eduGAIN, InCommon und die Konfiguration des einmaligen Anmeldens (kurz SSO) für Dropbox

Dropbox ist ein Sponsored Partner von eduGAIN und InCommon und unterstützt diese Standards. In diesem Artikel wird erklärt, was eduGAIN und InCommon sind und wie Sie das eduGAIN- bzw. InCommon-unterstützte einmalige Anmelden (Single Sign-On, SSO) für Ihr Dropbox Business-Konto aktivieren.

Was sind InCommon und eduGAIN?

eduGain ist ein Interföderationsdienst, der den sicheren Austausch von Identitäts-, Authentifizierungs- und Berechtigungsinformationen zwischen den teilnehmenden Föderationen ermöglicht.

Die InCommon Federation, meist als InCommon abgekürzt, bildet einen Rahmen für das vertrauenswürdige gemeinsame Management des Zugriffs auf Online-Ressourcen. Sie ist auf den US-amerikanischen Markt beschränkt.

InCommon wird oft mit einem Identitätsanbieter (IdP) verwechselt. Tatsächlich ist InCommon ein Protokoll. Es wird möglicherweise von Ihrem Identitätsanbieter unterstützt, damit dieser konkrete Sicherheitsverbesserungen anbieten kann, die dem InCommon-Standard entsprechen.

Bei seiner SSO-Version hat sich Dropbox am Rahmenkonzept sowohl von eduGAIN als auch von InCommon orientiert.

Wie aktiviere ich das unterstützte SSO mit eduGAIN oder InCommon?

Sind Sie Administrator eines Teams, wenden Sie sich an Ihr Dropbox Account-Team. Das Team kann die erforderliche eduGAIN- oder InCommon-Attributeinstellung für Sie aktivieren. Nachdem diese Einstellung aktiviert ist, führen Sie die Schritte in den drei Abschnitten dieses Artikels aus, um die Einrichtung abzuschließen.

Hinweis: Die folgende Anleitung funktioniert nur dann, wenn diese Einstellung vom Kundenteam aktiviert wurde.

Shibboleth IdP eduGAIN- oder InCommon-konform einrichten

  1. Sind Sie Administrator eines Teams, wenden Sie sich an Ihr Dropbox Account-Team. Das Team kann die erforderliche eduGAIN- oder InCommon-Attributeinstellung für Sie aktivieren. 
  2. Rufen Sie die eduGAIN- oder InCommon-Metadaten ab.
  3. Richten Sie den Attributfilter ein.
    • Bei Kunden in den USA akzeptiert Dropbox das von InCommon empfohlene Paket wesentlicher Attribute.
      • Dropbox verwendet den E-Mail-Teil dieses Pakets für die Nutzeridentifizierung
      • Dropbox erfordert auch die Freigabe der temporären ID
    • Erfahren Sie, wie Sie das InCommon-Attributpaket konfigurieren.
      • Vergewissern Sie sich, dass in der Datei attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) der Wert für den Attributanforderer („AttributeRequesterString“) https://dropbox.com/sp lautet.
            afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

Erforderliche Angaben vorbereiten

Für die SSO-Konfiguration in der Verwaltungskonsole von Dropbox brauchen Sie zwei Dinge: die Anmelde-URL und das X.509-Zertifikat.

Die Anmelde-URL finden Sie in den eduGAIN- oder InCommon-Metadaten im IdPSSODescriptor Ihrer Organisation. Sie sieht in etwa wie in diesem Beispiel aus:

            SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" 
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
In diesem Fall ist die für Dropbox benötigte URL die nachstehend aufgeführte. Sie führt gleichzeitig zum Authentifizierungsportal. 
            https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

Das X.509-Zertifikat befindet sich im Ordner „Credentials“ und trägt meist die Bezeichnung idp.crt. Ein typischer Pfad für dieses Zertifikat sieht z. B. so aus: /opt/shibboleth-idp/credentials/idp.crt.

Konfiguration der Dropbox-Verwaltungskonsole

  1. Melden Sie sich als Dropbox Business-Administrator bei dropbox.com an.
  2. Öffnen Sie die Verwaltungskonsole.
  3. Klicken Sie auf Einstellungen.
  4. Klicken Sie unter Authentifizierung auf Einmaliges Anmelden (kurz SSO).
  5. Aktivieren Sie SSO im Modus „Optional“ oder „Erforderlich“. (Optional dient zum Testen, Erforderlich für den Produktionseinsatz.)
  6. Fügen Sie die kopierte Anmelde-URL ein (die Sie anhand der vorherigen Anweisungen in diesem Artikel erfasst haben).
  7. Laden Sie das X.509-Zertifikat hoch (das Sie anhand der vorherigen Anweisungen in diesem Artikel erfasst haben).
  8. Wählen Sie unter SAML-Format der NameID die Option Attribut: Temporäre ID und E-Mail-Adresse aus.
Wie nützlich war dieser Artikel?

Das tut uns leid.
Was können wir verbessern?

Vielen Dank für Ihr Feedback!
Inwieweit hat Ihnen dieser Artikel geholfen?

Vielen Dank für Ihr Feedback!

Antworten der Community
  1. Dropbox-Konto mit der E-Mail-Adresse ... auf den 10. Mai 2023 zurücksetzen
  2. Konto von verstorbenem Partner löschen lassen
  3. Synchronisierung Dokumente auf Android-Smartphone funktioniert nicht richtig
Verwandte Artikel
Verwandte Artikel

Andere Möglichkeiten, Hilfe zu erhalten

Community
Twitter-Support
Support kontaktieren