D2L® heeft diverse gebieden van het Brightspace®-platform bijgewerkt om een aantal van de nieuwe vereisten te ondersteunen die de bijgewerkte specificatie met zich meebrengt. Met een geheel nieuw proces voor het implementeren en beheren van cursustools zijn er een paar dingen die u beslist wilt leren om uw instantie beter te ondersteunen.
Platforms fungeren nu als een OpenID Connect-provider, die de identiteit van de gebruiker aan de tool communiceert met behulp van de OpenId-aanmeldingsworkflow. De volledige verificatieworkflow bestaat uit een OIDC-start en vervolgens een start van LTI 1.3.
Alle LTI-services hebben de vorm van directe communicatie van platform naar tool en gaan niet via een browser. Serviceaanvragen van tool naar platform worden geverifieerd via een bearer-token voor toegang (OAuth2-clientreferenties verlenen code).
Er zijn drie hoofdcomponenten van het LTI 1.3-beveiligingsmodel:
- OIDC: Er vindt een initiële OIDC-start (OpenID Connect) plaats, waarbij de tool wordt geïnformeerd over een komende LTI-start, en er vindt een door derden geïnitieerde OIDC-workflow voor aanmelding plaats. Hiermee wordt vastgesteld welke gebruiker wordt gestart en wordt ervoor gezorgd dat er geen startprocedures worden onderschept. D2L® gebruikt het LTI-starteindpunt als aanmeldings-URL.
- JSON Web Tokens: Na de start van OIDC voeren we de start van LTI 1.3 uit. Wanneer de start-nettoladingen worden geconstrueerd, worden ze ondertekend als een JWT. Alle LTI-berichten worden verzonden als JWT's, ondertekend door de afzender van het bericht. De ontvanger gebruikt de openbare sleutel, geïdentificeerd door KeyID, om de JWT-handtekening te verifiëren. De ontvanger van dit token kan het volgende verifiëren:
- Wie heeft het verzonden
- Dat de inhoud niet is gewijzigd
- OAuth2: Om services zoals Opdrachten en scores uit te breiden, worden OAuth2-tokens gebruikt om volgende service-API-aanroepen uit te voeren, zoals het ophalen van scores uit het scorerapport of het synchroniseren van een nieuw resultaat.
Registratie
Het maken van een nieuwe cursustool begint met het registreren van een nieuwe tool door een LTI Advantage-beheerder. Voor het registreren van een LTI-tool moet een beheerder de workflow Dynamische registratie (indien beschikbaar door de tool) of de handmatige workflow gebruiken waarbij de tool kerngegevens verstrekt, zoals de URL van het tooldomein, de URL voor het omleiden van de tool of de keyset-URL.
Een tool kan alleen maar koppelingen maken als de tool zelf eerst is geregistreerd. Uitgeschakelde registraties staan gebruikers niet toe om starts uit te voeren of de tool te gebruiken. Bij het configureren van een nieuwe tool raadt D2L® u aan deze tijdens de configuratie uit te schakelen. Dit stelt beheerders in staat om koppelingen te maken en de tool volledig te configureren voordat deze wordt ingeschakeld.
De vereiste velden in de gebruikersinterface komen rechtstreeks van uw tool. Tools kunnen voorzien in veel omleiding-URL's. Als u meer wilt toevoegen, klikt u op + Omleidings-URL toevoegen. De domein-URL wordt in Brightspace® gebruikt om te helpen bij het matchen van domeinen, waardoor Brightspace® aan tools kan voorstellen om ad-hockoppelingen te koppelen tijdens het maken. U hebt alleen de Keyset-URL nodig als u de uitbreidingen gebruikt.
Vervangende en aangepaste parameters kunnen worden gemaakt op registratieniveau en worden doorgevoerd naar de implementatie- en koppelingsniveaus.
Zodra een tool is geregistreerd, ontvangt u een client-id, een Brightspace® Keyset-URL en een Brightspace® OAuth2 Access Token-URL om aan de tool te verstrekken.
- Domein: wordt alleen gebruikt voor domeintoewijzing (bij het maken van nieuwe koppelingen via inhoud om de vervolgkeuzelijst te vullen).
- Omleiding-URL's: omleiding-URL's zijn eindpunten waar de autorisatierespons naartoe kan worden gestuurd. Dit kunnen één of meerdere waarden zijn.
- OpenID Connect aanmeldings-URL: de OpenId-URL van de tool die de locatie is waar de tool zal worden gestart tijdens de eerste OIDC-start.
- Doelkoppeling-URI: Als een tool geen URL retourneert voor de LTI-koppeling (ltiResourceLink) in de diepe koppeling-respons, wordt de doelkoppeling-URI gebruikt als URL. Als geen van beide koppelingen wordt opgegeven, wordt het domein in de LTI-registratie gebruikt.
- Keyset-URL: De URL waar de tool de sleutels opslaat. Wordt gebruikt als referentiepunt wanneer D2L® een sleutelopzoekactie uitvoert tijdens de OIDC-start.
Dynamische registratie
Dynamische registratie is een LTI-specificatie waarmee automatisch een registratie kan worden gemaakt binnen een tool en platform, zonder dat de registratie handmatig hoeft te worden voltooid. Dynamische registratie ondersteunt ook het optioneel maken van de koppelingen op implementatie- en organisatieniveau binnen Brightspace®.
Opmerking: de dynamische registratie bevindt zich momenteel in de kandidatenfinale voor leden en is in de planning voor publicatie opgenomen.
De tool biedt een eindpunt-URL om het dynamische registratieproces te starten. Dit eindpunt moet https zijn. Bij het starten van het eindpunt van de tool verzendt D2L® een eenmalig token dat aan de tool wordt gegeven als onderdeel van de configuratie-URL. Dit token verloopt na 1 keer gebruik of na 1 uur, afhankelijk van wat zich het eerst voordoet.
Als de implementatie of koppelingen niet kunnen worden gemaakt, wordt het registratieproces nog steeds als geslaagd beschouwd. De API's voor dynamische registratie retourneren fouten naar de tool als er een storing is opgetreden.
Buiten bereik: Registratie-updates
Registratieniveau:
- Validatie bestaat na bestaande validatieregels voor registratie
- URL's moeten de HTTPS-notatie hebben
- Naam en domein moeten uniek zijn in de hele organisatie
- Sleutelset moet bereikbaar zijn