SSO - Single Sign On

[ChrMim]

Hallo zusammen,

wir planen gerade die Einführung eines Single-Sign-On-Systems (UCS). Hat jemand Erfahrung mit der Anbindung von WebUntis und in dem Zusammenhang insbesondere im Zusammenspiel von SchILD und WebUntis.

Stichworte wäre hierzu:

• automatisierter Export der Daten aus SchILD

• automatisiertes Anlegen der Stammdaten in WebUntis

Bin für jede Info dankbar.

Grüße

Christian Mimberg

[Raffenberg]

Hallo Herr Mimberg,
einen automatisierten Export aus Schild2 gibt es programmseitig nicht.

[ChrMim]

Und gibt es schon eine Roadmap für SchILD Version 3?

[GE Schwerte]

a) Die Daten für WebUntis kommen doch aus Untis?
Bei uns exportiert Untis alle "Studenten" (österreichisch für Schüler) mit Namen, Geburtsdatum,
Klasse und Unterricht nach WebUntis.
Da ist doch der Austausch Schild<->Untis viel interessanter.

b) Eine Antwort auf die Roadmap finden Sie hier:
viewtopic.php?p=31942#p31942
Die nächste Statistik ist im September 2023 fällig, "einige Monate später" bedeutet dann evtl. Anfang 2024.

"SchILD 3.0.0.3" stammt vom 15.6.2020 - das sind bislang also nur 3 Jahre in der Entwicklung.
Ich hoffe, dass wir zum Schuljahr 2024/2025 umstellen können - aber die Hoffnung stirbt bekanntlich zuletzt.

[janpoestges]

Ich finde (auch unter dem o.g. Link) leider keine brauchbare Antwort auf die Eingangsfrage. Wird Schild3 in Sachen Synchronisierung / SSO / OAuth irgendetwas können?

=> Hintergrund der Frage: Wir nehmen es als zunehmendes Problem wahr, bei den verschiedenen Softwareprodukten und Diensten, die wir mit den KuK und SuS nutzen, die Benutzerdaten synchron zu halten. Zu nennen wären da Schild als Zentrale Verwaltung (SPOT), Untis, Webuntis, Logineo LMS, Logineo NRW, Schulbuchverlag 1, Schulbuchverlag 2, Berufswahlpass, ANTON, Dateiverwaltung, Schulnetzwerk, WLAN, ....
Da Schild in diese Aufzählung unbestreitbar in der Mitt steht, ist es glaube ich mehr als ein frommer Wunsch und auch keine Anforderung minderer Priorität, hier Wert auf aktuelle Schnittstellen wert zu legen.

Ist irgendetwas in Aussicht?

Vielen Dank und Lieben Gruß,
Jan Pöstges

[D.Jakel]

Guten Tag,

ich kann zwar nichts Konkretes zum Stand der Dinge sagen, habe aber an anderer Stelle gelesen, dass in Schild3 geplant ist, den Austausch mit Untis zu "verbessern".

Da Schild in diese Aufzählung unbestreitbar in der Mitt steht, ist es glaube ich mehr als ein frommer Wunsch und auch keine Anforderung minderer Priorität, hier Wert auf aktuelle Schnittstellen wert zu legen.

Bei meiner Fortbildung bei Pedav wurde dies in Abrede gestellt: Untis sieht sich als "Herzstück" und "Vollsortimenter" jeder Schulverwaltung, Untis wünscht keinen bequemen Export in andere Programme. Die Schnittstellen sind entsprechend unübersichtlich konstruiert, dass ein Austausch nur innerhalb des "Untisversums" reibungslos funktioniert.

[Raffenberg]

Der ist VWs Server liefert API-Schnittstellen mit denen Untis kommunizieren könnten. Trotz mehrfachen Versuchs hier Kontakt zu Paedav aufzunehmen, scheint es der Seite von Untis keinen Bedarf zu geben.
Wenn Untis auf die API Schnittstellen zugreifen würde, wäre ein Dateiaustausch gar nicht mehr notwendig.

Anscheinend können hier nur die zahlungskräftigen Kunden Druck auf den Hersteller ausüben.

[Raffenberg]

SSO hat meines Wissens mit dem Dateiaustausch erstmal gar nichts zu tun. Hier geht es ja nur um die Verifizierung eines authentifizierten Benutzers.

[janpoestges]

Guten Tag,

ich kann zwar nichts Konkretes zum Stand der Dinge sagen, habe aber an anderer Stelle gelesen, dass in Schild3 geplant ist, den Austausch mit Untis zu "verbessern".

