Blackboard Learn 인증 프레임워크를 사용하면 Blackboard Learn에서 사용자가 제공하는 ID와 비밀번호 자격 증명을 통해 세션의 유효성을 검사하고 세션을 시작할 수 있으며, Blackboard Learn과 하나 이상의 외부 인증 제공자를 통합할 수 있습니다.
Blackboard Learn 인증 프레임워크는 전체 사용자 인터페이스 설치, 관리 및 로깅과 함께 빌딩 블록 기술을 사용하여 제공됩니다. 이렇게 빌딩 블록을 사용하여 인증 통합을 제공하면 고객 인증과 관련된 시스템 관리 문제를 없앨 수 있습니다. 인증 프레임워크를 사용하면 인증 제공자의 구성 및 관리가 사용자 인터페이스로 이동하여 명령줄 인증 관리가 필요하지 않게 되므로 인증 통합 경험이 개선됩니다. 이제 모든 인증에서 Blackboard 빌딩 블록 기술이 사용되기 때문에 사용자 지정 인증 구현에 더 이상 업그레이드를 위한 '특수한’ 유지 관리가 필요하지 않습니다.
기본적으로 Blackboard Learn에서는 CAS(Central Authentication Service), LDAP(Lightweight Directory Access Protocol) 및 SAML(Security Assertion Markup Language)을 지원합니다.
LDAP(Lightweight Directory Access Protocol)
LDAP(Lightweight Directory Access Protocol)는 다양한 컴퓨터 시스템과 애플리케이션의 정보에 대한 접근 권한을 제공하는 인터넷 표준입니다. LDAP에서는 프로토콜 집합을 사용하여 정보 디렉터리에 접근하고 정보를 검색합니다. 디렉터리는 데이터베이스와 유사하지만 속성을 기반으로 하는 더 자세한 정보가 포함되어 있습니다. 디렉터리의 정보는 일반적으로 작성 또는 수정하는 경우보다 읽는 경우가 많습니다. LDAP를 사용하면 교육기관의 컴퓨터 플랫폼에서 실행되고 있는 애플리케이션에서 사용자명 및 비밀번호와 같은 정보를 얻을 수 있습니다.
이러한 유형의 정보를 중앙 집중화하면 한곳에서 관리할 수 있게 되어 작업이 간소화됩니다. 사용자 정보가 한곳에서 제공되므로 중복된 정보가 저장되는 일이 줄어들며, 결과적으로 유지 관리해야 할 필요성이 줄어듭니다. 또한 사용자는 LDAP 인증을 통해 단일 로그인 및 비밀번호로 여러 애플리케이션에 접근할 수 있습니다.
LDAPS(보안 LDAP)
Blackboard Learn에서는 LDAPS(보안 LDAP)를 지원합니다.
SSO(단일 로그인) 및 CAS(Central Authentication Service)
CAS(Central Authentication Service)는 조직 내 인증을 위한 가장 일반적인 중앙 웹 인증 SSO(단일 로그인) 프로토콜입니다.
SunGardHE Luminis 5에서는 CAS를 지원하여 Luminis를 Blackboard Learn SSO로 간소화합니다.
SAML
SAML(Security Assertion Markup Language)은 별개의 시스템 간에 사용자를 인증하고 사용자에게 권한을 부여하는 데 사용할 수 있는 XML 기반 데이터 형식입니다. SAML은 Blackboard Learn 등의 제품에서 단일 로그인 솔루션으로 자주 사용됩니다. 올바르게 설치하고 구성한 경우 Blackboard Learn 사용자는 SAML을 통해 다른 교육기관 또는 애플리케이션의 사용자명 및 비밀번호를 사용하여 로그인할 수 있습니다. SSO를 사용하면 원활한 로그인 통합 덕분에 관리자 및 사용자의 시간이 절약됩니다.
