Grafik: SSO mit UCS@school und webUntis

Viele Schulen unserer Schulträger-Kunden verwenden in der Schule die Lösungen Untis und WebUntis. Diese Software ist ein populäres Tool für die Bereitstellung von Stunden- und Vertretungsplänen und kann einfach per Single Sign-on an UCS@school angebunden werden. Da WebUntis häufig und intensiv genutzt wird, möchte ich Ihnen im Folgenden eine kurze und praktische Anleitung geben, wie Sie WebUntis an UCS@school anbinden und für die Nutzer*innen per Single Sign-on zugänglich machen.

Untis + WebUntis + Zentrales Identity Management = Signifikante Vorteile für Schulen

Grundsätzlich funktioniert WebUntis schulbasiert. Das heißt, jede Schule hat ihre eigene WebUntis-Instanz mit einer eigenen URL, über die sie im Internet erreicht werden kann. Diese Instanz kann aber auch an ein zentrales Identity Management angebunden werden. Der Mehrwert davon liegt auf der Hand: Die Schulen können durch diese Anbindung die Administration der Benutzer an eine zentrale Stelle, in der Regel den Schulträger, abgeben und sämtliche Lehrer*innen und Schüler*innen erhalten per Single Sign-on mit ihren gewohnten Nutzerdaten Zugriff auf WebUntis.

Voraussetzung für die Umsetzung einer Anbindung an UCS@school

UCS@school + WebUntis

Damit eine Anbindung funktioniert, muss der Benutzername auf beiden Seiten (UCS@school und WebUntis) derselbe sein. Für neue Benutzer bietet WebUntis eine datensparsame Option, die Benutzer erst anlegt, wenn diese sich das erste Mal anmelden.
Es ist also theoretisch so gut wie keine Vorbereitung notwendig. Häufig ist es aber so, dass die Schulen zusätzlich Untis in der Verwaltung einsetzen und Daten zwischen WebUntis und Untis synchronisieren müssen.

UCS@school + WebUntis + Untis

WebUntis hat zwei verschiedene Benutzertypen:

  1. Benutzer von WebUntis
  2. Stammdaten-Personen, die aus Untis importiert wurden.

Wichtig ist, dass der Fremdbenutzername am Benutzer, die externe ID an den Stammdaten-Personen und die ID, die von UCS@school während der Anmeldung gesendet wird, übereinstimmen.

Grafik: webUntis, Untis und UCS@school selben Benutzer vorhalten

Vor der Anbindung einer laufenden WebUntis-Instanz sollten Sie hinsichtlich der Verwendung bestehender Benutzer in WebUntis für sich die Frage klären, ob bestehende Benutzer weiterverwendet werden können. Das funktioniert, wenn diese denselben Benutzernamen wie in UCS@school haben.
Für die Übernahme bestehender Benutzer aus UCS@school in das WebUntis, die einen anderen Benutzernamen haben, ist es nach unserer Erfahrung am einfachsten, wenn Sie den Schuljahreswechsel für den Wechsel nutzen. In der Regel sind dann keine offenen Stundenpläne vorhanden und der Schulbetrieb kann direkt mit den neuen Benutzern starten.

Im Folgenden beschreibe ich die Konfiguration und Anbindung:

  1. Konfiguration der SAML (Security Assertion Markup Language)-Anbindung
  2. Konfiguration des UCS@school-Portals
  3. Anbindung der Untis Mobile App über QR-Code

Die SAML-Anbindung erlaubt eine Single Sign-on-Anmeldung über die Weboberfläche. Bei privaten Geräten meldet man sich einmalig an UCS@school an. Bei schuleigenen Geräten reicht es aus, sich an Windows oder Linux (Ubuntu) anzumelden, wobei die Windows (Kerberos) Autorisierung automatisch an SAML bzw. WebUntis weitergereicht wird (weitere Informationen zur Konfiguration im Handbuch).

Grafik: SSO mit UCS@school und webUntis

Konfiguration der SAML-Anbindung

SAML bietet webbasiertes Single Sign-on und ermöglicht den Zugriff auf mehrere, autonome Services ohne mehrmalige Eingabe der Zugangsdaten. Zur genaueren Funktionsweise von SAML finden Sie eine Einführung im Artikel SAML für sichere, komfortable Webzugänge.
Eine SAML-Anbindung erfordert jeweils einen Austausch von Einstellungen mittels sogenannter Metadaten. Deshalb erfolgt die Konfiguration der SAML-Anbindung in zwei Schritten:

  1. Konfiguration des Services (Service Provider (SP) – WebUntis) in UCS@school.
  2. Konfiguration der Anmeldung (Identity Provider (IdP) – UCS@school) in WebUntis.

