En raison des nouvelles exigences d’IOA 1.3, D2L a mis à jour plusieurs sections de la plateforme Brightspace. En plus d’un processus entièrement nouveau pour le déploiement et la gestion des outils d'apprentissage, il y a quelques éléments que vous devez connaître afin de mieux soutenir votre instance.
Les plateformes se comportent maintenant comme un fournisseur OpenID Connect, qui communique l'identité de l'utilisateur à l’outil à l'aide du flux d’ouverture de session OpenID. Le flux de travail d’authentification complet comprend un lancement d'OIDC, suivi du lancement de la version 1.3.
Tous les services de LTI de la plateforme ont un lien de communication directe de la plateforme à l’outil et ne passent pas par un navigateur. Les demandes de service de la plateforme à l'outil sont authentifiées par un jeton d’accès bearer OAuth (les identifiants du client servent à autoriser l’octroi du code OAuth2).
Le modèle de sécurité LTI 1.3 a trois principales composantes :
- OIDC : OpenID Connect (OIDC) est lancé une première fois, et pendant ce lancement l'outil est avisé d'un prochain lancement de LTI et une ouverture de session initiée par un tiers au flux OIDC se produit. Ceci permet d'identifier l'utilisateur qui est lancé, et contribue à assurer qu’aucun lancement ne soit intercepté. D2L utilise le point d’extrémité de lancement de LTI comme URL d’ouverture de session.
- Jetons Web JSON : Suivant le lancement d’OIDC, nous procédons au lancement de la version 1.3. Lorsque les charges utiles du lancement sont conçues, elles sont indiquées comme JWT. Tous les messages de LTI sont envoyés comme des JWT, signés par l'expéditeur du message. Le récepteur utilise la clé publique, identifiée par KeyID pour vérifier la signature du JWT. Le récepteur de ce jeton peut vérifier :
- L'expéditeur
- Que le contenu n'a pas été altéré
- OAuth2 : Afin d’étendre les services de type, Travaux et notes, les jetons OAuth2 sont utilisés pour faire des appels de service subséquents à l'API, comme la récupération des résultats du carnet de notes ou la synchronisation d'un nouveau résultat.
Inscription
La création d'un nouvel outil d'apprentissage commence par l'inscription d'un nouvel outil par l'administrateur de LTI Advantage. L'inscription d'un outil d'interopérabilité des outils d'apprentissage exige qu'un administrateur utilise le flux de travail d'inscription dynamique (s'il est disponible par l'outil) ou le flux de travail manuel dans lequel l'outil fournit des détails de base, comme l'URL du domaine de l'outil, l'URL de redirection de l'outil ou l'URL du clavier.
Pour créer des liens pour n'importe quel outil, il doit d'abord être enregistré. Les inscriptions désactivées ne permettent pas aux utilisateurs d'effectuer des lancements ou d'utiliser l'outil. Lorsque vous configurez un nouvel outil, D2L recommande de le désactiver durant la configuration. Cela permet aux administrateurs de créer des liens et de configurer l'outil en entier avant de l'activer.
Les champs requis dans l'IU proviennent directement de votre outil. Il est possible que des outils offrent de nombreuses URL de renvoi. Pour en ajouter d'autres, cliquez sur + Ajouter une URL de renvoi. L'URL de domaine est utilisée dans Brightspace pour aider à la mise en correspondance du domaine, autorisant Brightspace à suggérer les outils permettant de lier les liens ad hoc pendant la création. Vous n'avez besoin que de l'URL du clavier si vous utilisez les extensions.
Les paramètres personnalisés et de substitution peuvent être créés au niveau de l'inscription et se répercuter aux niveaux du déploiement et des liens.
Une fois qu'un outil est inscrit, vous recevez un identifiant de client, une URL du clavier de Brightspace et une URL de OAuth2 Access Token de Brightspace pour offrir l'outil.
- Domaine : Utilisé pour la mise en correspondance du domaine seulement (à la création de nouveaux liens à travers du contenu pour remplir la liste déroulante).
- URL de renvoi : Les URL de renvoi qui sont des points d'extrémité vers lesquels les réponses d'autorisation peuvent être envoyées. Cela peut correspondre à une seule ou plusieurs valeurs.
- URL de l'ouverture de session OpenID : L'URL OpenId de l'outil représente l'emplacement d'où l'outil sera lancé pendant la phase initiale du lancement de l'OIDC.
- URI de lien cible : Si un outil ne retourne pas l'URL du lien IOA (ltiResourceLink) dans la réponse de lien profond, l'URI de lien cible sera utilisée comme URL. Si aucune n'est fournie, le domaine de l'inscription de l'IOA sera utilisé.
- URL du clavier : L'URL où l'outil conserve les clés. Utilisé comme point de référence lorsque D2L effectue une recherche de clé pendant le lancement de l'OIDC.
Inscription dynamique
L'inscription dynamique est une spécification d'interopérabilité des outils d'apprentissage qui permet la création automatique d'une inscription dans un outil ou une plateforme, sans avoir à remplir manuellement l'inscription. L'inscription dynamique prend également en charge la création facultative d'un déploiement et de liens de niveau organisationnel dans Brightspace.
Remarque : L’inscription dynamique est offerte au public pour permettre la mise en œuvre des outils et des plateformes et est actuellement à la version finale de candidat public du processus d’élaboration des normes.
L'outil fournit une URL de point d'extrémité pour lancer le processus d'inscription dynamique; ce point d'extrémité doit être https. Lors du lancement au point d'extrémité de l'outil, D2L envoie à l'outil un jeton d'utilisation unique qui est remis à l'outil dans le cadre de l'URL de configuration; ce jeton expire après une utilisation ou une heure, selon la première éventualité.
Si le déploiement ou les liens ne sont pas créés, le processus d'inscription est quand même perçu comme réussi. Les API d'inscription dynamique renvoient des erreurs à l'outil en cas de défaillance.
Hors de portée : Mises à jour d'inscription
Niveau d'inscription :
- La validation se conforme aux règles existantes de validation des inscriptions
- Les URL doivent être en format HTTPS
- Le nom et le domaine doivent être uniques à l'échelle de l'organisation
- L'URL du clavier doit être joignable