Le cadre d'authentification de Blackboard Learn permet aux utilisateurs fournissant des informations d'identification d'ID et de mot de passe de valider et d'initier une session dans Blackboard Learn. Le cadre permet également d'intégrer Blackboard Learn à un ou plusieurs fournisseurs d'authentification externes.

Le cadre d'authentification Blackboard Learn est fourni par le biais de la technologie Building Block avec installation, gestion et journalisation complètes de l'interface utilisateur. Cette utilisation de Building Blocks qui offre une intégration d'authentification élimine les obstacles et problèmes de gestion du système liés à l'authentification personnalisée. Le cadre d'authentification améliore l'expérience d'intégration d'authentification en déplaçant la configuration et la gestion des fournisseurs d'authentification vers une interface utilisateur, ce qui évite d'avoir à gérer l'authentification via un outil de ligne de commande. Les implémentations d'authentification personnalisées ne nécessitent plus de maintenance « spéciale » pour les mises à niveau, car toute authentification utilise désormais la technologie des Building Blocks de Blackboard.

Par défaut, Blackboard Learn prend en charge le CAS (Central Authentication Service) et le protocole LDAP (Lightweight Directory Access Protocol) et le langage SAML (Security Assertion Markup Language).

Protocole LDAP (Lightweight Directory Access Protocol)

LDAP (Lightweight Directory Access Protocol) est une norme Internet qui permet d'accéder à des informations provenant de différents systèmes et applications informatiques. LDAP utilise un ensemble de protocoles pour accéder aux répertoires contenant des informations et extraire ces dernières. Un répertoire est similaire à une base de données, mais contient des informations plus descriptives et basées sur des attributs. Les informations d'un répertoire sont généralement lues plus souvent qu'elles ne sont écrites ou modifiées. LDAP permet à une application, fonctionnant sur la plate-forme informatique d'un établissement, d'obtenir des informations telles que des noms d'utilisateur et des mots de passe.

La centralisation de ce type d'informations simplifie votre travail en vous dotant d'un point d'administration unique. Les informations sur les utilisateurs sont fournies à un seul endroit, ce qui réduit le stockage des informations en double. Cela conduit également à une réduction des besoins de maintenance. L'authentification LDAP permet également aux utilisateurs d'avoir un seul identifiant et mot de passe de connexion pour accéder à différentes applications.

Protocole LDAP sécurisé (LDAPS)

Blackboard Learn prend en charge le protocole LDAP sécurisé (LDAPS).

Authentification unique (SSO) et CAS (Central Authentication Service)

CAS (Central Authentication Service) est le protocole SSO (Single Sign On, connexion unique) d'authentification Web centralisée le plus courant pour l'authentification intra-entreprise.

SunGardHE Luminis 5 prend en charge le protocole, ce qui simplifie les connexions uniques Luminis à Blackboard Learn.

SAML

SAML (Security Assertion Markup Language) est un format de données basé sur XML qui peut être utilisé pour authentifier et autoriser les utilisateurs entre des systèmes distincts. SAML est fréquemment utilisé en tant que solution SSO (Single Sign-On), notamment pour Blackboard Learn. Lorsqu'il est correctement installé et configuré, SAML permet aux utilisateurs de Blackboard Learn de se connecter à l'aide de leur nom d'utilisateur et leur mot de passe d'un autre établissement ou d'une autre application. SSO permet aux administrateurs et aux utilisateurs de gagner du temps en fournissant une intégration transparente pour la connexion.

Les informations d'utilisateur sont transmises entre les systèmes dans une assertion SAML. Le fournisseur d'identité est l'hôte tiers du compte utilisateur et votre instance Blackboard Learn agit en tant que fournisseur de services. Le fournisseur d'identité envoie des attributs que Blackboard Learn utilise pour créer ou mettre à jour un compte pour l'utilisateur. Ces attributs peuvent inclure des informations telles que le nom d'utilisateur, le prénom, le nom de famille et l'adresse e-mail, et sont conditionnés dans un jeton de sécurité tel qu'une assertion SAML. Le fournisseur d'identité envoie cette assertion SAML à Blackboard Learn lorsque l'utilisateur saisit ses informations de connexion à l'aide d'une connexion unique. Si le nom d'un utilisateur ne correspond à rien dans le système, Blackboard Learn crée un nouveau compte avec les attributs de cet utilisateur contenus dans l'assertion SAML.

