OIDC / SSO — Anmeldung über einen Identitätsanbieter

Premium

SSO-Anmeldung (OIDC / OAuth2): Ihre Benutzer melden sich bei Omniscol mit ihrem institutionellen Konto an statt mit einem eigenen Passwort — eine einzige Anmeldung, die man sich merken muss, zentrale Aktivierung und Deaktivierung beim Kommen und Gehen von Personen, und Ihre Sicherheitsrichtlinie (MFA, Ablauf…), die aus Ihrem Informationssystem heraus durchgesetzt wird. Omniscol unterstützt Google Workspace, Microsoft Entra ID, Keycloak und jeden OIDC-konformen Anbieter.

OpenID Connect (OIDC), aufbauend auf OAuth2, ermöglicht es Ihren Benutzern, sich bei Omniscol mit ihrem institutionellen Konto anzumelden statt mit einem eigenen Omniscol-Passwort. Drei Vorteile: ein einziges Passwort, das man sich merken muss, zentrale Deaktivierung beim Eintritt oder Austritt einer Person und die automatische Durchsetzung der Sicherheitsrichtlinie (MFA, Passwortlänge, Ablauf…), die auf der Seite des Informationssystems verwaltet wird.

Diese Seite beschreibt das Benutzer-SSO: die Anmeldung von Personen bei Omniscol über Ihren Identitätsanbieter. Der umgekehrte Fall — Omniscol als OAuth2- / OIDC-Server, mit dem sich Drittdienste verbinden, samt zugehörigem Bildschirm zur Verwaltung der Clients — wird auf OAuth2 / OIDC (Anbieter) behandelt.

Unterstützte Anbieter

Omniscol unterstützt:

  • Google Workspace,
  • Microsoft Entra ID (früher Azure AD),
  • Keycloak,
  • einen generischen OIDC-Anbieter über seine Issuer- / Discovery-URL (jeden OIDC-konformen Anbieter).

Auf der Omniscol-Seite konfigurieren

Unter VerwaltungParameter, im Abschnitt Sicherheit, öffnet die Schaltfläche Konfigurieren den Bildschirm zur OIDC-Konfiguration, auf dem Sie den Anbieter deklarieren:

  • Anzeigename — die Beschriftung, die auf der Anmeldeschaltfläche erscheint (zum Beispiel Mit Google fortfahren).
  • Anbietertyp — Google, Microsoft Entra ID (Azure AD), Keycloak oder generisches OIDC.
  • Tenant / Issuer — der Microsoft-Tenant für Entra ID oder die Issuer-URL für Keycloak und generische OIDC-Anbieter. Die OIDC-Metadaten werden anschließend von der Anwendung ermittelt.
  • Client ID und Client secret — durch Erstellen einer Anwendung auf der Anbieterseite erhalten (siehe Dokumentation des Anbieters).
  • Scopes — standardmäßig openid profile email. Bei Bedarf anbieterspezifische Scopes ergänzen.
  • Zugelassene Domänen — eine optionale Liste von E-Mail-Domänen, die bei der SSO-Anmeldung akzeptiert werden; bleibt sie leer, wird keine Filterung nach Domäne angewendet.
  • Weiterleitungs-URL — Omniscol gibt Ihnen den genauen Wert zum Kopieren in die Konfiguration auf der Anbieterseite (sowie die Weiterleitungs-URL nach der Abmeldung, falls der Anbieter sie verlangt).
  • Anmeldung nur über SSO — sobald das SSO validiert ist, verweigert diese Option die Anmeldung mit einem Omniscol-Passwort, außer für die unten beschriebenen Notfallkonten.

Die aktuelle SSO-Konfiguration wird auf der Ebene des Schulkontos festgelegt.

Notfallzugang (Break-glass)

Im Modus Anmeldung nur über SSO wird die Anmeldung mit einem Omniscol-Passwort verweigert: Alle gehen über den Identitätsanbieter. Wird dieser Anbieter nicht mehr verfügbar — Ausfall, abgelaufenes Secret, Konfigurationsfehler —, wäre der Zugriff auf Omniscol für alle gesperrt.

Das Notfallkonto („Break-glass“) ist die Absicherung gegen diese Aussperrung: ein Administrator-Konto, das sich mit einem Omniscol-Passwort anmelden darf, auch während der ausschließliche SSO-Modus aktiv ist.