1. Konfiguration in UCS@school

In UCS@school wird der Service WebUntis bekannt gemacht. In der UMC unter Domäne → SAML Identity Provider → HINZUFÜGEN konfigurieren Sie einen weiteren Service Provider entsprechend der folgenden zwei Screenshots. Wichtig ist, dass Sie dazu natürlich den von Ihrer Schule verwendeten WebUntis-Hostnamen verwenden. Beispielsweise neilo:

Screenshot: Webuntis SAML IDP Allemein

Allgemeine Einstellungen

 

Screenshot: Webuntis SAML IDP erweitert

Weitere Einstellungen

 

Damit der UCS Identity Provider die angegebenen Attribute verarbeiten kann, müssen sie zusätzlich am LDAP-Objekt id=default-saml-idp,cn=univention,base DN eingetragen werden. Dort eingetragene LDAP-Attribute können vom Identity Provider ausgelesen und übertragen werden. Tragen Sie dort die Attribute objectclass, ucsschoolTeacher, ucsschoolStudent, dn, ucsschoolSchool & memberOf ein.

Screenshot: UCS Webuntis LDAP Verzeichnis SAML IDP

Screenshot: UCS Webuntis default SAML IDP Attribute

 

2. Konfiguration in WebUntis

Die Konfiguration in WebUntis erfolgt über den Reiter Administration → Integration → SAML. Dort wird UCS@school bekannt gemacht und die Anbindung wie in folgendem Screenshot konfiguriert:

Interface: WebUntis Intregration SAML Änderungen

Damit ist die SAML-Anbindung vollständig.

Konfiguration des UCS@school Portal

Grundsätzlich funktioniert nun die Anbindung zwischen UCS@school und WebUntis per Single Sign-on. WebUntis legt standardmäßig einen Button „SSO“ (SAML Single Sign-on) neben dem Button „Login“ an.

Screenshot WebUntis Webportal

Im UCS@school-Portal sollte nun eine Kachel „Vertretungsplanung / WebUntis“ konfiguriert werden. Diese Kachel kann so konfiguriert werden, dass sie nur den Lehrenden und Schüler*innen der angebundenen Schule angezeigt wird.
Dazu gehen Sie bitte folgendermaßen vor:

  1. Anmeldung als Administrator im Webinterface von UCS@school
  2. Unter Domäne → Portaleinstellungen → HINZUFÜGEN auswählen
  3. Neues Portal-Objekt „Portal: Eintrag“ auswählen
  4. Setzen Sie die Einstellungen wie auf den folgenden Screenshots gezeigt:

Den WebUntis Single Sign-on Link der Schule einfügen, der aus drei entscheidenden Teilen bestehen muss:

  1. Dem Link zum Webserver (hier im Beispiel „antiope“):  https://antiope.webuntis.com/WebUntis/saml/
  2. Dem Schulidentifier (hier test_schule):  login?school=test_schule
  3. Dem Link zum Portal (hier: portal.schulen.de): https://portal.schulen.de/simplesamlphp/saml2/idp/metadata.php

In unserem Beispiel sähe das folgender Maßen aus:
https://antiope.webuntis.com/WebUntis/saml/login?school=test_schule&idp=https://portal.schulen.de/simplesamlphp/saml2/idp/metadata.php

Screenshot WebUntis Portaleinstellungen Vertretungsplan WebUntis

 

Screenshot WebUntis Portaleinstellungen Vertretungsplan in WebUntis - 2

Screenshot WebUntis Portaleinstellungen Vertretungsplan-3

Sie haben nun erfolgreich WebUntis an UCS@school angebunden, sodass die Nutzer ihre Stundenpläne bequem über ihr gewohntes Login einsehen können.

Anbindung der Untis Mobile-App über QR-Code

Mit Hilfe der Untis Mobile App haben die Benutzer die Möglichkeit, jederzeit und auch von unterwegs auf den aktuellen Stundenplan zuzugreifen.
Die App lässt sich einfach über einen QR-Code auf dem Mobiltelefon einrichten.
Um diese Einrichtung vorzunehmen, muss sich der Benutzer lediglich in der WebUntis-Oberfläche anmelden und über den „Profil“-Button (oben rechts neben dem Benutzernamen) auf den Reiter „Freigaben“ zugreifen.
Dort findet sich unter „Zugriff über Untis Mobile“ der Button „Anzeigen“. Hier wird der QR-Code und die damit verbundenen Informationen angezeigt. Über die App auf dem Mobiltelefon kann nun eine auf ihre WebUntis-Instanz angepasste Einrichtung durchgeführt werden.

Interface: Webuntis Mobile Freigabe

In der Untis Mobile App gelangt man über die Einstellungen Profile → Bearbeiten → „+“-Button in das Menü für das Hinzufügen der Instanz über den generierten QR-Code. Dazu wird einfach die Option „QR CODE SCANNEN“ gewählt.

Nach dem Erkennen des QR-Code kann der Benutzer auf die schulspezifischen Informationen, z.B. den Stundenplan, zugreifen.

Sollten Sie hierzu noch weitere Fragen haben, hinterlassen Sie gern einen Kommentar oder kontaktieren uns über unser Forum. Nähere Informationen zu WebUntis finden Sie bei Untis selbst oder auch im App Katalog.

 


SSO-SAML-UCS

Kurz erklärt: SAML für sichere, komfortable Webzugänge

Kann webbasiertes Arbeiten mit zahlreichen Programmen sicherer und komfortabler gestaltet werden? Ja, dafür gibt es SAML, die Security Assertion Markup Language. Ein sicheres, XML-basiertes … mehr erfahren


UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich
Timo Hollwedel

IT Systems Integrator Apprentice im Professional Service Team bei Univention

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert