zu moodle
da hab ich gestern das ldapsync plus plugin entdeckt.
Das provisioniert die User aus LDAP, es lässt sich da aber bei den neu provisionierten Usern eine alternative LoginMethode einstellen (SAML, oidc,…)
Dann wird also LDAP nur dazugenutzt alle User zu synchronisieren und die globalen Gruppen zu erstellen. Der Login geht dann über die dort ausgewählte Methode.
Man muss also keine REST API mehr programmieren um sowwas zu können.
Als LoginMethode empfehle ich da das OIDC Plugin im Zusammenspiel mit keycloak (was stark an MS Anbindungen geprägt ist). Da funktioniert der Logout nämlich sehr gut.
LDAP Login ist aber dann parallel nicht mehr möglich, anders wie beim oauth2 plugin. (Aber das braucht man dann auch nicht mehr)
cool, danke für die Rückmeldung.
SSO login & logout klappt mittlerweile auch einwandfrei mit dem auth_saml2 plugin (kann sein, dass das bereits core feature ist wie auth_ldap).
Als ich das gefixt bekommen habe konnte ich den ersten Beitrag mit der Tabelle nicht mehr aktualisieren und habe dann den neuen Beitrag vergessen
Wir haben bei allen Diensten den Login ausschließlich via SSO/Keycloak, sodass bei Moodle kein anderer Login möglich ist; es wird direkt zur Login-Maske weitergeleitet. Login via LDAP bzw direkt via Moodle-Maske wäre security nicht so schick.
Leider läuft zum Schuljahresbeginn noch der LDAP sync via auth_ldap, damit man nicht warten muss, bis sich jeder user zum ersten mal bzw. zum neuen Schuljahr neu eingeloggt hat, damit die gruppe/klasse aktualisiert wird. Das auth_saml2 hat da leider nix eingebaut und das via API zu machen hatte ich bisher keine Zeit.
Funktioniert, aber tatsächlich fühlt sich das leider nicht als vorzeigbare Variante an, ebenso fühle ich die Variante via LDAP server (Sync Plus) nicht, von dem LDAP Kram will man ja mit zeitgemäßem IdaM via OIDC o SAML2 eigentlich weg. .
Hi.
Ohne jetzt nochmal alles von oben bis unten lesen zu müssen: Wie ist das mit bestehenden User-Accounts, wenn man umstellt? Bleibt das alles so erhalten wie es war? Es ändert sich also lediglich der Anmeldeprozess und alles andere bleibt wie es vorher war?
(für mich in Sachen moodle und Nextcloud entscheidend).
Danke nochmal,
Michael
P.S.: Keycloak ist offensichtlich kein Selbstläufer. Da wäre eine FoBi oder ein Workshop beim nächsten Treffen (z.B. in Essen → Linuxhotel) eine gute Sache, oder? Ich habe gesehen, dass die auch ganz offizielle Fortbildungen zum Thema Keycloak im Angebot haben
ja, du kannst das SSO via SAML2 parallel zum bisherigen Login/Account laufen lassen.
Auf der Login Seite von Moodle hat man dann einfach eine zusätzlichen Anmelde-Button, der ans SSO weiterleitet.
In den Einstellungen gibts entsprechende Möglichkeiten zur Anpassung /admin/settings.php?section=authsettingsaml2
Einmal der „Dual Login“
Solltest dann aber das Erstellen via SSO vll deaktivieren, kann sein, dass der LDAP sync dann einen Konflikt bekommt, weil es den User dann bereits via SAML2 gibt. Ggf. testen…
