Habilitar el inicio de sesión único (SSO) compatible con InCommon o eduGAIN

Dropbox es un socio patrocinado de eduGAIN e InCommon, y respalda estos estándares. Este artículo explica cómo habilitar el inicio de sesión único (SSO) compatible con eduGAIN o InCommon para tu cuenta de equipo de Dropbox.

¿Qué son InCommon y eduGAIN?

eduGAIN

eduGAIN es un servicio de interfederación que permite el intercambio seguro de información de identidad, autenticación y autorización entre las federaciones participantes.

InCommon

InCommon Federation, conocido normalmente como InCommon, es un marco de trabajo para la administración compartida de confianza del acceso a recursos en línea. Es específico del mercado estadounidense.

Se suele confundir a InCommon como un proveedor de identidad. En realidad, InCommon es un protocolo que tu proveedor de identidad puede admitir para mejorar la seguridad y cumplir con la norma de InCommon.
 

¿Cómo hago para habilitar el inicio de sesión único (SSO) compatible con eduGAIN o InCommon?

Paso 1: Configurar el proveedor de identidad Shibboleth para que cumpla con eduGAIN o InCommon

1. Si eres administrador de una cuenta de Dropbox Education, comunícate con los miembros del equipo de tu cuenta y solicita que activen la configuración de atributo obligatorio de eduGAIN o InCommon. 
2. Recupera los metadatos de eduGAIN o InCommon.
   • Busca los metadatos detallados en el sitio web de InCommon.
   • Busca los metadatos indicados en el sitio web de eduGAIN.
3. Configura el filtro de atributos.
   • En el caso de los clientes ubicados en los Estados Unidos, Dropbox admite el paquete de atributos fundamentales que recomienda InCommon.
     • Dropbox usa la parte de correo electrónico de este paquete para identificar a los usuarios.
     • Dropbox también requiere que se presente el Id. transitorio.
   • Obtén información acerca de cómo configurar el paquete de atributos fundamentales de InCommon.
     • En el archivo attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml), asegúrate de que el valor de la cadena que solicita el atributo sea https://dropbox.com/sp.

En este caso, la URL necesaria para Dropbox es la siguiente, que también es la URL que te lleva al portal de autenticación:

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
 

El certificado X.509 está ubicado en la carpeta de credenciales y generalmente lleva el nombre idp.crt. Una ruta de acceso típica para este certificado es /opt/shibboleth-idp/credentials/idp.crt.

Paso 3: Configurar la consola de administración de Dropbox

1. Inicia sesión en dropbox.com con tus credenciales de administrador.
2. Haz clic en la Consola de administración en la barra lateral izquierda.
3. Haz clic en Configuración.
4. En Autenticación, selecciona Inicio de sesión único.
5. En Autenticación, haz clic en el menú desplegable a la derecha de Inicio de sesión único (SSO) y selecciona: 
   • Opcional (para versión de prueba). 
   • Obligatorio (para producción). 
6. Haz clic en Agregar a la derecha de la URL de inicio de sesión del proveedor de identidad, ingresa la URL de inicio de sesión copiada (consulta el paso 2) y luego haz clic en Listo.
7. Haz clic en Agregar a la derecha del certificado X.509y, y luego carga el certificado X.509 (consulta el paso 2).
8. En Formato de Id. de nombre de SAML, selecciona Id. y atributo de correo electrónico transitorios.
9. Haz clic en Save (Guardar).