Інтеграція SSO з mConnect

Правильне інвестування в системи управління навчанням та супутні інструменти зараз важливіше, ніж будь-коли, оскільки дистанційне навчання стає все більш регулярним. Додаток mConnect поєднує спільні аспекти Microsoft Teams з можливостями Moodle, щоб покращити стратегії онлайн-навчання вашого навчального закладу.

Moodle — це безкоштовна платформа з відкритим вихідним кодом для організації онлайн-навчання (LMS, Learning Management System). Вона дозволяє створювати, керувати та проводити навчальні курси в інтернеті. Основні особливості:

• Функціонал: Створення курсів, тестів, форумів, завдань, можливість завантаження матеріалів (відео, документи), оцінка студентів.
• Гнучкість: Підходить для шкіл, університетів, компаній. Підтримує налаштування та інтеграцію з іншими системами.
• Доступність: Безкоштовна, але потрібен сервер для встановлення (або хмарний хостинг). Є мобільний додаток.
• Спільнота: Велика спільнота розробників, багато плагінів для розширення функцій.

Moodle популярна завдяки своїй універсальності та можливості адаптувати її під різні освітні потреби.

Тож давайте розглянемо, як ефективна стратегія SSO може ще більше покращити функції mConnect, які сприяють позитивному досвіду дистанційного навчання та викладання. Існує багато різних варіантів SSO, які можна використовувати. Але два основні варіанти – це SAML та OpenID Connect.

Що таке єдиний вхід (SSO)?

Єдиний вхід, також відомий як SSO, – це поширений метод автентифікації, який використовується багатьма організаціями та федераціями як частина їхньої стратегії управління ідентифікацією користувачів та авторизацією для своїх онлайн-сервісів або платформ.

Автентифікація — це процес перевірки особи користувача, зазвичай це включає введення облікових даних для входу, таких як ім’я користувача та пароль.

SSO дозволяє користувачам вводити єдиний набір облікових даних для входу, щоб отримати доступ до кількох служб або програм.

Зрештою, єдиний вхід створює безперебійний досвід для користувача, оскільки він може використовувати кілька сервісів без необхідності створювати окремі ідентифікатори та вводити облікові дані для кожного сервісу чи платформи. mConnect використовує SSO таким самим чином, надаючи користувачам доступ до програм та ресурсів як з Microsoft Teams, так і з Moodle за допомогою одного входу. Деякі приклади великих організацій, які використовують єдиний вхід, включають Google, Apple та Facebook. Оскільки SSO використовує один пароль для відкриття кількох облікових записів та сервісів, багато фахівців з кібербезпеки рекомендують використовувати SSO як частину стратегії, яка також включає MFA (багатофакторну автентифікацію).

5 переваг інтеграції SSO з mConnect.

Використання єдиного входу (SSO) з застосунком mConnect має багато переваг, які допоможуть ще більше покращити досвід студентів та вчителів під час дистанційного навчання та викладання.

• Один пароль: Багатьом людям важко керувати паролями та запам’ятовувати їх для кількох різних облікових записів і платформ. Відсутність необхідності запам’ятовувати так багато паролів знімає цей тиск і, як наслідок, покращує взаємодію користувачів із навчальними інструментами та програмами.
• Економія часу: Часте введення облікових даних для входу щоразу, коли студенти та викладачі змінюють платформи чи програми для доступу до різних ресурсів, зменшує час навчання. Оскільки потрібно входити в систему лише один раз на початку кожного сеансу, користувачі можуть пришвидшити перехід між ресурсами та навчальними інструментами.
• Плавність уроку: Повторна необхідність повторного введення облікових даних під час уроку може перешкодити учням усвідомлено перейти до навчального процесу. Оптимізація доступу між інтерфейсами Moodle та Microsoft Teams покращує загальний досвід користувача, оскільки сприяє плавності доступу до інформації та ресурсів через платформи.
• Зменшує навантаження на ІТ-підтримку: Кілька паролів частіше забуваються, що призводить до їх скидання. Оскільки один пароль рідше забувають, кількість дзвінків до служб ІТ-підтримки та компаній щодо паролів зменшується.
• Зменшує ризики безпеки: Використання SSO як частини стратегії з багатофакторною автентифікацією покращує захист ідентифікаційних даних, оскільки зменшує кількість точок входу, які можуть бути зламані. Крім того, ефективні рішення SSO можуть дозволити учням та викладачам використовувати свої облікові дані для входу з різних пристроїв та віртуальних приватних мереж (VPN) з меншим ризиком для безпеки.

