vielen Diensten - die das Land erlaubt, oder auch eurer Nextcloud, wenn ihr wollt?
Wenn dem so ist, dann…
… warum dann nicht die LMN so stricken, dass sie gegen moin.schule authentifiziert?
Man kann natürlich darüber streiten, ob zentral besser als dezentral ist, aber es muss erst mal möglich sein, sonst wird es - wie bisher auch - mangels Transparenz/Vertrauen/Sicherheitsarchitektur die über „Team Fortress BW“ hinausgeht - weiterhin Parallelstrukturen geben.
Ja, klar. Und in x% der Fälle wird auch an Schulen Mist gemacht. Aber das sind meiner Meinung nnach zwei paar Stiefel:
- vertraue ich dem Admin an der Schule / dem Schulträger-IT-Amt / dem:r Schulleiter:in nach entsprechender Unterschrift oder eben nicht
- erlaube ich auch nicht vertrauenswürdigen Institutionen Zugriff auf das IdM.
Letzteres könnte ja auch so aussehen, dass die Schule ihr LMN/Nextcloud/eigenes Moodle/WebUntis/Matrix/whathaveyou so konfigurieren kann, dass es das IdM als read-only Authentifikation nutzt. Da kann man also quasi null kaputt machen: wird das System auf Schulseite kompromittiert, dann ist das kacke, aber da bricht deswegen das IdM nicht zusammen.
Für Schreibzugriff (Änderung des PW, Einspielen von Schülerdaten) und den DAP legt man halt höhere Sicherheitsstandards, braucht man z.B. 2FA oder macht das ausschließlich über deren Schnittstelle.
Wie @nomisge das schon sagt: bloß weil die Schnittstelle nicht offen ist, heißt das nicht, dass (auch großflächig) nicht Teile der Authentifizierungsdaten geklaut werden könnten. Ich denke da an zentral administrierte iPads-Desaster wie in Koblenz, Phishing oder Man-in-the-Middle innerhalb der Schule ist bei den ganzen Octogate-ich-spioniere-mal-deine-SSL-Verbindung-aus-Firewall der PaedMLs auch ganz einfach vorzustellen.
Wäre gespannt, wie moin.schule das löst.