SSO、FERPA 与合规:高校对研究 SaaS 的需求
一份用于评估研究 SaaS 平台的 IT 与采购核对清单。涵盖 SSO/SAML、FERPA、SOC 2、数据驻留、HECVAT、无障碍,以及如何开展安全审查。
高校 IT 团队需要满足 SSO、FERPA、SOC 2 和无障碍要求的研究 SaaS。本指南提供了一份实用的评估核对清单,并解释了高等教育领域特有的合规考量。
如果你在大学 IT、信息安全或采购部门工作,你就会知道,采用新软件从来不只是找到研究人员喜欢的工具那么简单。任何接触机构数据的 SaaS 平台,都必须经过一连串安全审查、合规检查和合同谈判。对于以科研为重点的工具——它们可能处理学生作业、未发表数据以及联邦资助项目的产出——要求尤其严格。
对于机构软件而言,单点登录并非可选项。大学通常运行集中式身份系统,任何要求单独用户名和密码的工具都会带来安全风险、增加服务台负担,并造成用户使用阻力。
需要具备的能力 支持 SAML 2.0 —— 高等教育中企业级 SSO 的标准协议 兼容 Shibboleth —— 许多大学使用 Shibboleth 作为其 SAML 身份提供方,尤其是 InCommon 联盟中的学校 集成 Azure AD / Entra ID —— 随着大学迁移到 Microsoft 365,这一需求越来越常见 支持 Okta —— 越来越多机构在使用,尤其是在美国 支持 SCIM 预配 —— 基于目录变更自动创建和停用用户(对于学生毕业或员工离职时管理账户至关重要) 强制执行 MFA —— 平台应遵循机构的 MFA 策略,而不是绕过它们
一些供应商声称“支持 SSO”,但实际上只提供社交登录(Google、GitHub)。这并不是机构级 SSO。请确认供应商支持与你们特定身份提供方对接的 SAML 2.0,并且如果你的机构使用 InCommon,还要确认其已通过 Shibboleth 测试。
Read next
- Explore more on sso
- Explore more on ferpa
- Explore more on 合规
- Explore more on 高校
- Explore more on 采购
- Explore more on 安全
Related articles
Explore PapersFlow
Frequently Asked Questions
- FERPA 是否适用于仅供教师使用的研究工具?
- 这取决于具体情况。FERPA 保护学生教育记录,因此如果该工具仅由教师用于其自身研究(不涉及学生数据),通常不会触发 FERPA。不过,如果学生将该平台作为课程的一部分使用,或者系统中存储了学生姓名、成绩或身份标识符,则 FERPA 适用。许多高校还会将 FERPA 要求广泛应用于所有 SaaS,作为一种风险管理策略,即使其严格适用性尚不明确。
- 什么是 HECVAT,为什么供应商需要完成它?
- HECVAT(高等教育社区供应商评估工具包)是由 EDUCAUSE 和 Internet2 制定的标准化安全问卷。它无需每所高校各自创建问卷,从而为供应商和机构双方节省时间。它有两个版本:HECVAT Lite(适用于低风险工具)和 HECVAT Full(适用于处理敏感数据的工具)。大多数高校采购部门在未收到完整填写的 HECVAT 之前不会继续推进流程。
- 没有 SOC 2 认证的供应商仍然可以获批吗?
- 从技术上讲可以,但会增加显著阻力。没有 SOC 2 的情况下,高校安全团队通常会要求进行更全面的审查——包括详细的架构文档、渗透测试结果,甚至可能进行现场审计。许多高校规定,任何处理机构数据的工具都必须具备 SOC 2 Type II。较小的供应商有时可以使用替代性证明材料(如 ISO 27001、已完成的 CAIQ 或独立安全审计报告),但采购流程通常会更长。