ID Broker: ID Vermittlungsdienste für Schulträger und Schulen

Am 11.05.2022 haben wir den Univention ID Broker veröffentlicht. Er vereinfacht die Integration von Bildungsportalen und pädagogischen SaaS-Angeboten (Software as a Service) in Schul-IT-Umgebungen erheblich. Der Broker vermittelt zwischen UCS@school, als Identitätsmanagement-System bei Schulträgern, Ländern oder einzelnen Schulen im Einsatz, und den von diesen genutzten externen Diensten, z. B. Lernmanagement, digitale Medien und andere Bildungsangebote.

Beide Seiten verbinden sich dafür einmalig mit dem ID Broker und sind anschließend mit allen angeschlossenen Portalen und Angeboten vernetzt. Für Lernende und das Lehrpersonal heißt das: Sie melden sich mit ihrem bekannten Account an, befinden sich in der für sie personalisierten Umgebung und haben sofort Zugriff auf alle angeschlossenen und für die angemeldete Person freigegebenen Dienste (Single Sign-on).

Das Besondere am ID Broker: Er pseudonymisiert die Nutzerkennungen und kann unter anderem die Weitergabe von Echt-Namen und Passwörtern an den Dienstanbieter unterbinden. Die neue Schnittstelle ermöglicht damit die datenschutzkonforme Nutzung digitaler Bildungsangebote. Für die Anwender*innen ändert sich nichts – der Broker tritt für sie gar nicht in Erscheinung.

In diesem Artikel möchte ich Ihnen den Univention ID Broker näher vorstellen und die Vorteile für Bildungsträger sowie für Anbieter von Schul- und Lernsoftware aufzeigen.

Herausforderungen bei der Anbindung von Lernangeboten

Viele Lernangebote stehen als Software as a Service (SaaS) zur Verfügung, das heißt, dass der jeweilige Anbieter den Dienst auf seinen eigenen Servern hostet. Solche Bildungsangebote für Anwender*innen in den Identitätsmanagement-Systemen von Landesportalen und Schulträgern einfach zugänglich zu machen, ist durchaus eine Herausforderung. Es gibt auf der einen Seite zahlreiche installierte Identitätsmanagement-Systeme (Identity Provider, IdP) und auf der anderen Seite viele Bildungsangebote (Service Provider, SP). Um alle miteinander zu verknüpfen, muss jeder IdP mit jedem SP konfiguriert werden. Die Anbindung ist damit nicht nur aufwändig, sondern auch fehleranfällig und bei einigen Lernsystemen erst gar nicht möglich.

Eine weitere Schwierigkeit beim Vernetzen sind die Lernkontexte der Nutzer*innen, also deren Rollen und Zugehörigkeit zu bestimmten Lerngruppen. Das jeweilige Bildungsportal definiert diesen Kontext, und dieser sollte unbedingt auch dem Anbieter der Software bekannt sein. Eine vollständige Übertragung aller personenbezogenen Daten widerspricht allerdings geltenden Datenschutzbedingungen, denn es dürfen nur die Informationen von Anwenderinnen und Anwendern übertragen werden, die das Angebot tatsächlich in Anspruch nehmen.

Natürlich könnte für jeden Dienst ein neuer Zugang eingerichtet werden, der dann mit den entsprechenden Rechten und Gruppen-Zugehörigkeiten/Rollen ausgestattet ist. Dabei müssten jedoch alle Accounts an mehreren Stellen gepflegt werden – das ist ineffizient, mit deutlichem Mehraufwand verbunden und resultiert in einem schlechten Erlebnis für die Anwender*innen.

Eine gelungene Integration setzt also voraus, dass der jeweilige Lernkontext der Nutzer*innen ebenfalls bereitgestellt wird:

  • Wenn ein Lernangebot einen personalisierten Login benötigt, soll dieser per Single Sign-on am jeweiligen Bildungsträger (Schule, Land, Schulträger) erfolgen, z. B. an dessen Schulportal.
  • Sind zusätzliche Account-Informationen, wie etwa Name, Rolle, Schule oder Kontaktinformationen erforderlich, dann sollen diese aus dem Identitätsmanagement-System des Bildungsträgers übernommen werden.
  • Benötigt das Lernangebot Angaben zur Lerngruppe (Name/Beschreibung der Gruppe, Gruppenmitglieder usw.), dann sollen diese ebenfalls vom Bildungsträger übertragen werden.

