# SSO-Konfiguration Diese Seite behandelt Themen, die für verschiedene Authentifizierungsmethoden gelten. ## Mehrere Anbieter Sie können gleichzeitig mehr als eine Authentifizierungsmethode aktivieren. Jeder aktivierte Anbieter zeigt auf der Anmeldeseite einen eigenen Button neben dem standardmäßigen Benutzername-/Passwort-Formular. Benutzer wählen ihre bevorzugte Methode aus. Lassen Sie das Standardformular aktiviert, damit Plattformadministratoren sich immer anmelden können, selbst wenn ein externer Anbieter fehlerhaft konfiguriert ist. ## Authentifizierungspriorität Wenn mehrere Methoden aktiv sind, überprüft das System die Anmeldedaten in folgender Reihenfolge: 1. LDAP (wenn `force_as_login_method` gesetzt ist) 2. OAuth2-Anbieter (in der Reihenfolge, in der sie in `authentication.yaml` erscheinen) 3. Interne Chamilo-Datenbank ## JWT-Token für API-Zugriff Chamilo verwendet JWT (JSON Web Tokens) für seine REST-API. Die Lebensdauer der Token und das Aktualisierungsverhalten werden in `config/packages/lexik_jwt_authentication.yaml` konfiguriert. Dies ist unabhängig vom SSO-Anmeldeprozess und gilt nur für API-Clients. ## Fehlerbehebung ### Anmeldebutton erscheint nach Konfiguration nicht Der Cache muss nach jeder Änderung an `authentication.yaml` geleert werden: ```bash php bin/console cache:clear && php bin/console cache:warmup ``` ### Benutzer können sich nicht über SSO anmelden * **Redirect-URI-Abweichung** — Die im Identitätsanbieter registrierte URI muss exakt mit `https://your-chamilo-url/connect//check` übereinstimmen. * **Zeitdrift** — SSO-Token sind zeitkritisch. Stellen Sie sicher, dass die Serveruhr synchronisiert ist (NTP). * **SSL-Zertifikat** — Chamilo muss dem Zertifikat des Identitätsanbieters vertrauen. Überprüfen Sie auf Probleme mit selbstsignierten Zertifikaten. * **Logs** — Überprüfen Sie `var/log/` und die Logs Ihres Identitätsanbieters auf spezifische Fehlermeldungen. ### Benutzer werden mit der falschen Rolle erstellt Überprüfen Sie die Rollenzuordnungskonfiguration für den Anbieter. Neue Benutzer erhalten standardmäßig die Studentenrolle, es sei denn, eine Gruppen- oder Attributzuordnung befördert sie. ### Benutzer existieren beim Anbieter, können aber nicht auf Chamilo zugreifen * Wenn `allow_create_new_users` auf false gesetzt ist, muss der Benutzer bereits ein Chamilo-Konto haben, dessen E-Mail-Adresse oder Benutzername mit den Daten des Anbieters übereinstimmt. * Überprüfen Sie, ob der Benutzer in Chamilo nicht deaktiviert ist. * Für Azure überprüfen Sie `existing_user_verification_order`, um zu verstehen, wie Chamilo eingehende Benutzer mit bestehenden Konten abgleicht. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.chamilo.org/2.x-de/administrationshandbuch/admin-guide/authentication/sso-configuration.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.