通过 Blackboard Learn 验证框架,提供 ID 和密码凭证的用户可以在 Blackboard Learn 中验证和发起会话。此框架还支持 Blackboard Learn 与一个或多个外部验证提供程序的集成。

我们采用 Building Block 技术提供 Blackboard Learn 验证框架以及完整的用户界面安装、管理和日志记录。这种使用 Building Block 来提供验证集成的方法可消除与自定义验证相关的系统管理障碍与问题。验证框架通过将验证提供程序的配置和管理移动到用户界面,无需进行命令行验证管理,从而提升了验证集成体验。自定义验证实施不再需要对升级进行“专门”维护,因为所有验证现在都使用 Blackboard Building Block 技术。

默认情况下,Blackboard Learn 支持中央认证服务 (CAS)、轻量级目录访问协议 (LDAP) 以及安全断言标记语言 (SAML)。


轻量级目录访问协议 (LDAP)

轻量级目录访问协议 (LDAP) 是一种 Internet 标准,可提供对不同计算机系统和应用程序中信息的访问。LDAP 使用一组协议来访问信息目录并检索信息。目录就像数据库,但所含的信息更具描述性且基于属性。目录中信息的读取频率通常高于其编写或修改频率。LDAP 允许在机构计算机平台上运行的应用程序获取用户名和密码等信息。

通过提供单点管理实现集中处理此类信息,从而简化您的工作。在单个位置提供用户信息,以减少重复信息的存储,进而降低维护需求。LDAP 验证还允许用户使用单个登录和密码来访问许多不同的应用程序。

安全 LDAP (LDAPS)

Blackboard Learn 支持安全 LDAP (LDAPS)。


单点登录 (SSO) 和中央认证服务 (CAS)

中央认证服务 (CAS) 是最常见的集中式 Web 验证单点登录 (SSO) 协议,适用于组织内部的验证。

SunGardHE Luminis 5 支持 CAS,从而简化了 Luminis 到 Blackboard Learn 的 SSO。


SAML

安全断言标记语言 (SAML) 是一种基于 XML 的数据格式,可用于在不同系统之间对用户进行验证和授权。SAML 经常被用作单点登录 (SSO) 解决方案,包括用于 Blackboard Learn。经过正确安装和配置后,SAML 可允许 Blackboard Learn 用户使用自己在另一个机构或应用程序的用户名和密码来登录。SSO 通过提供对登录的无缝集成,为管理员和用户节省了时间。

用户信息以 SAML 断言形式在系统之间传递。身份验证提供程序是用户帐户的第三方主机,而您的 Blackboard Learn 实例充当服务提供程序。身份验证提供程序会发送 Blackboard Learn 用来为用户创建或更新帐户的属性。这些属性可以包含用户名、名字、姓氏和电子邮件地址等信息,被打包在安全令牌(如 SAML 断言)中。身份验证提供程序在用户使用单点登录输入登录信息时,将此 SAML 断言发送给 Blackboard Learn。如果用户名与系统中的所有用户名都不匹配,则 Blackboard Learn 会通过 SAML 断言中所含的用户属性创建新帐户。


默认内部验证器和多重身份验证

Blackboard Learn 随附内部验证器。没有与第三方验证器(如 LDAP)完全集成的机构通常会使用此功能,或者外部用户(如来访教员或家长)将其用作辅助验证器。

默认情况下,用户密码采用 SHA-2 系列中的 SHA-512 加盐标准进行存储,具体在美国国家标准技术局 (NIST) Special Publication 180-4 安全哈希标准中进行定义。Blackboard Learn 添加了使用 HMAC-SHA-512 的安全随机种子进行“加盐”的最佳实践。加盐做法非常重要,因为在用户密码哈希暴露给未经授权的执行者的情况下,它对破解密码具有更高的计算要求。

验证尝试将记录到标准化的安全日志中。密码存储方案配置和用户密码向新密码存储方案的迁移也会记录到标准化的安全日志中。

多重身份验证

某些机构强制实施多重身份验证 (MFA) 来实现安全策略和最佳实践。您可以将 Anthology 提供的第二个身份验证因素用于内部身份验证方法(该方法要求用户提供用户名和密码)。

启用 MFA 后,用户将在提供正确的用户名和密码后开始 MFA 注册过程。他们可以使用自己偏好的验证器应用程序或贵机构建议的验证器应用程序。有关教师和学生的登录说明是相同的,可在使用多重身份验证进行设置和登录中找到这些说明。

用户每次登录时,都需要输入由其受信任设备上的身份验证应用程序生成的 6 位数代码。

如果用户无法访问其受信任设备,则可以通过机构定义的正常支持渠道请求重置其 MFA。这允许用户开始新设备的注册过程。

要将 MFA 设置为活动状态,请转到“管理员工具”面板:

  1. 选择集成
  2. 选择验证
  3. 选择默认值,然后选择编辑
  4. 多重身份验证下,切换到活动

要重置用户的 MFA,请转到“管理员工具”面板:

  1. 选择用户
  2. 按用户名搜索用户
  3. 选择该用户的菜单,然后选择重置 MFA
  4. 弹出窗口将要求您确认这是您要执行的任务。选择确定

MFA 只与移动应用程序内的强制网页验证方法兼容。如果机构激活了原生身份验证方法,则用户在登录移动应用程序时不需要输入 TOTP 代码。与原生身份验证方法的兼容性将在未来版本中提供。