Wie konfiguriere ich Authentifizierungsanbieter von Drittanbietern für ein Canvas-Konto?
Canvas unterstützt die Authentifizierung mit einer Vielzahl von Identitätsanbietern, die in der Canvas-Oberfläche konfiguriert werden können. Für jeden Anbieter muss der Administrator ein Attribut festlegen, das mit dem Konto verknüpft werden soll, z. B. ein(e) Benutzer*in, eine E-Mail oder ein Login. Zu den derzeit unterstützten Integrationen gehören Apple, Facebook, Github, LinkedIn, Twitter, Google Apps, Microsoft (Office 365), Clever, CAS, LDAP, OpenID und SAML. Bei einigen Anbietern sind benutzerdefinierte Komponenten für die Konfiguration erforderlich. Alle Anbieter unterstützen die einmalige Anmeldung (SSO).
Diese Authentifizierungsanbieter können zusätzlich zur Canvas-Authentifizierung verwendet werden.
Benutzer-Anmeldedaten
Sobald ein Anbieter in Canvas gespeichert wurde, müssen die Anmeldedaten für die Authentifizierung des Anbieters über SIS-CSV-Dateien oder die API für Authentifizierungsanbieter zu den Konten der einzelnen Benutzer*innen hinzugefügt werden. (Derzeit gibt es keine Unterstützung für das Hinzufügen von Benutzer-Anmeldedaten über die Canvas-Oberfläche). Jeder Authentifizierungsanbieter unterstützt bestimmte anerkannte Parameter. Einige Anbieter erkennen möglicherweise zusätzliche Parameter. Nicht anerkannte Parameter werden nicht unterstützt.
Weitere Hilfe zu Authentifizierungssystemen, einschließlich der Unterstützung von einmaligen Anmeldungen (SSO), finden Sie in den Dokumenten zur Integration in der Canvas Community.
Just-in-Time-Bereitstellung
Als Teil des Authentifizierungsprozesses können Administratoren eine Just-in-Time-Bereitstellung anwenden, wodurch Canvas angewiesen wird, ein Benutzerkonto automatisch zu erstellen, wenn noch kein Konto für diese Person vorhanden ist. Wenn sich Benutzer*innen derzeit mit dem Authentifizierungssystem eines Drittanbieters bei Canvas anmelden, durchsucht Canvas die Benutzer*innen des Kontos nach einem passenden Benutzerparameter für diesen Dienst. Wird kein passender Parameter gefunden, gibt Canvas den Benutzer an das Portal des Authentifizierungsanbieters zurück, mit der Meldung, dass der Benutzer nicht gefunden werden konnte. Wenn der Just-in Time-Zugang (JIT) aktiviert ist, erstellt Canvas den Benutzer automatisch mit einer ID, die mit dem beim Authentifizierungsanbieter verwendeten Benutzernamen übereinstimmt.
Die JIT-Bereitstellung muss über die API für den jeweiligen Authentifizierungsanbieter konfiguriert werden (siehe API für Authentifizierungsanbieter). Sie muss nicht für einzelne Benutzer*innen über die API oder das SIS konfiguriert werden.
Föderierte Attribute
Als Ergänzung zur JIT-Bereitstellung unterstützen alle Authentifizierungsanbieter föderierte Attribute. Wenn sich Benutzer*innen bei Canvas anmelden, werden mehr Informationen als nur die ID an Canvas weitergegeben, und diese Informationen werden mit ihren bestehenden Benutzerkonten verknüpft. Weitere Informationen finden Sie in der API der Authentifizierungsanbieter.
Konto öffnen
Klicken Sie in der globalen Navigation auf den Link Admin [1] und dann auf den Namen des Kontos [2].
Authentifizierung öffnen
Klicken Sie in der Kontonavigation auf den Link Authentication (Authentifizierung).
Anbieter auswählen
Wählen Sie im Dropdown-Menü Authentifizierung einen Authentifizierungsdienst aus.
Hinweis: Wenn Ihr Konto Teil eines bestehenden Vertrauenskontos ist, können Sie im Dropdown-Menü „Identitätsanbieter“ die Option „Vertrauenswürdige Canvas-Instanz“ auswählen. Erfahren Sie mehr über die Konfiguration der Authentifizierung über vertrauenswürdige Canvas-Instanzen.
Anbieterdaten speichern
Geben Sie die für den Dienst erforderlichen Daten ein [1]. Bei einigen Anbietern sind benutzerdefinierte Komponenten für die Konfiguration erforderlich.
