Configuration de l’authentification unique avec un IdP GakuNin
Qu’est-ce que GakuNin ?
L’Academic Access Management Federation au Japon (GakuNin) est une fédération associée au National Institute of Informatics (NII). GakuNin se compose d’universités et d’instituts de recherche qui sont à la fois utilisateurs et fournisseurs de ressources électroniques universitaires. Grâce à une confiance mutuelle dans la politique stipulée par la Fédération, les organisations peuvent activer un système d’accès fédéré entre chacune d’elles.
Activation de l’authentification unique initiée par un IdP GakuNin
Pour activer l’authentification unique initiée par un fournisseur d’identité (IdP) GakuNin, suivez les étapes ci-dessous.
1. Adhérer à GakuNin et eduGAIN
Ces procédures exigent que l’IdP GakuNin adhère à eduGAIN. Si nécessaire, utilisez ce lien pour adhérer à eduGAIN.
Si vous ne pouvez pas adhérer à eduGAIN ou si vous ne participez pas à GakuNin, reportez-vous aux instructions concernant l’authentification unique générale.
2. Activer GakuNin dans Dropbox
Le paramètre pour autoriser les connexions provenant de GakuNin doit être activé dans Dropbox. Pour activer GakuNin pour votre équipe Dropbox, contactez votre responsable relation clients. Les instructions suivantes pour configurer l’interface d’administration Dropbox ne fonctionneront pas si ce paramètre n’a pas été activé.
3. Configurer le filtre d’attribut de l’IdP Shibboleth
Réalisez l’étape ci-dessous pour configurer le filtre afin d’envoyer l’attribut de messagerie depuis l’IdP vers Dropbox.
Ajoutez le code ci-dessous au fichier attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml).
<AttributeFilterPolicy id="PolicyforDROPBOX">
<PolicyRequirementRule xsi:type="Requester"
value="https://dropbox.com/sp"/>
<AttributeRule attributeID="mail">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
</AttributeFilterPolicy>4. Préparer les informations nécessaires
Pour configurer l'authentification unique dans l'interface d'administration de Dropbox, deux éléments sont requis : l'URL de connexion et le certificat X.509.
Utilisez la valeur issue de IdPSSODescriptor dans les métadonnées IdP pour l’URL de connexion. Voir l’exemple ci-dessous.
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://idp.gakunin.nii.ac.jp/idp/profile/SAML2/Redirect/SSO"/>https://idp.gakunin.nii.ac.jp/idp/profile/SAML2/Redirect/SSOLe fichier dans le dossier IdP peut être utilisé pour le certificat X.509. Le chemin d’accès à ce certificat est généralement de type /opt/shibboleth-idp/credentials/server.crt
.
5. Procéder à la configuration dans l’interface d’administration Dropbox
- Connectez-vous à votre compte sur dropbox.com avec vos identifiants d'administrateur.
- Cliquez sur Interface d'administration.
- Cliquez sur Paramètres.
- Sous Authentification, cliquez sur Authentification unique.
- Activez l'authentification unique en mode facultatif ou obligatoire. (Le mode facultatif sert à des fins de test et le mode obligatoire à des fins de production.)
- Collez l'URL de connexion (collectée précédemment).
- Transférez le certificat X.509 (collecté précédemment).
- Sous Format NameID SAML, sélectionnez Identifiant transitoire + attribut e‑mail, puis enregistrez. (Si GakuNin n’est pas activé, cet élément n’est pas affiché).
FAQ
Comment puis-je utiliser ce cadre d’authentification unique avec un compte personnel existant ?
Vous pouvez utiliser l’authentification unique avec Dropbox Advanced, Enterprise et Education. Pour utiliser l’authentification unique avec un compte personnel, vous devrez rejoindre une équipe Dropbox ou Education ayant activé l’authentification unique et devenir membre de l’équipe.
Si vous êtes administrateur d’équipe d’une équipe Dropbox ou Education, vous pouvez activer l’authentification unique pour votre équipe.
Comment puis-je rejoindre une équipe avec un compte personnel ?
L’administrateur de l’équipe invite des comptes personnels à la rejoindre. Un utilisateur disposant d’un compte personnel qui a été invité à rejoindre une équipe dispose des options suivantes :
- Accepter l’invitation telle quelle et rejoindre l’équipe avec tous vos fichiers
- Déplacer vos fichiers personnels vers un autre environnement (un autre compte Dropbox, un autre service cloud, un disque dur, etc.), puis rejoindre l’équipe avec les fichiers que vous souhaitez y transférer
- Remplacer l’adresse e‑mail associée à votre compte personnel par une autre, et rejoindre l’équipe en tant que nouvel utilisateur.
Si j’accepte une invitation à rejoindre une équipe, le contenu de mon compte personnel sera-t-il visible par les autres utilisateurs ?
Le fait de rejoindre une équipe ne rendra pas vos fichiers visibles par les autres utilisateurs. Vous seul conserverez l’accès à vos fichiers et dossiers, tant que vous n’invitez pas d’autres utilisateurs à rejoindre un dossier pour en faire un dossier partagé ou que vous ne placez pas vos fichiers dans un dossier d’équipe géré par l’équipe. Il en va de même pour les fichiers et dossiers sur votre ordinateur. Toutefois, les administrateurs d’équipe ont la possibilité de se connecter en tant qu’utilisateurs au sein de l’équipe et peuvent également consulter les journaux d’opérations.
Découvrez à quels fichiers les membres et les administrateurs de votre équipe ont accès.
Un compte qui a déjà rejoint une autre équipe peut-il être invité ?
Un compte ne peut pas rejoindre plusieurs équipes. Si vous êtes invité par une équipe autre que celle que vous avez déjà rejointe, vous ne pourrez la rejoindre que si vous quittez l’équipe dont vous faites actuellement partie.
