Het verificatieframework van Blackboard Learn maakt het mogelijk dat gebruikers door het opgeven van een ID en wachtwoord een sessie kunnen starten en valideren in Blackboard Learn. Het framework is ook een manier om Blackboard Learn te integreren met een of meer externe verificatieproviders.
Het verificatieframework van Blackboard Learn maakt gebruik van Building Block-technologie en beschikt over een uitgebreide gebruikersinterface voor installatie, beheer en logboekregistratie. De toepassing van Building Blocks om verificatie-integratie aan te bieden, zorgt ervoor dat obstakels en problemen worden weggenomen op het vlak van systeembeheer en aangepaste verificatie. Het verificatieframework verbetert de ervaring met geïntegreerde verificatie doordat de configuratie en het beheer van verificatieproviders nu beschikbaar is via een gebruikersinterface, zodat er geen verificatiebeheer meer hoeft plaats te vinden vanaf de opdrachtregel. Aangepaste implementaties voor verificatie vereisen geen 'speciaal' onderhoud meer voor upgrades omdat voor alle verificatie nu Building Block-technologie van Blackboard wordt gebruikt.
Blackboard Learn biedt standaard ondersteuning voor CAS (Central Authentication Service) en LDAP (Lightweight Directory Access Protocol), en SAML (Security Assertion Markup Language).
LDAP (Lightweight Directory Access Protocol)
LDAP (Lightweight Directory Access Protocol) is een internetstandaard die toegang biedt tot gegevens in verschillende computersystemen en toepassingen. LDAP maakt gebruik van een set protocollen om toegang te krijgen tot gegevensmappen en om gegevens op te halen. Een map of directory is vergelijkbaar met een database, maar bevat gegevens die meer beschrijvend zijn en die op kenmerken zijn gebaseerd. De gegevens in een map worden doorgaans meer gelezen dan weggeschreven of gewijzigd. Een toepassing kan met behulp van LDAP, indien uitgevoerd op het computerplatform van een instelling, gegevens ophalen zoals gebruikersnamen en wachtwoorden.
Door dit type gegevens centraal op te slaan, is er maar één beheerpunt en werkt alles dus eenvoudiger. De gebruikersgegevens bevinden zich op één locatie, waardoor er geen opslag wordt verspild aan dubbele gegevens. Dit betekent weer dat er minder onderhoud nodig is. LDAP-verificatie stelt gebruikers bovendien in staat om met één aanmeldingsnaam en -wachtwoord toegang te krijgen tot verschillende toepassingen.
Secure LDAP (LDAPS)
Blackboard Learn ondersteunt Secure LDAP (LDAPS).
SSO (Single Sign On) en CAS (Central Authentication Service)
CAS (Central Authentication Service) is het bekendste SSO-protocol (Single Sign On of eenmalige aanmelding) voor verificatie binnen een organisatie. Het is een gecentraliseerde voorziening die via een webbrowser werkt.
SunGardHE Luminis 5 biedt ondersteuning voor CAS, waardoor eenmalige aanmelding van Luminis bij Blackboard Learn makkelijker wordt.
SAML
Security Assertion Markup Language (SAML) is een op XML gebaseerde gegevensindeling die kan worden gebruikt voor het verifiëren en autoriseren van gebruikers tussen afzonderlijke systemen. SAML wordt vaak gebruikt als een oplossing voor eenmalige aanmelding (SSO), zo ook voor Blackboard Learn. Als SAML goed is geïnstalleerd en geconfigureerd, kunnen gebruikers van Blackboard Learn zich aanmelden met hun gebruikersnaam en wachtwoord van een andere instelling of toepassing. SSO bespaart tijd voor zowel beheerders als gebruikers door een naadloze integratie voor aanmelden te bieden.
Gebruikersgegevens worden via een SAML-bevestiging doorgegeven tussen systemen. De identiteitsprovider is de externe host van het account van de gebruiker en de instantie van Blackboard Learn fungeert als de serviceprovider. De identiteitsprovider verstuurt kenmerken die door Blackboard Learn worden gebruikt om een account te maken of bij te werken voor de gebruiker. Deze kenmerken kunnen gegevens bevatten zoals de gebruikersnaam, voornaam, achternaam en e-mailadres, en worden verpakt in een beveiligingstoken zoals een SAML-bevestiging. De identiteitsprovider verstuurt deze SAML-bevestiging naar Blackboard Learn op het moment dat de gebruiker zijn of haar aanmeldingsgegevens invoert via eenmalige aanmelding. Als de gebruikersnaam niet wordt gevonden in het systeem, wordt er in Blackboard Learn een nieuw account gemaakt op basis van de gebruikerskenmerken in de SAML-bevestiging.
