Why Platforms and Tools Should Adopt LTI 1.3

Download as pdf

信頼できる学生データの交換
プラットフォームとツールは、なぜLTI 1.3を採用するべきでしょうか?

学生データのプライバシーとセキュリティに関する市場の関心への対応

CIOやそのプラットフォームプロバイダは、プラットフォームやツール間で渡されるセンシティブで個人を特定できる情報(PII)に関するセキュリティ関連の懸念を持っています。 古いセキュリティフレームワークは、脆弱性を実証しています。 MS Global Learning Consortium (IMS) のメンバーは、IMS全体の更新されたセキュリティフレームワークを採用することにより、学生のプライバシーとセキュリティを改善する動きをリードしています。 プライバシーとセキュリティの利点を上回り、 Learning Tools Interoperability® (LTI®) 1.3 は、他のバージョンよりもシンプルなアップグレードパスがあり、主要なプラットフォームプロバイダの全面的な支援と支持を得ています。

LTI 1.3は、より高いセキュリティを持っています

アジャイル — IMS Globalのインターネットエンジニアリングタスクフォース(IETF) の採用に基づいて、サポートされていないOAuth 1.0aをプライベート・公開鍵のペアを使用している OAuth2 標準に、置き換えます。 ツールやプラットフォームは、最新のOAuth2ライブラリと実装における一般的な業界標準のプラクティスを活用することで、その開発を加速することができます。

柔軟性 — コア仕様とは独立した近代的なセキュリティモデルは、コアに変更を加えないセキュリティの進化を可能にします。 同様に、コアの変更は、セキュリティに影響を与えずに進化させることができます。

保護された 起動 — OAuth2はOAuth1に必要な複雑な暗号署名の代わりに(TLSを使用して)HTTPS暗号化を活用した、確立された業界モデルです。  また、IMSのセキュリティモデルを強化するために、OAuth2のメッセージ署名のために、JSON Web Tokens (JWT)を使用する必要があります。

モバイル レディ — このモデルは、Webブラウザから独立していますので、サーバとサーバ間、ネイティブのデスクトップならびにモバイルアプリケーションにとってよりよいソリューションです。

スケーラビリティ — OAuth2は、認証サーバとAPIを扱うリソースサーバのロールを別々にサポートしていますので、よりよいスケールになります。

堅牢性 — OAuth2ライブラリは、動的にメンテナンスされていますので、使用性、安定性に優れた強力な集合体になっています。    

よりシンプルなアップグレードパス

仕様としては、LTI 1.3はLTI 1.1の上に構築されており、現在のLTI実装の中では大多数に採用されているLTIのバージョンに基づくもので、そのためにLTI 1.3は、LTI 1.1 services and messagesとは、より互換性があり、ほとんどの実装においてシンプルなアップグレードパスを提供しています。

IMS OAuth2-based Security Framework Abstract Process Flow

カスタム、非LTIあるいは古いLTIソリューションよりもセキュア

IMS認証を取得することと、コンプライアンスを維持するために、各ツールは、少なくとも年に一度は、このプロセスが適切なセキュリティ動作およびデータ転送プロセスであることを検証し、適合仕様に対して再認証しなければなりません。 LTI 1.3 認証を取得したツールやプラットフォームは、OAuth2とメッセージ署名プロトコルのJWTを遵守して動作していることを実証しています。 非標準またはOAuth1.0のバリエーションの独自のセキュリティ方式を使用しているLTIの古い実装は、非常に深く、時間のかかるセキュリティ評価を必要とするリスクや脆弱性があることが知られています。 LTI 1.3およびLTI Advantage 認証は、管理およびセキュリティ担当役員のような方々へ安心感を提供します。

新シングル登録オプション

アップデートされたセキュリティはコストがかかります。ツールプロバイダにとっては追加のステップになり得る公開鍵/秘密鍵の管理があるからです。 しかしながら、これは、OAuth2が、特別なメッセージの署名を必要とせず、市場ではよく理解されているプロトコルであることで相殺されます。そのことにより開発者の学習曲線は低くなるはずです。 そして、ほとんどのプラットフォームがそういう方法でLTI 1.3を採用することで、ツールにとっても、そのユーザーにとっても、簡素化したプロセスのワークフローを提供することができます。 例えば多くの場合、実装は、ツール・プロバイダとの追加の通信を必要としないで、ツールを採用することを可能にするプラットフォームで一度だけそのツールをグローバルに登録することが可能です。例えばツールXは、かつてLMSに登録することができました。LMSのユーザーは簡単にキーや構成情報からツールを見つけて、ツールXに連絡することなく、採用することができるようになります。

 

LTI Advantage は、LTI 1.3がベースです

IMS Globalは、LTI 1.3コアをベースに3つのLTIサービスextensionsをセットしたLTI Advantageを発表しました。これは、世界クラスのセキュリティを提供しながら、教員が容易にプレミアムユーザーの体験をしながら、コースを構築、管理及び提供することができるようになります。 LTI Advantage の現在のextensionsは次のとおりです。

  • Assignment and Grade Services は、シームレスにLMSプラットフォームにある成績データと複数のソースから取得した成績、進捗、コメントを同期することができます。これは、教員の労力とエラーの可能性を大幅に削減します。
  • Deep Linking は、学習オブジェクトリポジトリまたはコンテンツツールとLMSプラットフォーム間の自然で効率的なユーザーのワークフローをサポートしています。そのことにより、コースやプログラムを開発する際の教師の時間を節約することができます。
  • Names and Role Provisioning Services は、コース名簿/登録情報を、セキュアに共有します。それは、ユーザーエクスペリエンスを強化するようにツールに要求し、誰が使用しているのか、重要なことは誰が使用していないのかというような基本情報を管理者に提供します。

これらのそれぞれのextensionsは、より優れたユーザーエクスペリエンスのために基礎を築かれているLTI 1.3で利用できる新しく改良されたセキュリティモデルを必要とします。 特定の機能を利用するには、使用しているプラットフォームとツールに依存していますのでご注意ください。 imscert.orgにあるIMS製品ディレクトリで公開されているIMS認証製品を常に使用して、最高の、最もセキュアなLTIの体験をしてみてください。