Skip to content

Anbindung Bildungslogin in LogoDIDACT

Eine Anmeldung von Benutzern aus LogoDIDACT am Bildungslogin (BiLo) wird durch den zentralen auf dem LogoDIDACT-Server befindlichen Identity-Provider (IDP) ermöglicht. Damit ein Abgleich zwischen beiden Systemen funktioniert muss ein zusätzlicher IDP-Client definiert werden.

Voraussetzungen

Damit die Anbindung von Bildungslogin an den LD-IDP erfolgen kann müssen einige Voraussetzungen erfüllt sein.

  1. Die Schule besitzt eine Mail-Domain, über welche die Nutzer eindeutig identifizierbar sind. Hintergrund ist der, dass die Anmeldung an BiLo über die intern in LogoDIDACT vergebene Mail-Adresse eines Benutzers erfolgt. Im Idealfall handelt es sich um eine echte Mail-Domain mit einem gültigen MX-Eintrag.

    Achtung

    Die internen Standard-Domains schule.local, logodidact.netoder logoip.de sind nicht zulässig.

    Wie eine Mail-Domain systemseitig gesetzt werden kann, erfahren Sie hier: Mail-Domänen definieren

  2. Der LD-Server ist öffentlich über das Internet erreichbar über die shortName.logoip.de-Adresse oder aber, falls logoip.de nicht verwendet wird, über eine eigene Internet-Domain.

Notwendige Daten an SBE übermitteln

Sofern die grundlegenden Mindestvoraussetzungen erfüllt sind, sendet der betreuende Partner der Schule eine Mail an die Mail-Adresse bilo@logodidact.com.

Es ist unabdingbar folgende Daten in der Mail mitzusenden, damit die Anfrage seitens SBE korrekt bearbeitet werden kann:

  • LongName der Schule, z.B. Max Muster Gymnasium Buxtehude
  • WellKnown URL des IDPs des lokalen LogoDIDACT-Servers. Diese spezielle Adresse setzt sich folgendermaßen zusammen: https://idp.internetdomain/realms/shortname/.well-known/openid-configuration
  • Die jeweilige SchoolID des Mandanten. Bei mehreren Mandanten z.B. in Multi-Mandanten Umgebungen gibt es pro Mandant eine eindeutige SchoolID. Auslesen kann man diese im LD Control Center\Benutzerverwaltung\Verwaltung\Übersicht\Mandant\Schul ID schoolID
  • Verwendete MailDomains (s.o. Voraussetzungen: Punkt 1). Subdomains wie student.maildomain.tld müssen nicht angegeben werden
Beispiel Mail zur Freischaltung von BiLo 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
Sehr geehrte Damen und Herren,

hiermit bitte ich um Freischaltung des Bildungslogin-Zugangs für das Max Muster Gymnasium Buxtehude.

Anbei die erforderlichen Informationen zur Freischaltung:

Longname: Max Muster Gymnasium 

Shortname: bh-max-muster-gym

WellKnown URL: https://idp.bh-max-muster-gym.logoip.de/realms/bh-max-muster-gym/.well-known/openid-configuration

SchoolID: bh-max-muster-gym.sbe.ld.schule

Mail-Domäne: @bh-mmg.de


Mit freundlichen Grüßen
Herr/Frau Mustermann

IDP-Client für den Bildungslogin aktivieren

Nachdem Sie von uns per Mail die Bestätigung zur Freischaltung erhalten haben, erfolgt nun die technische Umsetzung am LD-Server.

Verbinden Sie sich zunächst in den Container puppeteer-g3 und ergänzen die Datei idp.yaml.

1
2
root@ldhost:~ # ssh puppeteer-g3
root@puppeteer-g3:~ # vi /etc/logodidact/hiera/custom.d/idp.yaml

1
2
3
4
5
# BiLo IDP-Client
ld_idp::realm[default]::client::bildungslogin-de:
  enabled: true
ld_idp::realm[default]::client::broker-idp-school:
  enabled: true

Speichern Sie die Änderungen ins GIT und führen im Anschluss einen prun im Container idp durch.

