Schuleigene digitale IDs

Schuleigene digitale IDs

Um schuleigene digitale IDs anbieten zu können, benötigt die Schule ein ganzes System von Identitätsanbietern, die untereinander verbunden sind. Ein Identitätsanbieter ist ein Dienst, der die Identitäten der Benutzenden verwaltet. Hier werden neue Benutzende erzeugt, gesperrt und gelöscht. Dies können ein oder mehrere lokale Server (z.B. AD-Server, LDAP-Server) oder ein oder mehrere Cloud-Dienste sein (z.B. Microsoft Azure AD, Apple School Manager, Gluu Dienst etc.). Die Schule hat es also mehrheitlich mit einem ganzen System von Identitätsanbietern zu tun. Die Identitätsanbieter sind teilweise untereinander synchronisiert.

Typisches ID-System der Schule Musterhausen

Ein typisches ID-System der Schule Musterhausen auf Stufe «Transformation» ist in der folgenden Grafik abgebildet: 
Die Grafik zeigt: Typisches Identitätssystem

Download der Grafik mit CC-Lizenz "BY"

Für das Verständnis und die Diskussion ist es hilfreich, wenn die Schule über eine Skizze ihres IDM-Systems verfügt. Darauf ist dargestellt, welche ID-Dienst wann, wie und was synchronisieren und wo besondere Vorkehrungen bezüglich Sicherheit zu treffen sind.

Synchronisation der IDs

Je nach Schnittstelle werden die Daten in eine Richtung (unidirektional) oder in beide Richtungen (bidirektional) synchronisiert. Eine Schnittstelle unterstützt nicht alle Synchronisations-Funktionen gleich gut. Typische Funktionen, nach denen eine Synchronisation stattfinden muss, sind:

  • Benutzer erstellen
  • Benutzer Eigenschaften ändern
  • Passwort ändern
  • Benutzername ändern
  • Benutzer deaktivieren
  • Benutzer löschen

Falls keine automatisierten Schnittstellen existieren, müssen die Daten einmal jährlich aus der Schulverwaltungsdatenbank exportiert und bei den Identitätsprovidern aktualisiert werden. In vollautomatisierten Identitätssystemen wird jede Änderung automatisch an die verschiedenen Teilsysteme weitergeleitet. Änderungen im Schulverwaltungssystem haben weitreichende Auswirkungen. Deshalb müssen sie mit Sorgfalt vorgenommen werden. Je umfassender das Identitätssystem wird, desto einfacher wird es oft für die Benutzenden, umso komplexer wird jedoch das Gesamtsystem.

Überprüfen der Datenqualität 

Sobald die Daten aus der Schulverwaltung als Stammdaten für die verschiedenen Identitäten verwendet werden, müssen sie eine hohe Qualität aufweisen – ja fehlerlos sein. Normalerweise bedeutet dies, dass die für das Identitätssystem verwendeten Attribute überprüft werden müssen. Dadurch entsteht bei der Einführung digitaler Identitätssysteme für die Schule ein zusätzlicher Aufwand.

Stufengerechte Anmeldung  

Für Schülerinnen und Schüler bis zur 2. Klasse sind personalisierte Logins zu vermeiden, da sie eine hohe Nutzungshürde darstellen.

  • Bei persönlichen Geräten (Single-User-Devices) ist der einfachste Weg zur Authentisierung den Fingerabdruckscanner zu aktivieren und sich mit passwortlosen Verfahren (FIDO2) mit den Cloud-Diensten zu verbinden.
  • Bei geteilten Geräten (Multi-User oder Shared-Devices) muss die Schule entscheiden, wie wichtig die Individualisierung der Geräte (z.B. um Lernstände zu speichern) sind. 
    • Wenn keine Individualisierung notwendig ist, reicht es, das Gerät ohne Login zu benutzen. Wichtig ist dann lediglich, dass die Benutzenden keine weitreichenden Rechte haben.
    • Falls Individualisierung gewünscht ist, können ein Schlüssel-Stick (z.B. Yubikey) oder Fotos/Icons als Login und Symbolen als Passwort zur Verfügung gestellt werden.