사용자 정보는 SAML 어설션에서 시스템 간에 전달됩니다. ID 제공자는 사용자 계정의 타사 호스트이며, Blackboard Learn 인스턴스는 서비스 제공자의 역할을 합니다. ID 제공자는 Blackboard Learn이 사용자의 계정을 생성하거나 업데이트할 때 사용하는 특성을 전송합니다. 이러한 특성은 사용자명, 이름, 성 및 이메일 주소와 같은 정보를 포함하며 SAML 어설션과 같은 보안 토큰에 담겨 패키지로 제공됩니다. ID 제공자는 사용자가 단일 로그인을 사용하여 로그인 정보를 입력할 때 이 SAML 어설션을 Blackboard Learn에 전송합니다. 사용자명이 시스템의 사용자명과 일치하지 않는 경우 Blackboard Learn에서는 SAML 어설션에 포함되어 있는 사용자 속성으로 새 계정을 생성합니다.
기본 내부 인증자 및 다단계 인증
Blackboard Learn은 내부 인증자와 함께 제공됩니다. 이 기능은 LDAP와 같은 타사 인증자와 완벽하게 통합되지 않는 교육기관에서 사용되거나 방문하는 교직원 또는 학부모 등 외부 사용자를 위한 보조 인증자로 사용되는 경우가 많습니다.
사용자 비밀번호는 기본적으로 NIST(National Institute for Standards and Technology)의 특별 간행물 180-4 보안 해시 표준에 정의된 대로 SHA-2군에서 솔트된 SHA-512 표준을 사용하여 저장됩니다. Blackboard Learn에서는 HMAC-SHA-512의 안전한 임의 시드를 사용하여 '솔팅'의 모범 사례를 추가합니다. 사용자 비밀번호 해시가 무단 작업자에게 노출된 경우 비밀번호를 해독하려면 더 우수한 컴퓨팅 요구 사항이 필요하므로 솔팅의 사례는 매우 중요합니다.
인증 시도는 표준화된 보안 로그에 기록됩니다. 비밀번호 저장소 스키마 구성 및 새 비밀번호 저장소 스키마로의 사용자 비밀번호 마이그레이션도 표준화된 보안 로그에 기록됩니다.
다단계 인증
일부 교육기관에서는 보안 정책 및 모범 사례를 충족하기 위해 다단계 인증(MFA)를 적용합니다. 내부 인증 방법으로 Anthology에서 제공하는 두 번째 인증 요소를 사용할 수 있습니다(사용자가 사용자 ID 및 비밀번호를 제공하는 경우).
MFA를 활성화하면 사용자가 올바른 사용자 ID와 비밀번호를 제공한 후 MFA 등록 프로세스를 시작합니다. 원하는 인증 앱 또는 교육기관에서 제안한 앱을 사용할 수 있습니다. 로그인 지침은 교수자와 학생에게 동일하며 다단계 인증을 사용하여 설정 및 로그인에서 찾을 수 있습니다.
사용자는 로그인할 때마다 신뢰할 수 있는 장치의 인증 앱에서 생성된 6자리 코드를 입력해야 합니다.
사용자가 신뢰할 수 있는 장치에 접근할 수 없는 경우 교육기관에서 정의한 일반 지원 채널을 통해 MFA 재설정을 요청할 수 있습니다. 이렇게 하면 사용자가 새 장치의 등록 프로세스를 시작할 수 있습니다.
MFA를 활성으로 설정하려면 다음과 같이 관리자 도구 패널로 이동합니다.
- 통합을 선택합니다.
- 인증을 선택합니다.
- 기본값을 선택한 다음 수정을 선택합니다.
- 다단계 인증에서 활성으로 전환합니다.
사용자의 MFA를 재설정하려면 다음과 같이 관리자 도구 패널로 이동합니다.
- 사용자를 선택합니다.
- 사용자 ID로 사용자를 검색합니다.
- 해당 사용자의 메뉴를 선택한 다음 MFA 재설정을 선택합니다
- 수행하려는 작업이 맞는지 확인하는 팝업이 표시됩니다. 확인을 선택합니다.
MFA는 모바일 앱의 FTW(Force to Web) 인증 방법하고만 호환됩니다. 교육기관에서 기본 인증 방법을 활성화한 경우에는 사용자가 모바일 앱에 로그인할 때 TOTP 코드를 입력하지 않습니다. 기본 인증 방법과의 호환성은 향후 릴리즈에서 제공될 예정입니다.