Um den Just-in-Time-Zugang zu aktivieren, klicken Sie auf das Kontrollkästchen Just in Time Provisioning (Just in Time Zugang) [2].
Föderierte Attribute festlegen
Um ein föderiertes Attribut zu verwenden, wählen Sie ein Canvas-Anbieterattribut aus dem Dropdown-Menü [1]. Dies ist das Attribut, das Sie in Canvas verwenden möchten. Zu den verfügbaren Attributen gehören Administratorrollen, Anzeigename, E-Mail, Vorname, Integrations-ID, Gebietsschema, Name, sis-Benutzer*in, sortierbarer Name, Nachname und Zeitzone.
Klicken Sie auf die Schaltfläche Add Attribute (Attribut hinzufügen) [2].
Wählen Sie im Dropdown-Menü „Anbieterattribut“ den Attributwert aus, der mit dem ausgewählten Canvas-Attribut übereinstimmen soll. Zu den verfügbaren Werten gehören E-Mail, Familienname, Vorname, Gebietsschema, Name und sub (subject identifier – eine Benutzer-ID, die häufig bei Open ID Connect, Google und Microsoft-Spezifikationen verwendet wird).
Beachten Sie, dass nicht alle Werte genau mit dem Canvas-Attribut übereinstimmen werden. Wenn Sie z. B. E-Mail als Attribut in Canvas festlegen, enthalten die Wertoptionen des Provider-Attributs auch E-Mail, was bedeutet, dass die E-Mail-Adresse des Providers auch für die E-Mail-Adresse in Canvas aktualisiert wird. Einige Canvas-Attribute stimmen jedoch möglicherweise nicht mit den verfügbaren Anbieter-Attributwerten überein.
Multi-Faktor-Authentifizierung verlangen
„Canvas erzwingt MFA“ ist funktionell gleichbedeutend mit der Aktivierung des Kontrollkästchens „MFA erforderlich“ in der alten Benutzeroberfläche. Alle Konten, bei denen zuvor das Kontrollkästchen MFA erforderlich aktiviert war, haben diese Option ausgewählt.
Wenn Canvas die MFA erzwingen soll, wählen Sie die Option Canvas enforces MFA (Canvas erzwingt MFA) [1]. Wenn Sie möchten, dass SMS-Anbieter Einmal-Passwörter senden, klicken Sie auf das Kontrollkästchen Send one-time passcodes via SMS (US carriers only) (Einmal-Passwörter per SMS senden) (nur US-Anbieter) [2].
Wenn der Anbieter die MFA erzwingen soll, wählen Sie die Option Provider enforces MFA (Anbieter erzwingt MFA) [3].
Damit der Benutzer*in sich selbst anmelden kann, wählen Sie die Option User can opt in to MFA (Benutzer kann sich für MFA anmelden) [4].
Hinweis: Der Kundenerfolg-Manager Ihrer Institution kann MFA auf folgende Werte einstellen: Deaktiviert, Optional, Erforderlich für Admins und Erforderlich.
Daten speichern
Klicken Sie auf Save (Speichern).
Anbieter verwalten
Um die Position Ihrer Authentifizierungsanbieter zu ändern, klicken Sie auf das Menü Position [1] und wählen Sie die Platzierungsnummer für die neue Position. Die Positionen wirken sich auf die Discovery-URL aus, wenn ein Konto SSO-Einstellungen konfiguriert hat.
Um den Anbieter zu löschen, klicken Sie auf die Schaltfläche Delete (Löschen) [2].
SAML-Authentifizierung verwalten
Wenn Sie die SAML-Authentifizierung verwenden, können Sie die SAML-Metadaten manuell aktualisieren, indem Sie auf die Schaltfläche Refresh Metadata (Metadaten aktualisieren) klicken.
Authentifizierung entfernen
Um alle zuvor konfigurierten Authentifizierungsanbieter zu entfernen, klicken Sie auf die Schaltfläche Remove Authentication (Authentifizierung entfernen).
Hinweis: Die Entfernen-Schaltfläche hat keine Auswirkungen auf die SSO-Einstellungen oder die Canvas-Authentifizierung.
Entfernung bestätigen
Das Entfernen aller Authentifizierungsmethoden kann die Fähigkeit Ihrer Studierenden einschränken, sich bei Canvas anzumelden. Klicken Sie zur Bestätigung auf die Schaltfläche OK.