Порівняння OpenID та SAML

OpenID: Аутентифікація OpenID – це служба на базі Microsoft, яка дозволяє використовувати ваші облікові дані Azure Active Directory для входу в Moodle вашої організації. Коли ваша установа схвалить певні привілеї, використання цієї служби забезпечить безперешкодний доступ до всього набору функцій Office 365. Цей метод автентифікації є частиною набору плагінів для Moodle, який покращує співпрацю між Moodle та вашим Microsoft Office 365 за допомогою таких функцій, як блокування миттєвого доступу до інших служб Microsoft, таких як Teams або Onedrive, репозиторій для доступу до Onedrive/Sharepoint для завантажень у Moodle, фільтр, який автоматично конвертує гіперпосилання з вбудованою версією, та локальний плагін, який містить конфігурацію для їхнього об’єднання.

Потрібен Azure AD

Забезпечує безперешкодний доступ до набору функцій Office 365.

Постачається як плагін, встановлений на Moodle; включає блокування, метод автентифікації, репозиторій для доступу до Onedrive/Sharepoint, фільтр, який автоматично конвертує гіперпосилання з вбудованою версією, та локальний плагін, який об’єднує їх усі.

SAML: Метод автентифікації SAML2 дозволяє користувачам безперешкодно отримувати доступ до своїх федеративних ресурсів без необхідності кожного разу входити в систему. Один вхід дозволяє вільно переміщатися між вашими федеративними ресурсами та зменшує кількість повторних входів. Крім того, цей метод також дозволяє пов’язувати кількох постачальників ідентифікаційних даних, отримуючи кілька точок доступу до одного джерела. Це корисна функція, якщо ви є навчальним закладом або великою академією з кількома установами, які отримують доступ до одного сайту з різних активних каталогів.

Метод автентифікації SAML2 дозволяє підтримувати низку різних постачальників SSO, таких як Azure, ADFS, Shibboleth та багато інших. SAML не обмежує, які постачальники SSO можуть його використовувати! Якщо вам все ще потрібно використовувати інтеграцію Office 365 з Moodle, але ви хочете зберегти переваги, перелічені вище, набір Office 365 не вимагає автентифікації за допомогою OpenID connect. Ви все ще можете користуватися всіма перевагами набору плагінів Office 365, за умови, що ваші облікові записи правильно синхронізовані в Moodle після автентифікації.

Забезпечує безперешкодний доступ до федеративних ресурсів поза Moodle.

Можна пов’язати кількох постачальників ідентифікаційних даних.

Можна використовувати з Azure, ADFS та Shibboleth, а також багатьма іншими постачальниками SSO.

Ви все ще можете використовувати інтеграцію Office 365 у Moodle без необхідності автентифікації за допомогою OpenID Connect.

OpenID та SAML – це лише два приклади з багатьох існуючих методів автентифікації. За потреби доступно багато інших варіантів єдиного входу (SSO)!

Приклад – чому для клієнтів Overt було важливо використовувати SAML?

Більшість спільноти Overt Software є членами Федерації управління доступом Великої Британії (UK Access Management Federation), яка об’єднує постачальників послуг та ідентифікаційних даних з усієї Великої Британії. Ці постачальники працюють разом, щоб забезпечити єдиний вхід (SSO) для сотень сервісів у межах федерації, та використовують SAML для забезпечення легкого доступу між її членами. Багато клієнтів використовують постачальників ідентифікаційних даних SAML, таких як Shibboleth, Azure та ADFS, для автентифікації у своїх онлайн-ресурсах. Ці ресурси включають такі сервіси, як електронні книги, інструменти онлайн-бронювання, системи управління навчанням та багато іншого.

Як результат, для клієнтів важливо мати можливість інтегрувати своїх постачальників ідентифікаційних даних Shibboleth/SAML із застосунком mConnect, щоб вони могли зберігати єдиний вхід (SSO) між своїми вже існуючими ресурсами Федерації Великої Британії та mConnect. Використання SAML дозволяє користувачам  легко отримувати доступ до mConnect зі своїх існуючих ресурсів федерації без необхідності повторної автентифікації. Ще однією перевагою використання єдиної системи входу, такої як постачальник ідентифікаційних даних SAML, є те, що користувачам не потрібно запам’ятовувати кілька різних облікових даних для кількох сервісів. Використовуючи постачальника ідентифікації Shibboleth / SAML, користувачеві потрібно використовувати лише одне ім’я користувача та пароль для доступу до всіх своїх ресурсів.

Багато користувачів також обрали налаштування безшовного єдиного входу (SSO), яке забезпечує автоматичний вхід для користувачів, підключених до домену їхнього закладу. У закладах з такою конфігурацією користувачам на місці ніколи не потрібно вводити свої дані для входу після входу на свої комп’ютери, що забезпечує безперешкодний доступ до всіх їхніх ресурсів, підключених через SAML, таких як mConnect. Це створює безперебійний та зручний досвід як для студентів, так і для викладачів! Звільняється час для зосередження на навчанні та викладанні.

Хоча OpenID, безумовно, має свої переваги, клієнтам було б краще використовувати SAML для забезпечення єдиного входу. Якби вони вирішили використовувати OpenID замість SAML, то користувачам довелося б входити як у Shibboleth, щоб отримати доступ до своїх ресурсів Федерації Великої Британії, так і в Azure AD, щоб отримати доступ до mConnect та своїх ресурсів OpenID.