  • Ist im Datensatz eines Administrator-Kontos die Option Anmeldung nur über SSO aktiv, erscheint ein Kontrollkästchen Break-glass (SSO only). Wird es aktiviert, darf sich dieses Konto mit einem Passwort anmelden, falls der Identitätsanbieter nicht verfügbar ist. Nur Administrator-Konten können dazu bestimmt werden.
  • Der Omniscol-Support behält darüber hinaus einen eigenen, unabhängigen Notfallzugang.

Bestimmen Sie mindestens ein Notfallkonto, bevor Sie den ausschließlichen SSO-Modus aktivieren, und bewahren Sie dessen Passwort an einem sicheren Ort auf: Es ist Ihr Sicherheitsnetz, falls der Identitätsanbieter ausfällt.

Auf der Anbieterseite konfigurieren (Beispiele)

Google Workspace

  1. Google Cloud Console > APIs & Services > Credentials.
  2. OAuth-2.0-Anmeldedaten erstellen, Typ Webanwendung.
  3. Die von Omniscol bereitgestellte Weiterleitungs-URL in Authorized redirect URIs einfügen.
  4. Client ID und Client secret abrufen und in Omniscol einfügen.

Microsoft Entra ID

  1. Azure-Portal > Entra ID > App registrations.
  2. New registration, Typ Web, Weiterleitungs-URL von Omniscol.
  3. Certificates & secrets > ein Client secret erstellen.
  4. API permissions > openid, profile, email hinzufügen.
  5. Application (client) ID und das Secret abrufen.

Keycloak

  1. Realm > Clients > Create client, Typ OpenID Connect.
  2. Valid redirect URIs: die von Omniscol bereitgestellte URL.
  3. Credentials > das Client secret abrufen.

Verknüpfung mit den Omniscol-Konten

Wenn ein Benutzer auf die SSO-Schaltfläche klickt, Omniscol:

  1. leitet ihn zum Anbieter weiter,
  2. ruft nach der Authentifizierung seine E-Mail-Adresse ab,
  3. sucht ein Omniscol-Konto mit derselben E-Mail-Adresse.

Existiert das Konto und ist es aktiv, wird der Benutzer angemeldet. Andernfalls wird der Zugriff verweigert. Konsequenz: Damit SSO funktioniert, müssen die Benutzer in Omniscol mit der richtigen E-Mail-Adresse vorhanden sein — die Erstellung erfolgt auf der Omniscol-Seite standardmäßig nicht automatisch.

Automatisches Provisioning der Konten

Die automatische Erstellung von Konten bei der ersten SSO-Anmeldung (just-in-time provisioning) ist nicht das Standardverhalten des Konfigurationsbildschirms. Wird dieser Modus benötigt, muss er mit Omniscol abgestimmt werden.

Anleitung

Einen OIDC- / SSO-Anbieter konfigurieren

  1. OIDC / SSO ermöglicht es Ihren Benutzern, sich mit ihrem institutionellen Konto anzumelden (Google Workspace, Microsoft Entra ID, Keycloak, Okta…). Der Teil auf der Anbieterseite hängt vom Anbieter ab.

  2. Auf der Anbieterseite erstellen Sie zunächst eine OIDC-Anwendung vom Typ Webanwendung: Rufen Sie die Client ID und das Client secret ab und kopieren Sie die von Omniscol bereitgestellte Weiterleitungs-URL in die Authorized redirect URIs des Anbieters.

  3. Auf der Omniscol-Seite öffnen Sie die Parameter und dann die OIDC-Konfiguration. Tragen Sie den Anzeigenamen (Beschriftung der Anmeldeschaltfläche), den Anbietertyp, je nach Fall den Issuer oder den Tenant, die Client ID, das Client secret und die Scopes (Standard: openid profile email) ein.

  4. Klicken Sie auf Testen. Prüfen Sie, dass die Konfiguration funktioniert. Omniscol führt einen OIDC-Hin- und Rücklauf durch; bei einem Discovery-, Secret- oder Weiterleitungsfehler ist die Fehlermeldung eindeutig.

  5. Speichern Sie. Die SSO-Anmeldeschaltfläche erscheint auf der Anmeldeseite, sobald die Konfiguration aktiv ist.

  6. Wichtig: Die Konten müssen in Omniscol mit der richtigen E-Mail-Adresse vorhanden sein. Die SSO-Anmeldung ordnet über die E-Mail zu; standardmäßig kein automatisches Provisioning.

Siehe auch