Authentificateur interne par défaut et authentification multifacteur

Blackboard Learn est fourni avec un authentificateur interne. Cette fonctionnalité est souvent utilisée par les établissements qui n'ont pas entièrement intégré d'authentificateur tiers tel que LDAP ou d'authentificateur secondaire pour les utilisateurs externes, tels que les professeurs invités ou les parents.

Les mots de passe des utilisateurs sont stockés par défaut avec la norme SHA-512 salée de la famille SHA-2 telle que définie dans la Publication spéciale 180-4 Secure Hash Standard du NIST (National Institute for Standards and Technology). Blackboard Learn ajoute la bonne pratique de « salage » à l'aide d'une valeur de départ aléatoire sécurisée de HMAC-SHA-512. La pratique du salage est importante, car elle nécessite de plus grandes exigences de calcul pour déchiffrer un mot de passe, dans le cas où les hachages du mot de passe de l'utilisateur sont exposés à des acteurs non autorisés.

Les tentatives d'authentification sont consignées dans le journal de sécurité standard. Les configurations de modèle de stockage des mots de passe et les migrations de mots de passe utilisateur vers un nouveau modèle de stockage de mots de passe sont également consignées dans le journal de sécurité standard.

Authentification multifacteur

Certains établissements emploient l'authentification multifacteur pour appliquer des règles de sécurité et les meilleures pratiques. Vous pouvez utiliser un second facteur d'authentification fourni par Anthology pour la méthode d'authentification interne (lorsqu'un utilisateur fournit un nom d'utilisateur et un mot de passe).

Une fois que vous avez activé l'authentification multifacteur, les utilisateurs effectuent le processus d'enregistrement de l'authentification multifacteur après avoir fourni un nom d'utilisateur et un mot de passe corrects. Ils peuvent utiliser l'application d'authentification de leur choix ou celle suggérée par votre établissement. Les instructions de connexion sont les mêmes pour les professeurs et les étudiants, et sont accessibles depuis Authentification multifacteur : configuration et connexion.

Les utilisateurs sont invités à entrer un code à six chiffres généré par l'application d'authentification sur leur(s) appareil(s) de confiance chaque fois qu'ils se connectent.

Si un utilisateur perd l'accès à son appareil de confiance, il peut demander une réinitialisation de son authentification multifacteur via les canaux d'assistance normaux définis par l'établissement. Cela permet à l'utilisateur d'effectuer le processus d'enregistrement sur un nouvel appareil.

Pour définir l'authentification multifacteur sur Actif, accédez au panneau Outils de l'administrateur :

  1. Sélectionnez Intégrations.
  2. Sélectionnez Authentification.
  3. Sélectionnez Option par défaut, puis Modifier.
  4. Sous Authentification multifacteur, basculez sur Actif.

Pour réinitialiser l'authentification multifacteur d'un utilisateur, accédez au panneau Outils de l'administrateur :

  1. Sélectionnez Utilisateurs.
  2. Recherchez l'utilisateur par nom d'utilisateur.
  3. Sélectionnez le menu de cet utilisateur, puis Réinitialiser l'authentification multifacteur.
  4. Une fenêtre contextuelle vous demandera de confirmer qu'il s'agit bien de la tâche que vous souhaitez effectuer. Sélectionnez OK.

L'authentification multifacteur est uniquement compatible avec la méthode d'authentification Force to Web de l'application mobile. Si l'établissement a activé la méthode d'authentification native, les utilisateurs ne seront pas invités à saisir le code TOTP lors de la connexion à l'application mobile. La compatibilité avec la méthode d'authentification native sera disponible dans une prochaine version.