Single-Sign-On mit Office 365

Unsere Schülerinnen und Schüler müssen sich an immer mehr Internetportalen anmelden und Benutzernamen und Passwort dafür wissen. Als Schule kann man diesem Umstand auf zwei Arten begegnen.

Passwort Tresor
Man kann und sollte den Schülerinnen und Schülern einen Weg aufzeigen, wie sie sich mit vielen Passwörtern organisieren können, auch im Hinblick auf ihre Zukunft nach der Schule. Hier würde ich eine Einführung zu dem open-source Passwort Manager KeePass empfehlen.

Passwort Single-Sign-On
Bei dieser Version hinterlegt man seine Passwörter bei EINEM Dienst, damit man sich nur noch daran anmelden muss, um von dort auf die anderen Webseiten zu kommen. Dies ist gerade auch bei jüngeren Schülerinnen und Schülern ein bequemer Weg, um sich sehr schnell und komfortabel bei den verschiedenen Webplattformen anzumelden.

Obwohl ich hier beschreibe, wie man Passwort Single-Sign-On mit Office 365 umsetzen kann, würde ich nicht darauf verzichten, den Schülerinnen und Schülern zu zeigen, wie man sich einen guten Workflow mit einem Passwort Manager einrichten kann.

Passwort Single-Sign-On einrichten
Zuerst meldet man sich am „Azure Active Directory Admin Center“ an und wählt „Unternehmensanwendungen“ und dann „+Neue Anwendung“.

Es gibt schon viele Anwendungen (im Screenshot unten bereits 3460), die schon fertig konfiguriert sind, aber nur sehr wenige aus dem Schulumfeld. Für die meisten muss man selber einen Eintrag erstellen, indem man „Nicht-Kataloganwendung“ auswählt.

Auf der nächsten Seite vergibt man einen Namen und wählt dann „Hinzufügen“.

In der App-Übersicht kann man nun die Punkte von „Getting Started“ der Reihe nach durchgehen (für meine Zwecke reichen die ersten beiden Punkte aus). Oder man wählt die beiden Punkte einfach in der Menüstruktur aus.

Über „Einmaliges Anmelden“ (oder „2. SSO einrichten“) lässt sich auswählen, welche SSO Methode verwendet werden soll. Da die meisten Schuldienste kaum SAML anbieten, wird man in vielen Fällen „Kennwortbasiert“ auswählen müssen.

Danach muss man die URL für die Seite mit der Anmeldemaske eintragen. In meinem Beispiel nehme ich das Lernprogramm fürs Tastaturschreiben in unserem Kanton.

Optional kann man noch das Häklein bei „Erweitert: Anmeldefeldbezeichnungen anzeigen und bearbeiten“ auswählen und „LoginForm[username]“ durch „Benutzername“ und „LoginForm[pw]“ durch „Passwort“ ersetzen, damit es auch für jüngere Schülerinnen und Schüler klar ist, was sie eingeben müssen.

Auch optional kann man unter „Eigenschaften“ das Standardlogo durch eines, das einen Bezug zur aufgerufenen Webseite hat, ersetzen.

Über „Benutzer und Gruppen“ muss man die nun erstellte App den entsprechenden Benutzern zuweisen.

Wenn sich nun eine Schülerin oder ein Schüler am Office 365 Portal anmeldet, findet sie oder er unter „Alle Apps“ eine neue App „Typewriter“.

Wenn man darauf klickt, kommt ein Hinweis, dass eine Browsererweiterung benötigt wird. Zuhause müssen die Schülerinnen und Schüler diese Browsererweiterung wie hier gezeigt, manuell installieren. Für unsere Schulcomputer zeige ich weiter unten eine elegantere Lösung.

Manuelle Einrichtung
Je nach verwendetem Browser, sieht es ein wenig anders aus.

Für den neuen Edge auf Chromium Basis wird man im Moment noch auf den Chrome Store weitergeleitet (der Edge Store ist im Moment noch Beta). Hier muss man in der blauen Leiste ganz oben „Erweiterungen aus anderen Stores zulassen“ auswählen und danach auf „Hinzufügen“ klicken.

Dass das Addon installiert wurde, sieht man daran dass oben in der Addressleiste des Browsers ein blaues Gitter als Symbolbild des Addons angezeigt wird.

Automatisierte Einrichtung
Die oben beschriebene Installation des Addons kann auf den von der Schule verwalteten Geräten automatisiert werden.

Eigentlich könnte man im Businessstore das Addon „kaufen“ und dann über Intune verteilen. Das Addon im Businessstore ist aber noch für den alten Edge und nicht für den neuen auf Chromium Basis, dessen Appstore befindet sich noch im Betastadium – wäre ja auch zu einfach gewesen.

Da es nur eine Frage der Zeit ist, bis man das Addon über den Store beziehen kann, verzichte ich hier auf eine ausführliche Anleitung und verweise nur auf die Dokumentation von Microsoft. Das „Administrative Template“, das man benutzen muss, heisst: „Control which extensions are installed silently“.

Anmeldung
Beim ersten Start der App muss man sich mit Benutzername und Passwort anmelden. Diese Daten werden nun zwischengespeichert, man muss sie also nur einmal eingeben.

In Zukunft kann man sich einfach auf dem Office 365 Portal anmelden und dann dort unter Alle Apps die entsprechende App öffnen, in diesem Beispiel Typewriter. Danach wird die zwischengespeicherte Benutzername/Passwort Kombination übermittelt – auf jedem Computer in der Schule und auch zuhause.

Noch einfacher
Bei den verwalteten Geräten in der Schule kann man noch einen Schritt weitergehen.

Unter „Eigenschaften“ der App findet man eine „URL für den Benutzerzugriff“. Statt sich zuerst am Office 365 Portal anzumelden und dort die App zu starten, kann man direkt diese URL öffnen.

Und ein „Web link“ lässt sich über Intune als normale App verteilen.

Damit ist das Ziel erreicht. Schülerinnen und Schüler können die erstellte App über das Startmenü aufrufen. Durch einen Klick darauf wird der Browser mit der richtigen Internetseite geöffnet und die Anmeldung läuft im Hintergrund. Schülerinnen und Schüler müssen das Passwort nur einmal und dann nie wieder eingeben. Auch nicht an einem anderen Computer.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s