Habilitar el inicio de sesión único (SSO) compatible con InCommon o eduGAIN

Actualizada Feb 04, 2025

La información que contiene este artículo se aplica a los administradores de Dropbox Standard, Business, Advanced, Business Plus y Enterprise.

Dropbox es un socio patrocinado de eduGAIN e InCommon, y respalda estos estándares. Este artículo explica cómo habilitar el inicio de sesión único (SSO) compatible con eduGAIN o InCommon para tu cuenta de equipo de Dropbox.

¿Qué son InCommon y eduGAIN?

eduGAIN

eduGAIN es un servicio de interfederación que habilita el intercambio seguro de información de identidad, autenticación y autorización entre las federaciones participantes.

InCommon

InCommon Federation, conocido normalmente como InCommon, es un marco de trabajo para la administración compartida de confianza del acceso a recursos en línea. Es específico del mercado estadounidense.

Se suele confundir a InCommon como un proveedor de identidad. En realidad, InCommon es un protocolo que tu proveedor de identidad puede admitir para mejorar la seguridad y cumplir con la norma de InCommon.

¿Cómo hago para habilitar el inicio de sesión único (SSO) compatible con eduGAIN o InCommon?

Paso 1: Configurar el proveedor de identidad Shibboleth para que cumpla con eduGAIN o InCommon

Si eres administrador de una cuenta de Dropbox Education, comunícate con los miembros del equipo de tu cuenta y solicita que activen la configuración de atributo obligatorio de eduGAIN o InCommon.
Recupera los metadatos de eduGAIN o InCommon.
- Busca los metadatos detallados en el sitio web de InCommon.
- Busca los metadatos indicados en el sitio web de eduGAIN.
Configura el filtro de atributos.
- En el caso de los clientes ubicados en los Estados Unidos, Dropbox admite el paquete de atributos fundamentales que recomienda InCommon.
  - Dropbox usa la parte de correo electrónico de este paquete para identificar a los usuarios.
  - Dropbox también requiere que se presente el Id. transitorio.
- Obtén información acerca de cómo configurar el paquete de atributos fundamentales de InCommon.
  - En el archivo attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml), asegúrate de que el valor de la cadena que solicita el atributo sea https://dropbox.com/sp.

afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule 
xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

Paso 2: Preparar la información necesaria

Para configurar el inicio de sesión único (SSO) en la Consola de administración de Dropbox, necesitarás dos datos: la URL de inicio de sesión y el certificado X.509.

La URL de inicio de sesión se puede encontrar en los metadatos de eduGAIN o InCommon, en el IdPSSODescriptor de tu organización, y es similar a este ejemplo:

SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/

En este caso, la URL necesaria para Dropbox está debajo, que es también la URL que redirecciona al portal de autenticación.

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

El certificado X.509 está ubicado en la carpeta de credenciales y generalmente lleva el nombre idp.crt. Una ruta de acceso típica para este certificado es /opt/shibboleth-idp/credentials/idp.crt.

Paso 3: Configurar la consola de administración de Dropbox

Inicia sesión en dropbox.com con tus credenciales de administrador.
Abre la Consola de administración.
Haz clic en Configuración.
En Autenticación, selecciona Inicio de sesión único.
Habilita el inicio de sesión único (SSO) en modo opcional u obligatorio. (El modo opcional es para pruebas y el modo obligatorio es para producción).
Pega la URL de inicio de sesión (obtenida anteriormente en este artículo).
Carga el certificado X.509 (obtenido anteriormente en este artículo).
En Formato de Id. de nombre de SAML, selecciona Id. y atributo de correo electrónico transitorios.