Da Schild in diese Aufzählung unbestreitbar in der Mitt steht, ist es glaube ich mehr als ein frommer Wunsch und auch keine Anforderung minderer Priorität, hier Wert auf aktuelle Schnittstellen wert zu legen.

Bei meiner Fortbildung bei Pedav wurde dies in Abrede gestellt: Untis sieht sich als "Herzstück" und "Vollsortimenter" jeder Schulverwaltung, Untis wünscht keinen bequemen Export in andere Programme. Die Schnittstellen sind entsprechend unübersichtlich konstruiert, dass ein Austausch nur innerhalb des "Untisversums" reibungslos funktioniert.

Meine Frage ist etwas unpräzise wie ich vermute, aber vielleicht kann sie doch etwas weniger abstrakt beantwortet werden?! . Ich verstehe nicht, weshalb bei meiner Frage nach einer Lösung eines größeren Problems, das weit mehr umfasst als bloß Untis, bloß auf "deren" Unwillen hingewiesen wird. Wir können doch nicht die einzigen sein, für die es ein Problem darstellt, Nutzeraccounts in 6+ Anwendungen pro Lehrer / Schüler anlegen zu müssen? An dieser Stelle würde ich auch der Behauptung widersprechen, Untis stelle sich quer. Zumindest Entnehme ich deren Website, dass sie Schnittstellen zu/mit SAML/ LDAP/ O365 / OIDC zur Verfügung stellen. Und meine Hoffnung wäre jetzt: Kann man nicht Schild so aufbohren, dass es einen dieser Schnittstellen gibt und es damit zu einem Teil des Identitätsmanagements einer Schule werden könnte? Inzwischen drängen ja Anbieter wie "Bildungslogin" in den Markt, weil sie genau diesen Bedarf erkennen - aber auch da wäre es ja Sinnvoll, eine Schnittstelle zu Schild zu haben!? Der Verweis auf "Schild hat eine API, da können sich die anderen ja nach richten" ist an der Stelle wirklich kein starkes Argument. Warum sollte sich der Rest der Bildungswelt unbedingt um die nordrhein-westfälische Lösung drehen?
Bitte versteht mich nicht falsch - ich möchte hier keinen unnötigen Streit vom Zaun brechen, sondern suche ernsthaft nach einer Lösung dafür, etwas wie eine Systemlandschaft zu schaffen, die mit möglichst wenig Admin-Eingriff (Lehrer-Stunden) und viel Automatisierung auskommt.

[Raffenberg]

Hallo,
im Kern ist das ein Datenschutzthema. Momentan ist Schild 3 so konzipiert, dass es auf einem Server in einem Keller einer Schule für das Intranet gemacht ist. In dem Augenblick indem ich SSO für für die Außenkommunikation implementiere, entstehen viele höhere sicherheitsanforderungen an die zu schützenden Daten.
Für alles was rausgeht benötige ich das Einverständnis der Beteiligten, sofern es keine Gesetzesgrundlage gibt die dies fordert. Für die datenverarbeitung innerhalb einer Schule gibt es jedoch genau diese gesetzliche Grundlage über die VO-DV I und VO-DV II, dass die Schule berechtigt ist die Daten einzufordern, ohne dass die Beteiligten zustimmen müssen.
Das Thema ist dem Programmierern durchaus bekannt und auch wichtig. Ich kann mir nicht vorstellen dass es diese Möglichkeit nicht auf irgendwann geben wird. Die technischen Voraussetzungen dafür sind durchaus implementierbar. Allerdings nicht zum jetzigen Zeitpunkt.
In der Regel ist es ja auch mit dem SSO nicht getan. Hoffe ich hänge ja ebenfalls solche Begehrlichkeiten dahinter, dass nach einem SSO Zugriff auch weitere Daten ausgetauscht werden, um z.B Klassenteams anzulegen.
Der aktuelle Status quo ist zumindest momentan derjenige, dass es als aktuelle Möglichkeit lediglich den Austausch über die Schnittstellen oder die API Schnittstelle gibt. Aber auch hier muss allen Beteiligten klar sein, dass die Daten die Schule verlassen und somit das Einverständnis der Beteiligten vorliegen muss.
Momentan können aber auch nicht beliebig viele neue Baustellen eröffnet werden, auch wenn deren Sinnhaftigkeit unstrittig ist. Priorität liegt vielmehr momentan darauf, ein stabiles und lauffähiges System an den Start zu bringen.
Erst danach können sukzessive neue Innovationen Einzug halten. Hier gibt es aber viele Absprachen zu treffen und Regeln einzuhalten.