehe "Grundsätzliches zum Umgang mit Accounts").
Unter "Anwendung" geben Sie bitte die Weiterleitung-URI ein, die Ihnen im nachfolgenden Schritt "SSO in Tipp10 einrichten" angezeigt wird.
Anschließend können Sie das ganze "Speichern".
Tipp10 in der IServ-Navigation integrieren
In der IServ-Verwaltung können Sie Tipp10 über "System" - "Navigation" direkt in der IServ-Navigation integrieren. Bitte geben Sie als Link den im nachfolgenden Schritt "SSO in Tipp10 einrichten" als "Weiterleitung-URI" angezeigten Link ein.
SSO in Tipp10 einrichten
Unter "Einstellungen" - "Single Sign On" können Sie die IServ-Anbindung einrichten. Wählen Sie hier als Provider den Eintrag "IServ" aus und geben Sie unter IServ-URL die vollständige Adresse Ihrer IServ-Plattform ein (inkl. "https://" und normalerweise nur die Toplevel-Domain ohne weitere Parameter).
In die Felder Client-ID und Client-Geheimnis kopieren Sie bitte die Zeichenfolgen, die Sie bei der Single Sign On Einrichtung in IServ erhalten haben.
Unter Scopes sollten Sie bei Möglichkeit die gleichen Scopes selektieren, die Sie in IServ definiert haben. Sie können Tipp10 hier auch anweisen weniger Informationen auszulesen, als von IServ übermittelt wird. Wenn Sie hier allerdings Scopes wählen, die in IServ nicht aktiv sind, so werden Loginanfragen von IServ gestoppt.
Wenn Benutzer:innen mehreren Gruppen zugeordnet sind und diese übermitteln, verwendet Tipp10 standardmäßig die erste der übermittelten Gruppen für die Klassenzuordnung. Um dies zu verhindern, können Sie einen regulären Ausdruck im Feld "RexExp (optional)" hinterlegen, damit genau die Gruppe herausgefiltert wird, auf die das Suchmuster zutrifft. Wenn beispielsweise nur diejenige Gruppe verwendet werden soll, die den Text "Klasse" im Gruppennamen enthält, können Sie folgenden regulären Ausdruck hinterlegen:
/klasse/i
Die Weiterleitungs-URI können Sie herauskopieren. Diese wird in IServ benötigt, um Sie dort als "Weiterleitungs-URI" (siehe oben) einzutragen und ggf. für einen Eintrag in der IServ-Navigation.
Nun können Sie noch festlegen, wie mit unbekannten Benutzer:innen verfahren wird. Wenn Sie unbekannte Benutzer:innen nicht abweisen, beachten Sie bitte "Grundsätzliches zum Umgang mit Accounts" weiter oben.
Unter "Synchronisierung" können Sie definieren, ob das Profil (Benutzer:innenname, Vorname und Nachname) und die E-Mail-Adresse bei jedem Login neu abgefragt und bei Tipp10 aktualisiert werden soll.
Wenn Sie neben dem Absprung zu Tipp10 aus IServ heraus auch möchten, dass ein Login mittels IServ über einen Button auf der Tipp10-Loginseite möglich ist, können Sie diesen hier aktivieren.
Wenn Sie die Einstellungen gespeichert haben, sollte nun die SSO-Anbindung über IServ funktionieren.