1
2
3
4
5
root@puppeteer-g3:~/l/hiera/custom.d # git add .
root@puppeteer-g3:~/l/hiera/custom.d # git commit -am "Bildungslogin IDP-Client aktiviert"

root@ldhost:~ # ssh idp
root@idp:~ # prun

Kontrolle des BiLo IDP-Clients

Um zu verifizieren, dass der BiLo-Client auch tatsächlich korrekt im Keycloak angelegt wurde, kann man sich auf der Keycloak-Administrationsseite in einem beliebigen Browser anmelden.

Rufen Sie zunächst die URL https://mgmtidp.internetdomain auf und melden sich mit dem Keycloak-Administrator an. Im Beispiel wäre das die URL https://mgmtidp.sbe-bfh-cloud07.logoip.de.

Die Zugangsdaten für den Benutzer kcadmin erhält man im Container idp aus der Datei kcadmin.secret.

idp
1
root@idp:~ # cat /etc/kcadmin.secret

Info

Eine Anmeldung an der Keycloak-Administrationsseite ist nur aus dem internen LogoDIDACT-Netzwerk möglich.

Im Kunden-Realm unter den gelisteten Clients taucht bei erfolgreicher Verarbeitung der BiLo IDP-Client auf.

bilo client

Alternativ ist die Kontrolle auch direkt über die CLI möglich. Ersetzen Sie <Realm-Name> durch den shortname des LogoDIDACT-Servers.

idp
1
root@idp:~ # mdp /etc/ld.idp/<Realm-Name>.md
idp
1
2
3
4
5
Overview of managed clients
| Protocol        | Active | Client Name             | Client Id                                | Secret           |
| ---             | ---    | ---                     | ---                                      | ---       |
| openid-connect  | true   | bildungslogin-de        | 0df63a74-854e-4c35-859e-ac69416c8b37     | client-jwt|
| openid-connect  | true   | broker-idp-school       | 78931257-2706-4610-a505-287e77db25a7     | client-jwt|

Damit sind die technischen Vorbereitungen abgeschlossen.

Bildungslogin-Kacheln im LD-Portal anlegen

Damit die Endanwender, Schüler und Lehrer, die Anmeldung am Bildungslogin bequem per LD-SSO durchführen können, werden entsprechende Kacheln im LD-Portal angelegt. SBE stellt hierzu ein Skript bereit, welches die notwendigen Kacheln anlegt.

Skript

Führen Sie die nachfolgenden Befehle im ldhost aus:

ldhost
1
 wget -O /tmp/add-cards.sh https://files.sbe.de/berlin/portal/add-cards.sh ; chmod +x /tmp/add-cards.sh ; screen -m bash -c '/tmp/add-cards.sh "Bildungslogin" "https://files.sbe.de/berlin/portal/bilo.json"';

Sowie der Befehl abgesendet und die Screen-Session eröffnet wird muss noch eine händische Abfrage bewältigt werden. Wählen Sie bei der Abfrage der Mail-Domain die entsprechende Domain, die Sie für den BiLo-Zugang verwenden, aus.

skript select-Mail

Im Anschluss werden 2 Kacheln für das LD-Portal erstellt. Einmal die allgemeine BiLo-Kachel für das sog. Medienregal. Dort finden sich alle von der Schule erworbenen digitalen Medien. Zum anderen wird die Kachel für die BiLo-Lizenzverwaltung angelegt.

portal BiLo

Bildungslogin Lizenzadministratoren

Der Zugang zur Lizenzverwaltung ist lediglich administrativen Benutzern vorbehalten. Um einem LD-Benutzer das administrative Zugriffsrecht auf diesen besonderen Bereich zu gewähren muss dieser im LD Control Center in der Benutzerverwaltung unter \Berechtigungen Admins\Bildungslogin Lizenzverwaltung entweder gruppen/- oder benutzerbezogen verknüpft sein.

Wie Sie Berechtigungen zuweisen können ist in diesem Artikel erläutert: LD Control Center: Admin Zugriffsberechtigungen