Datenschutz und Datensparsamkeit berücksichtigen

Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten. Sie legt unter anderem fest, dass nur tatsächlich benötigte Daten der Bildungsträger an die Anbieter der Lernsoftware übertragen werden dürfen. Im Klartext heißt das: Eine Datenübertragung findet nur dann statt, wenn jemand das Angebot wirklich aufruft.

Weiterhin gilt es zu berücksichtigen, dass eindeutige Kennungen von Accounts und Lerngruppen nicht angebotsübergreifend verknüpfbar sein dürfen. Sie müssen daher durch entsprechende Pseudonyme ersetzt werden. Dass bei alldem nur relevante Daten ausgetauscht werden dürfen, versteht sich von selbst: Entsteht einem Lernangebot kein Nutzen aus den Daten (wie etwa aus Informationen zu Lerngruppen), dann darf es diese gar nicht erst erhalten. Die vollständige Kontrolle muss in jedem Fall beim Bildungsträger liegen, also bei den Schulen, Ländern oder Schulträgern.

Um die anwendungsspezifische Pseudonymisierung kümmert sich eine Vermittlungsstelle im Rahmen des Single Sign-On, also ein eigenes, öffentliches System mit einem eigenen Hosting. Dieser sogenannte Broker ist mit dem Single Sign-on des Bildungsträger-Portals verknüpft. Alle weiteren Schnittstellen für den Datenaustausch mit angebundenen Bildungsangeboten bauen dann auf dieser Pseudonymisierung auf.

Wie ist das Ganze technisch umgesetzt? Das möchte ich im nächsten Abschnitt erklären und den Aufbau des Univention ID Broker etwas detaillierter beschreiben.

ID Broker: Aufbau und Komponenten

Schauen wir uns den Univention ID Broker genauer an. Er erfüllt im Wesentlichen zwei Aufgaben:

  • Single Sign-on mit Pseudonymisierung
  • Schnittstellen (APIs) für den Transfer der Lernkontexte

Anwender*innen melden sich einmal am Portal des Bildungsträgers an und erhalten dann Zugriff auf alle angeschlossenen Dienste und Lernsysteme (Single Sign-on). Dabei kümmert sich der Broker auch um die Pseudonymisierung der Nutzer- und Gruppenkennungen. Zusätzlich stellt er standardisierte APIs für die Anbieter von Lernsoftware bereit. Nach erfolgreicher Authentifikation durch die Endbenutzer*innen erfolgt die Übermittlung von Lernkontexten.

UCS@school ID Broker: Vermittlungsdienst für die datenschutzkonforme Nutzung digitaler Bildungsangebote

Der ID Broker stellt also Daten für die Anbieter von Lernsoftware zur Verfügung – welche Daten weitergegeben und verarbeitet werden, entscheiden die Bildungsträger. Das können beispielsweise die Nutzerkennungen (Login), der Vor- und Nachname und die Rolle sein; eine Übermittlung von Passwörtern oder Passwort-Hashes findet zu keiner Zeit statt. Außerdem erhält der Broker Informationen zu den (Lern-)Gruppen, also jeweils die Gruppenkennung (den Namen) und deren Mitglieder. Was die Schulen betrifft, so werden die Schulkennungen sowie die Zuordnung von Nutzerkonten und Lerngruppen übertragen.

Der Zugriff auf die Lernangebote erfolgt erst nach der Freigabe der Schnittstellen durch den Bildungsträger und auch nur für Anwender*innen, die sich tatsächlich anmelden. Für die Nutzer*innen ändert sich nichts: Sie melden sich wie gehabt am jeweiligen Portal an und erhalten dann Zugriff auf die Angebote.

