Das eduGAIN- bzw. InCommon-unterstützte einmalige Anmelden (Single Sign-On, SSO) für Dropbox aktivieren
Dropbox ist ein Sponsored Partner von eduGAIN und InCommon und unterstützt diese Standards. In diesem Artikel wird erklärt, wie Sie das eduGAIN- bzw. InCommon-unterstützte einmalige Anmelden (Single Sign-On, SSO) für Ihr Dropbox Team-Konto aktivieren.
Was sind InCommon und eduGAIN?
eduGAIN
eduGain ist ein Interföderationsdienst, der den sicheren Austausch von Identitäts-, Authentifizierungs- und Berechtigungsinformationen zwischen den teilnehmenden Föderationen ermöglicht.
InCommon
Die InCommon Federation, meist als InCommon abgekürzt, bildet einen Rahmen für das vertrauenswürdige gemeinsame Management des Zugriffs auf Online-Ressourcen. Sie ist auf den US-amerikanischen Markt beschränkt.
InCommon wird oft mit einem Identitätsanbieter (IdP) verwechselt. Tatsächlich ist InCommon ein Protokoll. Es wird möglicherweise von Ihrem Identitätsanbieter unterstützt, damit dieser konkrete Sicherheitsverbesserungen anbieten kann, die dem InCommon-Standard entsprechen.
Wie aktiviere ich das unterstützte SSO mit eduGAIN oder InCommon?
Schritt 1: Shibboleth IdP eduGAIN- oder InCommon-konform einrichten
- Sind Sie Administrator eines Teams, wenden Sie sich an Ihr Dropbox Account-Team. Das Team kann die erforderliche eduGAIN- oder InCommon-Attributeinstellung für Sie aktivieren.
- Rufen Sie die eduGAIN- oder InCommon-Metadaten ab.
- Richten Sie den Attributfilter ein.
- Bei Kunden in den USA akzeptiert Dropbox das von InCommon empfohlene Paket wesentlicher Attribute.
- Dropbox verwendet den E-Mail-Teil dieses Pakets für die Nutzeridentifizierung
- Dropbox erfordert auch die Freigabe der temporären ID
- Erfahren Sie, wie Sie das InCommon-Attributpaket konfigurieren.
- Vergewissern Sie sich, dass in der Datei attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) der Wert für den Attributanforderer („AttributeRequesterString“) https://dropbox.com/sp lautet.
- Bei Kunden in den USA akzeptiert Dropbox das von InCommon empfohlene Paket wesentlicher Attribute.
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
afp:PolicyRequirementRule
xsi:type="basic:AttributeRequesterString"
value="https://dropbox.com/sp"/
Schritt 2: Erforderliche Angaben vorbereiten
Für die SSO-Konfiguration in der Verwaltungskonsole von Dropbox brauchen Sie zwei Dinge: die Anmelde-URL und das X.509-Zertifikat.
Die Anmelde-URL finden Sie in den eduGAIN- oder InCommon-Metadaten im IdPSSODescriptor Ihrer Organisation. Sie sieht in etwa wie in diesem Beispiel aus:
SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
In diesem Fall ist die für Dropbox benötigte URL die nachstehend aufgeführte. Sie führt gleichzeitig zum Authentifizierungsportal.
https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
Das X.509-Zertifikat befindet sich im Ordner „Credentials“ und trägt meist die Bezeichnung idp.crt. Ein typischer Pfad für dieses Zertifikat sieht z. B. so aus: /opt/shibboleth-idp/credentials/idp.crt.
Schritt 3: Die Dropbox-Verwaltungskonsole konfigurieren
- Melden Sie sich als Administrator bei dropbox.com an.
- Öffnen Sie die Verwaltungskonsole.
- Klicken Sie auf Einstellungen.
- Klicken Sie unter Authentifizierung auf Einmaliges Anmelden (kurz SSO).
- Aktivieren Sie SSO im Modus „Optional“ oder „Erforderlich“. (Optional dient zum Testen, Erforderlich für den Produktionseinsatz.)
- Fügen Sie die kopierte Anmelde-URL ein (die Sie anhand der vorherigen Anweisungen in diesem Artikel erfasst haben).
- Laden Sie das X.509-Zertifikat hoch (das Sie anhand der vorherigen Anweisungen in diesem Artikel erfasst haben).
- Wählen Sie unter SAML-Format der NameID die Option Attribut: Temporäre ID und E-Mail-Adresse aus.