Diese Hinweise erläutern die Angaben, welche Anbieter von angebundenen Anwendungen im Datenblatt für an moin.schule angebundene Anwendungen machen müssen. Die Hinweise richten sich sowohl an die Anbieter, die das Datenblatt ausfüllen müssen, als auch an die Schulen, die Informationen über die technischen Parameter der Anbindung oder über weitergeleitete personenbezogene Daten benötigen.
Diese Hinweise beziehen sich auf Version 1.4 des Datenblatts. Das Datenblatt kann im Download-Bereich abgerufen werden.
Unter diesem Namen erscheint die Anwendung im Dashboard und in der Liste der Anwendungen.
Name und Anschrift des Anbieters
Name und Geschäftsanschrift des Anbieters müssen mit den Angaben im Muster des Auftragsverarbeitungsvertrags für die Schulen übereinstimmen.
Kurzbeschreibung der Anwendung
Die Kurzbeschreibung erscheint im Dashboard und sollte maximal 10 bis 15 Wörter umfassen. Für das Logo im Dashboard brauchen wir ein Bild im png- oder svg-Format, Breite 288 px, Höhe 178 px, mit transparentem Hintergrund.
Launch-URL
Die Launch-URL wird beim Klick auf den Start-Button in einem neuen neuen Browsertab geöffnet. Sie sollte die entsprechenden Parameter zur Einleitung des Single-Sign-on-Prozesses beinhalten, z. B. https://anwendung-beispiel.de/login/?idp=moinschule
Ein oder mehrere Redirection-Endpoints gemäß RFC 6749 Redirection Endpoint. Die Redirection-Endpoints müssen unter der vollständigen Kontrolle des Anbieters stehen.
Auslieferung von Personenkontextattributen im ID-Token
Falls erforderlich, können einige grundlegende Personenkontext-Attribute gemäß Schulconnex-Spezifikation als OpenID-Connect-Claims ausgeliefert werden. Die Auslieferung wird durch die Schemaattributfreigaben kontrolliert.
Für jede Anwendung wird eine individuelle Nutzerkennung generiert.
Anbietergebundene Pseudonymisierung
Für jeden Anbieter von Anwendungen wird eine individuelle Nutzerkennung generiert. An alle Anwendungen desselben Anbieters wird die gleiche Nutzerkennung ausgeliefert. Die Verwendung dieser Pseudonymisierungsart muss begründet und mit den Schulen vertraglich geregelt sein.
Keine Pseudonymisierung
An die Anwendung wird die UUID als Nutzerkennung ausgeliefert. Der Verzicht auf eine technische Pseudonymisierung muss begründet und mit den Schulen vertraglich geregelt sein.
Anmeldekontext
Personenkontext sitzungsweit
Für jeden Personenkontext einer Person wird eine individuelle Nutzerkennung verwendet. Hat ein/-e Benutzer/-in mehrere Personenkontexte, erfolgt die Auswahl des Personenkontexts bei der Anmeldung (Authentifizerierung) an moin.schule und gilt für die gesamte Sitzung (Browser Session). Diese Einstellung ist Standard.
Personenkontext anwendungsweit
Für jeden Personenkontext einer Person wird eine individuelle Nutzerkennung verwendet. Hat ein/-e Benutzer/-in mehrere Personenkontexte, erfolgt die Auswahl des Personenkontexts bei der Autorisierung für die Anwendung durch moin.schule und gilt für jede weitere Autorisierung derselben Anwendung während der gesamten Sitzung (Browser Session).
Person
Für jede Person wird eine individuelle Nutzerkennung verwendet.
Asynchroner Abruf aller freigegebenen Nutzerdaten erforderlich
Am Schulconnex-Endpunkt /personen-info müssen außerhalb von Nutzersitzungen (asynchron) die gleichen Datenkategorien abrufbar sein wie am Endpunkt /person-info . Wird diese Option nicht gewählt, sind am Endpunkt /personen-info nur Angaben zur erfolgten oder geplanten Löschung (Attribut loeschung.zeitpunkt abrufbar.