Aktueller Stand und Ausblick

Derzeit ist das Lernsystem bettermarks die erste Lernsoftware-Lösung, die mit dem Univention ID Broker verbunden wurde; das Land Bremen als Bildungsträger will den Broker im Sommer 2022 in Betrieb nehmen und den Lehrenden und Lernenden darüber den einfachen Zugriff auf bettermarks ermöglichen. Gespräche mit weiteren Bildungsangeboten und Bildungsträgern laufen bereits.

Das Institut für Film und Bild in Wissenschaft und Unterricht (FWU) arbeitet ebenfalls an einem Vermittlungsdienst, um bereits vorhandene ländereigene Identitätsmanagement-Lösungen mit Anbietern von digitalen Materialien und Diensten zu verknüpfen. Das Projekt VIDIS (Vermittlungsdienst für das digitale Identitätsmanagement an Schulen) soll zukünftig eine ähnliche Funktionalität bieten wie das Single Sign-on über den ID Broker. Univention arbeitet daher intensiv mit dem VIDIS-Projekt zusammen und plant, Funktionen wie das Single Sign-on auf VIDIS zu migrieren, sobald dieses System produktiv im Einsatz ist. Die oben beschriebene Übertragung von zusätzlichen Informationen wie Gruppenzugehörigkeiten o. Ä. steuert der ID Broker zukünftig auch bei – ein Mehrwert für die gemeinsame Nutzung mit VIDIS.

Abschließend möchte ich kurz auf das Thema (De-)Anonymisierung eingehen, denn künftig soll es auch möglich sein, Angebote zu integrieren, die in Rechenzentren außerhalb des europäischen Rechtsraums gehostet werden. In einem solchen Fall dürfen keine Nutzerdaten übertragen werden. Alle APIs des Univention ID Broker sehen vor, dass nur Pseudonyme an die Bildungsangebote übermittelt werden, die Daten sind damit also anonymisiert. Optional kann ein HTTP-Proxy die IP-Adressen der Anwender*innen verschleiern. Zur De-Anonymisierung ermöglicht eine weitere Schnittstelle den Bezug von Klardaten (Namen) durch die Endgeräte der Benutzer*innen (Browser). Der jeweilige Webbrowser kontaktiert dazu den ID Broker und erhält die Information von diesem – die Daten werden keinesfalls durch die Systeme des Anbieters verarbeitet.

ID Broker: eine gelungene Vermittlung für Diensteanbieter

Vom Univention ID Broker profitieren sowohl Bildungsträger, also Schulträger, Länder und Lehranstalten, als auch die Anbieter digitaler Bildungslösungen:

  • Single Sign-on (SSO): Lernende und Lehrende haben einen einzigen Login und erhalten Zugriff auf die Dienste aller angeschlossenen Anbieter.
  • Verbindungen schaffen: Der ID Broker übernimmt die Benutzer-Authentifizierung zwischen Identitätsmanagement und digitalen Lerninhalten.
  • Skalierung: Neue Lösungen sind automatisch für alle Benutzer*innen verfügbar. Das ist länderübergreifend möglich: Wird über den ID Broker beispielsweise ein neues Bildungsangebot angebunden, ist es automatisch für alle angeschlossenen Bildungsträger verfügbar.
  • Niedriger Aufwand durch rollenabhängige Informationen: Optional ist ein automatischer Zugriff auf Lerngruppen und Klassenstrukturen ohne manuelles Einpflegen der Daten möglich.
  • Geringer Aufwand für DSGVO-Konformität: Ein einmaliger Auftragsverarbeitungsvertrag zwischen Schulträger und Univention ist ausreichend.
  • Keine zusätzlichen Kosten: Die Nutzung des Univention ID Brokers ist Teil der UCS@school-Subskription.

Weitere Informationen zum ID Broker erhalten Sie unter https://www.univention.de/produkte/ucsschool/id-broker/.

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich
Ingo Steuwer

Ingo Steuwer beschäftigt sich seit 1999 mit Linux und ist seit 2004 bei Univention. Als Head of Product Management liegt sein Fokus auf der Weiterentwicklung von UCS.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert