.
Sharebar?

LTI Security Announcement and Deprecation Schedule (July 2019)

セキュリティ速報

LTIの初期バージョンの
セキュリティアップデートと非推奨スケジュール

2019年7月

2019年5月、IMS会員と共同のIMS Security Frameworkが公開されました。セキュリティフレームワー クは、OAuth 2.0とOpenID Connectの仕様に基づいています。このフレームワークは、最先端のセキュ リティ技術とベストプラクティスを採用し、クロスサイトリクエストフォージェリ(CSRF)などの既 知の潜在的な問題に対する保護を含んでいます。多くのIMS仕様、特にLearning Tools Interoperability® (LTI) 1.3 and LTI Advantageは, すでにセキュリティフレームワークに合わせられて います。

データのプライバシーとセキュリティへの取り組みを守りながら、2018年2月、IMSはOAuth 1.0aを使っているSHA-1の使用を非推奨にするスケジュールを発表しました。これにより、2019年12月31日以降はこの方 法による認証はできなくなります。 この発表は、LTI 1.0および1.1の仕様への認証に影響を与えています 。

現在、IMS Security Frameworkの発表と採用により、IMSはすべてのIMS仕様においてOAuth 1.0aの使 用を正式に推奨しなくなりました。したがって、LTI 1.0、1.1、1.2、および2.0仕様と関連するサー ビスへの認証は推奨されなくなりました。下記のLTIサポートと非推奨スケジュールを参照してください 。

IMSは、その新しいSecurity Frameworkと、OAuth 2、JSON Web Token、およびOpen ID Connect workflowに基づく最新のLTI Coreバージョン1.3(LTI Advantageの重要な部分)が、LTI Advantageを 最もセキュアな統合オプションとしています

初期のLTIバージョンのセキュリティアップデートを後付けします

LTI 1.3への移行は強く推奨されていますが、LTIバージョンをアップグレードしないことを決定した 組織のために、IMSはLTIの選択されたレガシーバージョン用のセキュリティ更新を提供していきます 。これらの更新された仕様は、実装ガイダンスおよびIMS認証とともに、1.0.1および1.1.2と指定され ており、2022年半ばまで認証が可能になる予定です。その後、LTI 1.3とその後継バージョンがIMS認 証に適格になる最小バージョンになります。 LTIバージョン1.0.1および1.1.2用のLTIセキュリティ アップデートパッチドキュメントが公開されました。

LTI Advantage 

LTI AdvantageのOpenID Connect workflowはセキュリティ保護の向上的な段階にあり、プラットフォ ームとツール間の信頼関係の編成に大幅な変更を伴います。実装者はこれらのセキュリティのアップ グレードに合わせてLTI 1.3およびLTI Advantageにアップグレードすることを選択する必要がありま す。 LTI 1.3とLTI Advantageサービスは、ロードマッププランナーにとって最適な選択肢です。  

主要なプラットフォームおよびツールサプライヤは、すでにLTI Advantage認証を取得しているか、または 認証がほぼ完了しています。迅速に前進する能力は、設計、コーディングモデルおよびライブテストプロキシと して使用するためにIMSメンバーおよび一般に利用可能である完全に機能するLTI Advantage Reference Implementationによって可能 になりました。 IMS Globalは、その機能とセキュリティー上の利点を達成するために、LTI 1.3とLTI Advantageを採用している 製品サプライヤーをお勧めします。

IMS コミットメント

IMSとそのメンバーは、データ処理における最高レベルのプライバシー、セキュリティ、および透明性 を約束します。リスクを完全に回避することはできませんが、最新の最も安全なバージョンのLTIを使 用して学習用製品を最新の状態に保つことを含む、デューディリジェンスの実行によって大幅に軽減 されます。 IMSスタッフは、メンバーがセキュリティを強化し、現在のバージョンのLTIにアップグレ ードすることを支援する用意があります。もっと学ぶことに興味がある、質問がある、またはガイダ ンスが必要な場合は、毎月第4火曜日に開催される未来のLTIラウンドテーブルディスカッションに参 加することをお勧めします。会議の詳細はIMSイベントカレンダーにあります。

LTIのサポートと非推奨スケジュール

LTI バージョン 最終新規認証日 最終再認証日 販売可能日*
コメント
1.0 Basic Launch 2019年12月31日 2019年12月31日 2020年12月31日 非推奨
1.0.1 Basic Launch with Updated Security 2020年6月30日 2021年6月30日 2022年6月30日  
1.1 Basic Outcomes 2019年12月31日 2019年12月31日 2020年12月31日 非推奨、関連サービス**
1.1.1 Minor update to roles 2019年12月31日 2019年12月31日 2020年12月31日 非推奨
1.1.2 Basic Outcomes with Updated Security 2020年6月30日 2021年6月30日 2022年6月30日  
1.2 Tool Consumer Profile 2019年12月31日 2019年12月31日 2020年12月31日 非推奨
1.3 LTI Advantage Core (現在の LTI 1.3) 継続中 継続中 継続中 推奨 LTI バージョン
2.0 Tool Consumer, Proxy and Auto-Registration 2019年12月31日 2019年12月31日
2020年12月31日
非推奨
           
* 認証および再認証には最低12ヶ月の有効期間があり、したがって認証後最大12ヶ月間有効です。
**
非推奨になっている関連LTIサービス。Deep Linking v1.0、Names and Role Provisioning Service v1.0、Basic Outcomes v1.0。

 

この発表に関する質問がある場合は、IMS Global ltiadvantage@imsglobal.orgにお問い合わせく ださい。

 

原文はこちらをご参照ください。