Configurar el inicio de sesión único con proveedores de administración de identidades de GakuNin
¿Qué es GakuNin?
La Federación de Administración de Acceso Académico de Japón (GakuNin) es una federación asociada al Instituto Nacional de Informática (NII). GakuNin está formada por universidades e institutos de investigación que utilizan recursos electrónicos académicos y proveedores de dichos recursos electrónicos. A través de la política de confianza recíproca estipulada por la Federación, las organizaciones pueden habilitar el acceso federado entre todas ellas.
Habilitar el SSO iniciado por proveedores de administración de identidades de GakuNin
Para habilitar el SSO iniciado por proveedores de administración de identidades de GakuNin, sigue los pasos a continuación.
1. Únete a GakuNin y eduGAIN
Estos procedimientos requieren que el proveedor de administración de identidades de GakuNin se una a eduGAIN. Si es necesario, consulta este vínculo para unirte a eduGAIN.
Si no puedes unirte a eduGAIN o no formas parte de GakuNin, ingresa al vínculo con los procedimientos para el SSO general.
2. Habilita GakuNin en Dropbox
La configuración para permitir vínculos desde GakuNin debe estar habilitada en Dropbox. Para habilitar GakuNin en tu equipo de Dropbox, comunícate con tu gerente de éxito del cliente. Las siguientes instrucciones para configurar la consola de administración de Dropbox no funcionarán, a menos que se haya habilitado esta configuración.
3. Configura el filtro de atributos del proveedor de identidad Shibboleth
Completa el paso a continuación para configurar el filtro y enviar el atributo de correo desde el proveedor de identidad a Dropbox.
Agrega el siguiente código al archivo attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) .
<AttributeFilterPolicy id="PolicyforDROPBOX">
<PolicyRequirementRule xsi:type="Requester"
value="https://dropbox.com/sp"/>
<AttributeRule attributeID="mail">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
</AttributeFilterPolicy>4. Prepara la información necesaria
Para configurar el inicio de sesión único (SSO) en la Consola de administración de Dropbox, necesitarás dos datos: la URL de inicio de sesión y el certificado X.509.
Utiliza el valor de IdPSSODescriptor en los metadatos del proveedor de identidad para la URL de inicio de sesión, como se muestra en el siguiente ejemplo.
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://idp.gakunin.nii.ac.jp/idp/profile/SAML2/Redirect/SSO"/>https://idp.gakunin.nii.ac.jp/idp/profile/SAML2/Redirect/SSOEl archivo de la carpeta del proveedor de identidad se puede utilizar para el certificado X.509. Una ruta de archivo típica para este certificado es /opt/shibboleth-idp/credentials/server.crt
5. Configura la consola de administración de Dropbox
- Inicia sesión en dropbox.com con tus credenciales de administrador.
- Haz clic en la Consola de administración.
- Haz clic en Configuración.
- En Autenticación, selecciona Inicio de sesión único.
- Habilita el inicio de sesión único (SSO) en modo opcional u obligatorio. (El modo opcional es para pruebas y el modo obligatorio es para producción).
- Pega la URL de inicio de sesión (obtenida anteriormente en este artículo).
- Carga el certificado X.509 (obtenido anteriormente en este artículo).
- En Formato de Id. de nombre de SAML, selecciona Id. y atributo de correo electrónico transitorios y guarda los cambios (si GakuNin no está habilitado, este elemento no se muestra).
Preguntas frecuentes
¿Cómo puedo utilizar este marco de SSO con una cuenta personal existente?
El SSO se puede utilizar con Dropbox Advanced, Enterprise y Education. Para usar el SSO con una cuenta personal, debes unirte a un equipo de Dropbox o de Education con el SSO habilitado y convertirte en miembro del equipo.
Si eres administrador de un equipo de Dropbox o de Educación, puedes habilitar el inicio de sesión único para tu equipo.
¿Cómo me uno a un equipo con una cuenta personal?
El administrador del equipo puede invitar a cuentas personales a unirse. Un usuario con una cuenta personal que recibió la invitación para unirse a un equipo tiene las siguientes opciones:
- Aceptar la invitación tal como está y unirse al equipo con todos los archivos.
- Mover archivos personales a otro espacio (otra cuenta de Dropbox, otro servicio en la nube, disco duro, etc.) y unirse al equipo con los archivos que desee.
- Cambiar la dirección de correo electrónico de su cuenta personal a otra diferente y unirse al equipo como nuevo usuario.
Si acepto una invitación a un equipo, ¿otros usuarios pueden ver el contenido de mi cuenta personal?
Otros usuarios no pueden ver tus archivos simplemente porque te unas a un equipo. Solo tú puedes acceder a tus archivos y carpetas, a menos que invites a otros usuarios a una carpeta y la configures para su uso compartido o muevas tus archivos a una carpeta del equipo administrada por el equipo. Lo mismo ocurre con los archivos y carpetas de tu computadora. Sin embargo, los administradores de equipos tienen la capacidad de acceder como usuarios dentro del equipo y también pueden ver los registros de operaciones.
¿Se puede invitar a una cuenta que ya se unió a otro equipo?
Las cuentas no pueden unirse a varios equipos. Si te invita un equipo distinto al que ya te uniste, no puedes unirte, a menos que abandones el equipo en el que estás.
