Skip to main content

Identificatie en authenticatie

Met het Blackboard-verificatieframework kunnen gebruikers die ID- en wachtwoordgegevens opgeven, een sessie in Blackboard valideren en starten. Het framework maakt het ook mogelijk om Blackboard te integreren met een of meer externe authenticatieproviders.

Het Blackboard Authentication Framework wordt geleverd met behulp van Building Block-technologie met volledige installatie, beheer en logboekregistratie van de gebruikersinterface. De toepassing van Building Blocks om verificatie-integratie aan te bieden, zorgt ervoor dat obstakels en problemen worden weggenomen op het vlak van systeembeheer en aangepaste verificatie. Het verificatieframework verbetert de ervaring met geïntegreerde verificatie doordat de configuratie en het beheer van verificatieproviders nu beschikbaar is via een gebruikersinterface, zodat er geen verificatiebeheer meer hoeft plaats te vinden vanaf de opdrachtregel. Aangepaste implementaties voor verificatie vereisen geen 'speciaal' onderhoud meer voor upgrades omdat voor alle verificatie nu Building Block-technologie van Blackboard wordt gebruikt.

Blackboard biedt standaard ondersteuning voor Central Authentication Service (CAS) en Lightweight Directory Access Protocol (LDAP) en Security Assertion Markup Language (SAML).

LDAP (Lightweight Directory Access Protocol)

LDAP (Lightweight Directory Access Protocol) is een internetstandaard die toegang biedt tot gegevens in verschillende computersystemen en toepassingen. LDAP maakt gebruik van een set protocollen om toegang te krijgen tot gegevensmappen en om gegevens op te halen. Een map of directory is vergelijkbaar met een database, maar bevat gegevens die meer beschrijvend zijn en die op kenmerken zijn gebaseerd. De gegevens in een map worden doorgaans meer gelezen dan weggeschreven of gewijzigd. Een toepassing kan met behulp van LDAP, indien uitgevoerd op het computerplatform van een instelling, gegevens ophalen zoals gebruikersnamen en wachtwoorden.

Door dit type gegevens centraal op te slaan, is er maar één beheerpunt en werkt alles dus eenvoudiger. De gebruikersgegevens bevinden zich op één locatie, waardoor er geen opslag wordt verspild aan dubbele gegevens. Dit betekent weer dat er minder onderhoud nodig is. LDAP-verificatie stelt gebruikers bovendien in staat om met één aanmeldingsnaam en -wachtwoord toegang te krijgen tot verschillende toepassingen.

Secure LDAP (LDAPS)

Blackboard ondersteunt Secure LDAP (LDAPS).

SSO (Single Sign On) en CAS (Central Authentication Service)

CAS (Central Authentication Service) is het bekendste SSO-protocol (Single Sign On of eenmalige aanmelding) voor verificatie binnen een organisatie. Het is een gecentraliseerde voorziening die via een webbrowser werkt.

SunGardHE Luminis 5 ondersteunt CAS, waardoor Luminis wordt vereenvoudigd naar Blackboard Eenmalige aanmelding.

SAML

Security Assertion Markup Language (SAML) is een op XML gebaseerde gegevensindeling die kan worden gebruikt voor het verifiëren en autoriseren van gebruikers tussen afzonderlijke systemen. SAML wordt vaak gebruikt als Eenmalige aanmelding (SSO) oplossing, ook voor Blackboard. Als SAML correct is geïnstalleerd en geconfigureerd, kunnen Blackboard-gebruikers zich aanmelden met hun gebruikersnaam en wachtwoord van een andere instelling of toepassing. SSO bespaart tijd voor zowel beheerders als gebruikers door een naadloze integratie voor aanmelden te bieden.

