LTI Uitgelegd: De Sleutel tot Efficiënte Integratie van Leerplatforms

Zonder LTI zou een gebruiker, wanneer hij content uit beide LMS'en wil volgen, twee accounts aan moeten maken en beheren. Nu is het beheren van twee accounts nog wel te overzien, maar wanneer er een derde of vierde LMS bij komt, wordt het al snel een rompslomp. Vier verschillende wachtwoorden (als het goed is ;)) om te beheren en constant uit- en inloggen om te switchen tussen content.

Daarnaast zijn de resultaten die behaald zijn op content bij het ene LMS niet inzichtelijk voor beheerders in het andere LMS. Dit betekent dat de beheerder die de resultaten overziet, óók vier accounts moet hebben en constant moet switchen tussen LMS.

Een van de grootste voordelen van LTI is het centraliseren van je data. Een gebruiker hoeft maar één account te hebben om in te kunnen loggen op meerdere LMS’en. Hierdoor staan de resultaten van alle LMS’en op één platform en hoeft de gebruiker niet uit en in te loggen om een andere cursus te kunnen volgen.

Beveiliging De grootste vernieuwing die LTI 1.3 brengt is de veiligheid van het protocol. Waar voorgaande LTI versies gebruik maakten van het OAuth 1.0 protocol, benut LTI 1.3 het verbeterde OAuth 2.0 protocol. Het voornaamste verschil tussen deze twee is dat OAuth 2.0 communicatie tussen twee LMS’en versleutelt in een token. Om dit te bewerkstelligen dienen beide LMS’en een zogeheten JWKS (JSON Web Key Set) te genereren. Deze JWKS bevat alle publieke keys die gebruikt kunnen worden om alle JSON Web Tokens (JWT) te verifiëren die zijn uitgegeven door de autorisatie server van het LMS.

Hoe kan dit geverifieerd worden? Tijdens het genereren van zo’n public key, wordt er ook een private key gegenereerd die bij deze public key hoort. Deze private key blijft altijd in beheer van het LMS zelf en wordt nooit gedeeld met derden. Wanneer LMS A een JWT verstuurt naar LMS B, dan versleutelt LMS A de JWT met de publieke key van LMS B. Vervolgens kan deze JWT alleen ontsleuteld worden met de private key van LMS B.

Dit zorgt ervoor dat wanneer deze JWT onderschept wordt, hij praktisch nutteloos is. De onderschepper heeft namelijk niet de private key die nodig is om de inhoud te lezen. Dit fenomeen is ook wel bekend als een ‘man in the middle attack’.

Het opslaan en ophalen van resultaten in LTI 1.3 is verbeterd middels de Assignment & Grade Service (AGS). In LTI 1.3 wordt een LMS verplicht om een authenticatie-endpoint beschikbaar te stellen. Na een succesvolle launch kan middels deze endpoint een access token opgehaald worden die gebruikt kan worden voor verdere communicatie met het andere LMS. Vervolgens kan het LMS op basis van de AGS endpoints scores publiceren en ophalen.

De voornaamste reden voor het upgraden is de beveiliging. Tijdens het openen van content middels een LTI-connectie wordt er gebruikersdata verstuurd. Hier staat gevoelige data in (e-mailadres, volledige naam en eventueel profielfoto). LTI 1.2 en de vorige versies maken gebruik van een onveilig protocol. Dit protocol maakt gebruik van een vaste “consumer key” en een vaste “secret”. Ook wordt alle data onversleuteld opgestuurd. Als iemand deze keys verkrijgt, dan kan diegene bij alle LTI content van dat platform. Het nieuwe veiligheidsprotocol zorgt ervoor dat alle communicatie tussen twee platforms versleuteld is.

Het implementeren van LTI in je LMS heeft veel voordelen met betrekking tot het interacteren met andere LMS’en. Het is een veilige manier om je data te versturen en het zorgt ervoor dat gebruikers geen verschillende accounts hoeven te gebruiken. De oudere versies hebben een verouderd en onveilig beveiligingsprotocol, daarom is het belangrijk voor de veiligheid van de gegevens in je LMS om up te graden naar LTI 1.3.