¶ 1. TaskCards-Client in iServ erstellen
Melden Sie sich zuerst im Verwaltungsbereich Ihrer iServ-Installation an:
Nun navigieren Sie unter dem Reiter System zur Seite Single-Sign-On und erstellen hier einen neuen OpenID-Connect Client mittels Klick auf Hinzufügen:
Im Reiter Allgemein wird nun der Name der Anwendung festgelegt. Tragen Sie hierfür einfach TaskCards ein. Die Einstellung Vertrauenswürdig belassen Sie auf Nein (dies hat zur Folge, dass Ihre Nutzer:innen beim TaskCards-Login mittels iServ dem Zugriff auf die Profilinformationen zustimmen müssen).
Die bei Ihnen angezeigten Schlüssel für Client-ID und Client-Geheimnis notieren Sie sich bitte! Im nachfolgenden Screenshot sind diese beispielhaft rot eingefärbt.
Beim zweiten Reiter Rechte können Sie den TaskCards-Login auf bestimmte Personengruppen einschränken. So bietet es sich beispielsweise an, nur Lehrkräften und der Schulleitung einen entsprechenden Zugriff zu gewähren.
Schüler:innen benötigen keinen eigenen TaskCards-Account, um mit der Anwendung arbeiten zu können!
Jetzt erteilen Sie dem TaskCards-Client die nötigen Rechte, damit Nutzer:innen angemeldet und einfache Profilinformationen abgefragt werden dürfen. Hierbei müssen alle im Screenshot angegebenen Optionen gesetzt werden:
Zum Schluss definieren Sie die Weiterleitungs-URI. Die korrekte Adresse hierfür finden Sie im TaskCards Administrationsbereich unter dem Menüpunkt Authentifizierung unterhalb des Abschnitts OpenID bei Callback URL. Im nachfolgenden Screenshot sehen Sie lediglich ein Beispiel!
Nach Klick auf den Speichern Button ist der Client seitens iServ fertig konfiguriert.
¶ 2. Zugangsdaten in TaskCards einpflegen
Neben den zuvor notierten Daten Client-ID und Client-Geheimnis bei der Konfiguration im iServ, benötigen Sie nun noch einige Schnittstellen-URLs.
| Name | URL |
|---|---|
| Identity Provider Issuer | https://mein-iserv.de |
| Authorization URL | https://mein-iserv.de/iserv/oauth/v2/auth |
| Token URL | https://mein-iserv.de/iserv/oauth/v2/token |
| Userinfo URL | https://mein-iserv.de/iserv/public/oauth/userinfo |
Hierbei tauschen Sie die Domain mein-iserv.de bitte durch Ihre tatsächliche iServ-Domain aus!
Die korrekten URLs können auch im Pfad /.well-known/openid-configuration Ihrer iServ-Adresse abgerufen werden (z.B.
https://mein-iserv.de/.well-known/openid-configuration).
Öffnen Sie nun die Seite Authentifizierung innerhalb des Adminbereichs Ihrer TaskCards-Organisation. Auf Höhe des Abschnitts OpenID klicken Sie das Stift-Symbol zum Bearbeiten und tragen anschließend alle vorbereiteten Zugangsdaten ein:
Abschließend klicken Sie den grünen Button Aktivieren unten rechts, speichern das Formular über das Speichern-Symbol auf Höhe der Überschrift OpenID und betätigen den Neustarten Button ganz oben rechts auf der Seite.
Erläuterung der zusätzlichen Optionen:
- Die Option Anonyme Accounts beeinflusst, ob TaskCards Profilinformationen der anmeldenden Person vom iServ abfragen soll (Vor- und Nachname, sowie E-Mail Adresse) oder ob der Account vollständig anonym erstellt wird.
- Bei Name der Login Option im Frontend benennen Sie den Login-Button im Anmeldeformular. Der Wert "iServ" resultiert hierbei in einem Button mit der Beschriftung "Über iServ anmelden".
Wenn die Anmeldung mittels iServ das einzige Login-Verfahren für reguläre TaskCards-Nutzer:innen sein soll, können Sie auf der Seite Einstellungen im Menübaum links auch die Option Lokale Anmeldung ausschalten. Dadurch verschwinden die Eingabefelder für E-Mail und Passwort auf der Login-Seite und lediglich der Button "Über iServ anmelden" kann betätigt werden.
Der Admin-Account sollte sich nicht mittels SSO anmelden. Mit der ersten SSO-Anmeldung wird ein neuer Benutzer-Account angelegt, sollte noch keiner existieren. Werden auch die Admin-Accounts darüber angelegt, kann es passieren, dass niemand Zugriff auf die Organisations-Verwaltung hat, da dort nur das einloggen über manuell angelegte Benutzer möglich ist.
¶ 3. Fehlerbehebung
¶ 3.1 Ich bekomme beim einloggen die Meldung:
{"statusCode":401,"message":"Unauthorized"}
Bei Verwendung von SSO werden TaskCards-Accounts automatisch bei der ersten Anmeldung erstellt. Die Fehlermeldung erscheint also, wenn sich ein manuell angelegter Nutzer über Iserv anmelden möchte, da kein weiterer Account mit der selben E-Mail-Adresse angelegt werden kann.
{"statusCode":500,"message":"Internal Server Error"}
Bei Verwendung von SSO werden TaskCards-Accounts automatisch bei der ersten Anmeldung erstellt. Die Fehlermeldung erscheint, wenn kein Neuer User erzeugt werden kann, da auf der gemappten Organisation/Unterorganisation keine/zu wenig freien Lizenzen verfügbar sind und somit keine neuen Nutzer innerhalb dieser erzeugt werden können.
¶ 3.2 Fragen
¶ Es ist SSO eingerichtet und ich habe mich eingeloggt, warum ist mein Account leer? Wenn ich mich normal einlogge (ohne VIDIS, mit E-Mail und Passwort) ist alles verfügbar.
In einem solchen Fall wurde der vorher bestehende Account nicht gemappt (alt -> neu) und durch Zugriff mit VIDIS wurde ein neuer Useraccount erzeugt und eine weitere Lizenz belegt. Bitte wenden Sie sich an die Support Mailadresse.