Sådan aktiverer du enkeltlogon til Dropbox, der understøttes af eduGAIN eller InCommon
Dropbox er sponsoreret partner af eduGAIN og InCommon og understøtter disse standarder. Denne artikel beskriver, hvordan du aktiverer enkeltlogon understøttet af eduGAIN eller InCommon til din Dropbox-teamkonto.
Hvad er InCommon og eduGAIN?
eduGAIN
eduGAIN er en interføderationstjeneste, der gør det muligt at udveksle identitet, autentificering og autorisation mellem de deltagende føderationer på sikker vis.
InCommon
InCommon Federation, der ofte forkortes InCommon, er en ramme for pålidelig delt administration af adgangen til onlineressourcer. Den er beregnet til brug i USA.
InCommon forveksles ofte med en identitetsudbyder (IdP). InCommon er en protokol, som din internetudbyder kan understøtte for at opnå særlige sikkerhedsforbedringer, der overholder InCommon-standarden.
Hvordan aktiverer jeg enkeltlogon understøttet af eduGAIN eller InCommon?
Trin 1: Sådan konfigureres Shibboleth IdP, så det overholder eduGAIN eller InCommon
- Hvis du er administrator på Dropbox Education, kan du kontakte dit kundeteam og anmode om, at de kører den krævede attributindstilling for eduGAIN eller InCommon.
- Hent metadata til eduGAIN eller InCommon.
- Konfigurer attributfilteret.
- Dropbox accepterer det grundlæggende attributbundt, der anbefales af InCommon, for kunder i USA.
- Dropbox bruger e-maildelen af dette bundt til at identificere brugere
- Dropbox kræver desuden, at det midlertidige id frigives
- Se, hvordan du konfigurerer det grundlæggende attributbundt til InCommon.
- I filen attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) skal du sørge for, at værdien i attributanmodningsstrengen er https://dropbox.com/sp.
- Dropbox accepterer det grundlæggende attributbundt, der anbefales af InCommon, for kunder i USA.
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
afp:PolicyRequirementRule
xsi:type="basic:AttributeRequesterString"
value="https://dropbox.com/sp"/
Trin 2: Hav de nødvendige oplysninger parat
Du skal bruge to oplysninger til at konfigurere SSO i Dropbox' administratorpanel: Webadressen til login og X.509-certifikatet.
Webadressen til login findes i metadataene til eduGAIN eller InCommon under din organisations IdPSSODescriptor og ligner dette eksempel:
SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
I dette tilfælde findes den nødvendige webadresse til Dropbox nedenfor, og det er samtidig også den webadresse, der fører til godkendelsesportalen.
https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
X.509-certifikatet er placeret i mappen med legitimationsoplysninger og hedder normalt idp.crt. En typisk filsti til dette certifikat er /opt/shibboleth-idp/credentials/idp.crt.
Trin 3: Konfigurer Dropbox-administratorpanelet
- Log på dropbox.com med dit Dropbox-administratorlogon.
- Åbn administratorpanelet.
- Klik på Indstillinger.
- Vælg Enkeltlogon under Godkendelse.
- Aktivér SSO i valgfri eller obligatorisk tilstand. (Tilstanden Valgfri bruges til test, og tilstanden Obligatorisk bruges til produktionskørsel).
- Indsæt webadressen til login (indsamlet tidligere i denne artikel).
- Upload X.509-certifikatet (indsamlet tidligere i denne artikel).
- Vælg Midlertidigt id + e-mailtilskrivning under NameID-format i SAML.