Gebruikersgegevens worden via een SAML-bevestiging doorgegeven tussen systemen. De identiteitsprovider is de externe host van het account van de gebruiker en je Blackboard-exemplaar fungeert als de serviceprovider. De identiteitsprovider verzendt kenmerken die Blackboard gebruikt om een account voor de gebruiker te maken of bij te werken. Deze kenmerken kunnen gegevens bevatten zoals de gebruikersnaam, voornaam, achternaam en e-mailadres, en worden verpakt in een beveiligingstoken zoals een SAML-bevestiging. De identiteitsprovider stuurt deze SAML-assertie naar Blackboard wanneer de gebruiker zijn inloggegevens invoert met behulp van single sign-on. Als de gebruikersnaam van de gebruiker niet overeenkomt met de gebruikerskenmerken in het systeem, maakt Blackboard een nieuw account met de gebruikerskenmerken in de SAML-assertie.

Standaardverificatieprovider voor intern gebruik en meervoudige verificatie

Blackboard wordt geleverd met een interne authenticator. Deze voorziening wordt vaak gebruikt door instellingen die niet volledig zijn geïntegreerd met een externe verificatieprovider, zoals LDAP, of als een secundaire verificatieprovider voor externe gebruikers zoals gastdocenten of familieleden.

Wachtwoorden van gebruikers worden standaard opgeslagen met behulp van de 'salted' SHA-512-standaard uit de SHA-2-familie, zoals gedefinieerd in de speciale publicatie 180-4 Secure Hash Standard van het National Institute for Standards and Technology (NIST). Blackboard Learn voegt de aanbevolen procedure van 'salting' toe via een beveiligde willekeurige seed van HMAC-SHA-512. 'Salting' is belangrijk omdat deze techniek ervoor zorgt dat er meer rekencapaciteit nodig is voor het kraken van een wachtwoord, in het geval dat hashes van gebruikerswachtwoorden in handen vallen van kwaadwillende personen.

Verificatiepogingen worden vastgelegd in een gestandaardiseerd beveiligingslogboek. Configuraties van schema's voor wachtwoordopslag en migraties van gebruikerswachtwoorden naar een nieuw schema voor wachtwoordopslag worden ook vastgelegd in het gestandaardiseerde beveiligingslogboek.

Meervoudige verificatie

Sommige instellingen passen meervoudige verificatie (MFA, Multi-Factor Authentication) toe om aan het beveiligingsbeleid en best practices te voldoen. Je kunt een tweede verificatiefactor gebruiken die door Anthology wordt gegeven voor de interne verificatiemethode (waarbij een gebruiker een gebruikersnaam en wachtwoord opgeeft).

Nadat je MFA hebt ingeschakeld, starten gebruikers het MFA-registratieproces nadat ze een juiste gebruikersnaam en wachtwoord hebben opgegeven. Ze kunnen een verificatie-app naar voorkeur gebruiken of de app die je instelling voorstelt.

Elke keer dat ze zich aanmelden, wordt er gevraagd om een zescijferige code die door de verificatie-app op hun vertrouwde apparaat/apparaten wordt gegenereerd.

Als gebruikers geen toegang meer hebben tot hun vertrouwde apparaat, kunnen ze een reset van hun MFA aanvragen via de gebruikelijke door de instelling gedefinieerde ondersteuningskanalen. Hierdoor kan de gebruiker het registratieproces van een nieuw apparaat starten.

Als je MFA wilt instellen op actief, ga je naar het cconfiguratiescherm voor systeembeheertools:

  1. Selecteer Integraties.

  2. Selecteer Verificatie.

  3. Selecteer Standaard en vervolgens Bewerken.

  4. Schakel onder Multifactor Authentication over naar Actief.

Als u de MFA van een gebruiker opnieuw wilt instellen, gaat u naar het deelvenster Configuratieprogramma voor beheerders:

  1. Selecteer Gebruikers:

  2. Zoek de gebruiker op gebruikersnaam.

  3. Selecteer het menu voor die gebruiker en klik vervolgens op MFA opnieuw instellen.

  4. Er verschijnt een pop-upvenster met de vraag om te bevestigen dat dit de taak is die je wilt uitvoeren. Selecteer OK.

Opmerking

MFA is alleen compatibel met de verificatiemethode Force to Web in de mobiele app. Als de instelling de ingebouwde verificatiemethode heeft geactiveerd, worden gebruikers niet gevraagd om de TOTP-code in te voeren bij het aanmelden in de mobiele app. Compatibiliteit met de systeemeigen verificatiemethode zal in een toekomstige release beschikbaar zijn.