Standaardverificatieprovider voor intern gebruik en meervoudige verificatie
Blackboard Learn wordt geleverd met een interne verificatieprovider. Deze voorziening wordt vaak gebruikt door instellingen die niet volledig zijn geïntegreerd met een externe verificatieprovider, zoals LDAP, of als een secundaire verificatieprovider voor externe gebruikers zoals gastdocenten of familieleden.
Wachtwoorden van gebruikers worden standaard opgeslagen met behulp van de 'salted' SHA-512-standaard uit de SHA-2-familie, zoals gedefinieerd in de speciale publicatie 180-4 Secure Hash Standard van het National Institute for Standards and Technology (NIST). Blackboard Learn voegt de aanbevolen procedure van 'salting' toe via een beveiligde willekeurige seed van HMAC-SHA-512. 'Salting' is belangrijk omdat deze techniek ervoor zorgt dat er meer rekencapaciteit nodig is voor het kraken van een wachtwoord, in het geval dat hashes van gebruikerswachtwoorden in handen vallen van kwaadwillende personen.
Verificatiepogingen worden vastgelegd in een gestandaardiseerd beveiligingslogboek. Configuraties van schema's voor wachtwoordopslag en migraties van gebruikerswachtwoorden naar een nieuw schema voor wachtwoordopslag worden ook vastgelegd in het gestandaardiseerde beveiligingslogboek.
Meervoudige verificatie
Sommige instellingen passen meervoudige verificatie (MFA, Multi-Factor Authentication) toe om aan het beveiligingsbeleid en best practices te voldoen. Je kunt een tweede verificatiefactor gebruiken die door Anthology wordt gegeven voor de interne verificatiemethode (waarbij een gebruiker een gebruikersnaam en wachtwoord opgeeft).
Nadat je MFA hebt ingeschakeld, starten gebruikers het MFA-registratieproces nadat ze een juiste gebruikersnaam en wachtwoord hebben opgegeven. Ze kunnen een verificatie-app naar voorkeur gebruiken of de app die je instelling voorstelt. Instructies voor het aanmelden zijn hetzelfde voor cursusleiders en studenten. Deze zijn te vinden in Instellen van en inloggen met behulp van meervoudige verificatie.
Elke keer dat ze zich aanmelden, wordt er gevraagd om een zescijferige code die door de verificatie-app op hun vertrouwde apparaat/apparaten wordt gegenereerd.
Als gebruikers geen toegang meer hebben tot hun vertrouwde apparaat, kunnen ze een reset van hun MFA aanvragen via de gebruikelijke door de instelling gedefinieerde ondersteuningskanalen. Hierdoor kan de gebruiker het registratieproces van een nieuw apparaat starten.
Als je MFA wilt instellen op actief, ga je naar het cconfiguratiescherm voor systeembeheertools:
- Selecteer Integraties
- Selecteer Verificatie
- Selecteer Standaard en vervolgens Bewerken
- Schakel onder Meervoudige verificatie over naar Actief.
Als je de MFA van een gebruiker wilt resetten, ga je naar het configuratiescherm voor systeembeheertools:
- Selecteer Gebruikers
- Zoek naar de gebruiker op gebruikersnaam
- Selecteer het menu voor die gebruiker en selecteer vervolgens MFA resetten
- Er verschijnt een pop-upvenster met de vraag om te bevestigen dat dit de taak is die je wilt uitvoeren. Selecteer OK.
MFA is alleen compatibel met de verificatiemethode Force to Web in de mobiele app. Als de instelling de ingebouwde verificatiemethode heeft geactiveerd, worden gebruikers niet gevraagd om de TOTP-code in te voeren bij het aanmelden in de mobiele app. Compatibiliteit met de ingebouwde verificatiemethode wordt beschikbaar in een toekomstige release.