Habilitar el inicio de sesión único (SSO) compatible con InCommon o eduGAIN
Dropbox es un socio patrocinado de eduGAIN e InCommon, y es compatible con estas normas. En este artículo, se indica cómo habilitar el inicio de sesión único (SSO) compatible con eduGAIN o InCommon en tu cuenta de equipo de Dropbox.
¿Qué son InCommon y eduGAIN?
eduGAIN
eduGAIN es un servicio de interfederación que habilita el intercambio seguro de información de identidad, autenticación y autorización entre las federaciones participantes.
InCommon
InCommon Federation, conocido normalmente como InCommon, es un marco de trabajo para la administración compartida de confianza del acceso a recursos en línea. Es específico del mercado estadounidense.
Se suele confundir a InCommon como un proveedor de identidad. En realidad, InCommon es un protocolo que tu proveedor de identidad puede admitir para mejorar la seguridad y cumplir con la norma de InCommon.
¿Cómo hago para habilitar el inicio de sesión único (SSO) compatible con eduGAIN o InCommon?
Paso 1: Configurar el proveedor de identidad Shibboleth para que cumpla con eduGAIN o InCommon
- Si eres administrador de una cuenta de Dropbox Education, comunícate con los miembros del equipo de tu cuenta y solicita que activen la configuración de atributo obligatorio de eduGAIN o InCommon.
- Recupera los metadatos de eduGAIN o InCommon.
- Configura el filtro de atributos.
- En el caso de los clientes ubicados en los Estados Unidos, Dropbox admite el paquete de atributos fundamentales que recomienda InCommon.
- Dropbox usa la parte de correo electrónico de este paquete para identificar a los usuarios.
- Dropbox también requiere que se presente el Id. transitorio.
- Obtén información acerca de cómo configurar el paquete de atributos fundamentales de InCommon.
- En el archivo attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml), asegúrate de que el valor de la cadena que solicita el atributo sea https://dropbox.com/sp.
- En el caso de los clientes ubicados en los Estados Unidos, Dropbox admite el paquete de atributos fundamentales que recomienda InCommon.
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
afp:PolicyRequirementRule
xsi:type="basic:AttributeRequesterString"
value="https://dropbox.com/sp"/
Paso 2: Preparar la información necesaria
Para configurar el inicio de sesión único (SSO) en la Consola de administración de Dropbox, necesitarás dos datos: la URL de inicio de sesión y el certificado X.509.
La URL de inicio de sesión se puede encontrar en los metadatos de eduGAIN o InCommon, en el IdPSSODescriptor de tu organización, y es similar a este ejemplo:
SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
En este caso, la URL necesaria para Dropbox está debajo, que es también la URL que redirecciona al portal de autenticación.
https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
El certificado X.509 está ubicado en la carpeta de credenciales y generalmente lleva el nombre idp.crt. Una ruta de acceso típica para este certificado es /opt/shibboleth-idp/credentials/idp.crt.
Paso 3: Configurar la consola de administración de Dropbox
- Inicia sesión en dropbox.com con tus credenciales de administrador.
- Abre la Consola de administración.
- Haz clic en Configuración.
- En Autenticación, selecciona Inicio de sesión único.
- Habilita el inicio de sesión único (SSO) en modo opcional u obligatorio. (El modo opcional es para pruebas y el modo obligatorio es para producción).
- Pega la URL de inicio de sesión (obtenida anteriormente en este artículo).
- Carga el certificado X.509 (obtenido anteriormente en este artículo).
- En Formato de Id. de nombre de SAML, selecciona Id. y atributo de correo electrónico transitorios.