Впровадження Shibboleth/SAML

Під час інтеграції Shibboleth з mConnect для клієнтів, Overt зіткнувся з невеликою перешкодою, пов’язаною з суворим набором політик безпеки контенту Shibboleth.

Що таке політика безпеки контенту (CSP)?

CSP (постачальник послуг контенту) – це набір правил у заголовках браузера, який додає додатковий рівень безпеки до веб-сайту для захисту та пом’якшення різних типів атак. Типи атак, від яких він захищає, включають міжсайтовий скриптинг, перехоплення пакетів та інші атаки з впровадженням коду. Компанії використовують багато політик безпеки контенту для захисту веб-сайтів та Shibboleth від цих атак. Це чудова функція, яку підтримують веб-браузери, що дозволяє користувачам бути в безпеці під час входу через Shibboleth.

Ускладнення: Проблема, з якою Overt зіткнувся під час впровадження Shibboleth з mConnect, полягала в певному правилі в суворому наборі CSP Shibboleth, яке обмежує відображення Shibboleth в iFrames на доменах, яким не довіряють. (iFrame – це вікно, яке відображає документи ресурсів всередині програми або веб-сторінки.) Це обмеження є позитивним, оскільки воно означає, що доступ до Shibboleth можна отримати лише безпосередньо через довірений домен, і, як наслідок, запобігає завантаженню Shibboleth ненадійними сторонніми веб-сайтами та виконанню міжсайтового скриптингу, такого як реєстрація ключів, проти користувачів, які намагаються ввійти. Проблема полягала в тому, що, хоча Microsoft Teams є широко довіреним та безпечним веб-сайтом, Shibboleth не міг завантажитися як iFrame через цю політику.

Оскільки політика безпеки контенту є політикою типу «всеохоплююча», вона не враховує веб-сайти, які дійсно є безпечними та мають процедури для запобігання запуску шкідливих скриптів на них. Саме це відбувалося з веб-сайтом Microsoft Teams, який має цілий ряд заходів безпеки для забезпечення захисту свого веб-сайту та користувачів, проте він все ще не міг завантажити Shibboleth в iFrame.

Вирішення: Вирішення цієї проблеми є надзвичайно простим, оскільки в політиці безпеки контенту є опція, яка дозволяє довіреним веб-сайтам завантажувати Shibboleth в iFrame. Вирішення цієї проблеми включає додавання Microsoft Teams до довірених доменів у CSP. Це виправлення дозволяє Microsoft Teams відображати Shibboleth в iFrame у своїй програмі. Ви можете побачити розгортання цього виправлення у відео нижче. Також нижче ми додали два рядки конфігурації (і додаткові рядки коментарів), які вам потрібно буде додати до файлу idp.properties.

Про mConnect

mConnect — це рішення від компанії Skooler, яке забезпечує інтеграцію платформи Moodle з Microsoft Teams, створюючи єдине середовище для навчання та співпраці. Ось основні аспекти цього рішення:

• Інтеграція Moodle і Teams: mConnect дозволяє працювати з курсами Moodle безпосередньо в інтерфейсі Microsoft Teams. Ви можете отримувати доступ до курсів, завдань, тем, календарів та інших матеріалів Moodle через канали Teams. Це спрощує взаємодію, оскільки користувачам не потрібно перемикатися між платформами.
• Співпраця: Teams додає інструменти для спільної роботи — чати, спільні файли, онлайн-зустрічі, а також доступ до тисяч сторонніх додатків для Teams.
• Продуктивність: Інтеграція з Microsoft 365 забезпечує роботу з Word, PowerPoint, Excel у хмарі чи на десктопі.
• Автоматизація для адміністраторів: mConnect дозволяє адміністраторам Moodle автоматично створювати команди в Teams для кожного курсу Moodle. Це дає змогу одразу використовувати всі функції Teams для кожного курсу. Також підтримується синхронізація учасників: списки студентів з Moodle автоматично оновлюються в Teams (у платній версії — у реальному часі).
• Кастомізація: Викладачі можуть створювати навчальні вкладки для кожного класу, а адміністратори — налаштовувати права доступу та створювати команди масово.
• Шаблони: mConnect пропонує готові шаблони для створення команд на основі структури курсів.
• Безпека та конфіденційність: Skooler, розробник mConnect, базується в Норвегії та зберігає дані в локальних центрах Azure, що відповідає вимогам GDPR. У платній версії (mConnect+) можна налаштувати зберігання даних у локальному Azure замість стандартного регіону США.

Безкоштовна версія mConnect має базові функції, наприклад, синхронізація учасників відбувається раз на тиждень (щопонеділка).

Платна версія (mConnect+) додає розширені можливості: динамічне оновлення списків учасників, кастомізовані ролі, детальніші налаштування прав у Azure. Придбати платну версію можна у дистриб’ютора – компанії Ідеалсофт (Idealsoft).