Liebe Community,
wir möchten auf unserer Moodle-Instanz (Version 3.5.7+) den Login über SAML realisieren und dafür das Plugin SAML2 Single Sign On (https://moodle.org/plugins/auth_saml2) verwenden. Bisher nutzen wir die Authentifizierungsmethode per LDAP. Einige Punkte sind unklar und bitte daher um Hilfe:
Es gibt in unserem Moodle bereits eine Reihe von bestehenden LDAP-Benutzern. Was passiert, wenn sich ein per SAML2 einloggt, der aber schon als LDAP-User in Moodle existiert? Wird der User dann neu angelegt oder erkennt das Moodle anhand der Benutzerkennung, dass es ein und derselbe User ist?
Wird der User dann automatisch auf Authentifizierungsmethode=SAML2 umgestellt oder muss ich das manuell (oder per DB-Eintrag) tätigen?
Bei LDAP ist es so, dass User schon vorab per LDAP-Sync im System angelegt wird. Zudem werden einige Attribute aus dem AD automatisch synchronisiert. Soweit ich herausgefunden habe, kann man in SAML die User nicht vorab per Sync anlegen, diese werden erst beim ersten Login angelegt. Sollte eine Vorab-Synchronisation nicht über SAML gehen, welche Möglichkeiten würdet ihr empfehlen, die User vorab im System anzulegen und bestimmte Attribute zu synchronisieren? Oder wäre da die Empfehlung, dass man LDAP und SAML parallel betreibt, damit das gewährleistet wird?
Was passiert, wenn ein Benutzer nicht mehr berechtig ist, sich in Moodle einzuloggen (User wird zentral deaktiviert oder gelöscht). Wird der User dann in Moodle auch automatisch gelöscht oder darf sich der einfach nicht mehr einloggen?
danke, BG Anton
Hallo Anton,
wir nutzen diese Art der Authentifikation.
Unser Ausgangspunkt war zwar nicht LDAP. Wir nutzen neben lokalen Accounts noch zwei weitere Authentifizierungsarten.
Wir haben uns länger überlegt, ob wir weiterhin mehrere Authentifizierungsverfahren anbieten wollen, oder ob wir generell eine Authentifikation per SAML anbieten. Was uns z.B. negativ aufgestoßen ist, war der Button unterhalb des Loginformulars. Wir haben uns daher entschlossen generell nur noch SAML über den Identity Provider zu nutzen. Positive Nebeneffekte, wie z.B. SSO, sind so für jeden Nutzbar.
Wir nutzen zwar keinen LDAP Sync, daher weiß ich es nicht 100% genau, aber ich glaube mich erinnern zu können, dass dies in der Tat nicht funktioniert.
Ich will aber noch eine weitere Alternative in den Ring werfen. Sie funktioniert allerdings nur Office 365. Die Integration von https://moodle.org/plugins/local_o365 bietet auch einige Möglichkeiten. Hier gibt es den Usersync und ebenso eine Authentifikation.
Viele Grüße
Thorsten
wir nutzen diese Art der Authentifikation.
Unser Ausgangspunkt war zwar nicht LDAP. Wir nutzen neben lokalen Accounts noch zwei weitere Authentifizierungsarten.
Wir haben uns länger überlegt, ob wir weiterhin mehrere Authentifizierungsverfahren anbieten wollen, oder ob wir generell eine Authentifikation per SAML anbieten. Was uns z.B. negativ aufgestoßen ist, war der Button unterhalb des Loginformulars. Wir haben uns daher entschlossen generell nur noch SAML über den Identity Provider zu nutzen. Positive Nebeneffekte, wie z.B. SSO, sind so für jeden Nutzbar.
Wir nutzen zwar keinen LDAP Sync, daher weiß ich es nicht 100% genau, aber ich glaube mich erinnern zu können, dass dies in der Tat nicht funktioniert.
Ich will aber noch eine weitere Alternative in den Ring werfen. Sie funktioniert allerdings nur Office 365. Die Integration von https://moodle.org/plugins/local_o365 bietet auch einige Möglichkeiten. Hier gibt es den Usersync und ebenso eine Authentifikation.
Viele Grüße
Thorsten
Hallo Thorsten, danke für deine Antwort.
Soweit ich herausgefunden habe, sollte es beim gleichzeitigen Betrieb von SAML und LDAP keine Probleme geben - auch bei gleichen Usern. Das Problem des Usersyncs bei SAML besteht aber weiterhin, da müssten wir wieder auf LDAP zurückgreifen. Wir werden daher mal die o365-Plugins testen (das wäre auch unser Plan B gewesen).
BG Anton
Soweit ich herausgefunden habe, sollte es beim gleichzeitigen Betrieb von SAML und LDAP keine Probleme geben - auch bei gleichen Usern. Das Problem des Usersyncs bei SAML besteht aber weiterhin, da müssten wir wieder auf LDAP zurückgreifen. Wir werden daher mal die o365-Plugins testen (das wäre auch unser Plan B gewesen).
BG Anton