Die technischen Updates der zugrunde liegenden Architektur und der Sicherheitsfunktionen sind nachfolgend aufgeführt:
Technische Updates
Konfiguration der lokalen Anmeldung für die REST-API
Übersicht: Ein neuer dateibasierter Konfigurationsparameter in der Datei application.properties ermöglicht es, die Basisauthentifizierung (Benutzername und Kennwort) für REST-API-Aufrufe zu deaktivieren. Bisher war dies nicht möglich, selbst wenn die Anwendung selbst keine Anmeldung per Basisauthentifizierung zuließ.
Vorteile und Anwendungsfälle: Die Deaktivierung der Basisauthentifizierung für die REST-API verbessert die Sicherheit erheblich. Im Falle eines Ausfalls des Single-Sign-On (SSO) kann die lokale Anmeldung wieder aktiviert werden, auch wenn die lokale Authentifizierung auf der Anmeldeseite deaktiviert ist.
Zielgruppe: Technische Administratoren
Einrichtung und Zugriff: Der neue Parameter kann zur Datei application.properties hinzugefügt werden. Falls er fehlt, wird er standardmäßig auf false gesetzt. Systemadministratoren können diese Datei über die Funktion Support-Informationen einsehen, indem sie das Menü 110: Konfigurationsdateien wählen und auf das Icon Ausführen klicken, um das Paket herunterzuladen. In der Datei ist nun der folgende Parameter möglich:
ils.local.login.forbidden=
-
false= die Basisauthentifizierung kann verwendet werden -
true= die Basisauthentifizierung kann nicht verwendet werden
Anmerkungen und Einschränkungen: Dies betrifft ausschließlich Kunden, die die REST-API-Funktionalität nutzen. Jede Änderung an der Datei application.properties erfordert zudem einen Neustart des Anwendungsservers; daher muss das Scheer IMC Hosting-Team die Änderung für gehostete Kunden vornehmen. Wenn Sie den neuen Parameter auf true setzen möchten, erstellen Sie bitte ein Ticket beim Scheer IMC Support-Team.
Test: Wenn die Konfiguration auf ils.local.login.forbidden=true geändert wird, können Sie dies testen, indem Sie versuchen, einen REST-API-Aufruf durchzuführen, der sich über die Basic-Authentifizierung authentifiziert. Diese Anfrage wird fehlschlagen.
Risikobewertung: Niedrig
Updates zum API-Support
Übersicht: Die Unterstützung der REST-API wurde erweitert, um den Anforderungen bei der Nutzung der imc Learning Suite in Headless-Szenarien gerecht zu werden. Folgende Aktionen können nun über REST-API-Aufrufe ausgeführt werden:
-
Verwendung externer IDs für POST-, PUT-, GET- und ASSIGN-API-Anfragen
-
API-Endpunkte für die Themen POST, PUT, DELETE und ASSIGN (Klassifikationen)
-
Erweiterte Kurs-API zum Suchen und Filtern von Kursen anhand von Metatags
-
API-Endpunkte zum Senden von POST-, PUT- und DELETE-Anfragen für Gruppen- und Mitgliedschaftszuweisungen, einschließlich benutzerdefinierter Attribute
-
Erweiterung der API zur Erstellung von Inhalten, um die Erstellung mehrsprachiger Inhalte zu ermöglichen
-
Verwendung des vorhandenen Link-Medientyps, der auch den Brightcove-Player und die Token-Authentifizierung bei der Anzeige von Inhalten umfasst
Vorteile und Anwendungsfälle: Die erweiterte REST-API-Unterstützung ist ideal für Kunden, die Headless-Szenarien in ihrem LMS nutzen. Diese Updates tragen dazu bei, die Lücke zwischen den Funktionalitäten der Administrationsoberfläche (Backend-GUI) und den API-Funktionalitäten zu schließen.
Zielgruppe: Technische Administratoren
Einrichtung und Zugriff: Die neuen Updates der REST-API sind mit diesem Patch automatisch verfügbar.
Hinweise und Einschränkungen: Einzelheiten zu allen Aktualisierungen finden Sie in der Standard-Swagger-API-Dokumentation; weitere Informationen zu neuen APIs finden Sie in den entsprechenden Kategorien. Das Team der Technical Services von Scheer IMC bietet Kunden, die Unterstützung bei der REST-API benötigen, kostenpflichtigen Second-Level-Support an.
Test: Aufgrund der Vielzahl der Updates und ihrer technischen Natur sind derzeit keine Testfälle verfügbar. Die Swagger-Dokumentation wird sukzessive um entsprechende Beispiele für jedes neue API-Update ergänzt.
Risikobewertung: Mittel
Sicherheitsbefunde (Sonstiges)
Übersicht: Das Innovation Pack 28 enthält keine wesentlichen Sicherheitskorrekturen oder -verbesserungen, die sich auf die bestehenden Funktionen auswirken.