Como resultado de los nuevos requisitos de LTI 1.3, D2L actualizó varias áreas de la plataforma Brightspace. Con un proceso completamente nuevo para implementar y administrar las herramientas de aprendizaje, hay algunas cosas que querrá conocer para apoyar mejor su instancia.
Las plataformas ahora actúan como un proveedor OpenID Connect que comunica la identidad del usuario a la herramienta mediante el flujo de inicio de sesión de OpenID. El flujo de trabajo de la autenticación completa consta de un inicio de OIDC y posteriormente el Inicio 1.3.
Todos los servicios de LTI son comunicaciones directas entre plataformas y herramientas, y no pasan a través de un navegador. Las solicitudes de servicio entre herramientas y plataformas se autentican a través de un token al portador para el acceso (código de otorgamiento de credenciales del cliente de OAuth2).
Hay tres componentes principales del modelo de seguridad de LTI 1.3:
- OIDC: inicialmente se realiza el inicio de OpenID Connect (OIDC), en el que se notifica a la herramienta de un próximo inicio de LTI y se produce un flujo de OIDC de inicio de sesión iniciado por un tercero. Esto sirve como una forma de identificar qué usuario realiza el inicio y ayuda a garantizar que no se intercepten los inicios. D2L utiliza el punto de conexión del inicio de LTI como la dirección URL de inicio de sesión.
- JSON Web Tokens: después del inicio de OIDC, realizamos el inicio 1.3. Cuando se construyen las cargas de inicio, se firman como un JWT. Todos los mensajes de LTI se envían como JWT, firmados por el remitente del mensaje. El receptor utiliza la clave pública, identificada por KeyID, para verificar la firma de JWT. El receptor de este token puede verificar:
- Quién lo envió
- Que el contenido no se haya modificado
- OAuth2: para extender los servicios como Asignaciones y calificaciones, se utilizan los tokens OAuth2 para realizar las posteriores llamadas de servicio de API, como recuperar calificaciones del cuaderno de calificaciones o sincronizar un nuevo resultado.
Registro
La creación de una nueva herramienta de aprendizaje comienza con el registro de una nueva herramienta por un administrador de LTI Advantage. El registro de una herramienta de LTI requiere que un administrador utilice el flujo de trabajo de registro dinámico (si está disponible en la herramienta) o el flujo de trabajo manual en el que la herramienta proporciona detalles básicos, como la URL del dominio de la herramienta, la URL de redireccionamiento de la herramienta o la URL del conjunto de llaves.
Para que cualquier herramienta cree enlaces, primero se debe registrar. Los registros desactivados no permiten que los usuarios inicien o usen la herramienta. Cuando se configura una nueva herramienta, D2L recomienda deshabilitarla durante este proceso. Esto permite a los administradores crear enlaces y configurar completamente la herramienta antes de habilitarla.
Los campos obligatorios en la IU provienen directamente de su herramienta. Es posible que las herramientas proporcionen muchas URL de redireccionamiento. Para agregar más, haga clic en + Agregar URL de redirección. La URL del dominio se utiliza en Brightspace para ayudar con la coincidencia de dominios y permite que Brightspace sugiera herramientas para vincular enlaces ad-hoc durante la creación. Solo necesita la URL del conjunto de claves si utiliza las extensiones.
Los parámetros de sustitución y personalizados se pueden crear en el nivel de registro y se transmiten hasta los niveles de implementación y enlace.
Una vez que se registra una herramienta, recibe una ID de cliente, una URL del conjunto de claves de Brightspace y una URL del token de acceso OAuth2 de Brightspace para que los proporcione a la herramienta.
- Dominio: se utiliza solo para la correlación de dominios (cuando se crean nuevos enlaces a través del contenido para completar el menú desplegable).
- URL de redirección: URL de redirección que son puntos de destino a los que se puede enviar la respuesta de la autorización. Esto puede tener uno o varios valores.
- URL de inicio de sesión de la conexión de OpenID: la URL de OpenID de la herramienta, que es la ubicación en la que se inicia la herramienta durante el primer inicio de OIDC.
- URI de enlace de destino: si una herramienta no devuelve una dirección URL para el enlace LTI (ltiResourceLink) en la respuesta de vinculación profunda, el URI del enlace de destino se usa como la URL. Si no se proporciona ninguno, se usa el dominio en el registro de LTI.
- URL del conjunto de claves: la URL donde la herramienta almacena las claves. Se utiliza como punto de referencia cuando D2L realiza una búsqueda de claves durante el inicio de OIDC.
Registro dinámico
El registro dinámico es una especificación de LTI que permite la creación automática de un registro dentro de una herramienta y plataforma, sin necesidad de completar el registro de forma manual. El registro dinámico también admite la creación opcional de enlaces a nivel de organización y de implementación en Brightspace.
Nota: El registro dinámico está disponible públicamente para las herramientas y plataformas a implementar y se encuentra en la etapa final de candidato público del proceso de desarrollo de estándares.
La herramienta proporciona una dirección URL de extremo para iniciar el proceso de registro dinámico; este extremo debe ser https. Cuando se inicia el extremo de la herramienta, D2L envía a la herramienta un token de uso único que se proporciona a la herramienta como parte de la URL de configuración; este token caduca después de 1 uso o 1 hora, lo que ocurra primero.
Si la implementación o los enlaces no se crean, el proceso de registro aún se considera correcto. Las API de registro dinámico muestran errores a la herramienta si algo falla.
Fuera de alcance: actualizaciones de registro
Nivel de registro:
- La validación existe después de las reglas de validación de registro existentes
- Las URL deben estar en formato HTTPS
- El nombre y el dominio deben ser únicos en toda la organización
- El conjunto de claves debe estar disponible