Activation d’une authentification unique pour Dropbox compatible avec eduGAIN ou InCommon

Mis à jour Sep 25, 2023

Dropbox est un partenaire sponsorisé d’eduGAIN et d’InCommon, et respecte ces normes. Cet article explique comment activer l’authentification unique prise en charge par eduGAIN ou InCommon dans le compte de votre équipe Dropbox.

Qu'est-ce qu'InCommon et eduGAIN ?

eduGAIN

eduGAIN est un service d’interconnexion qui permet l’échange sécurisé d’informations d’identité, d’authentification et d’autorisation entre fédérations participantes.

InCommon

InCommon Federation (souvent appelé InCommon) est un cadre de gestion partagée, au sein d'un cercle de confiance, de l'accès aux ressources en ligne. Ce cadre concerne spécifiquement le marché des États-Unis.

InCommon est souvent considéré à tort comme un fournisseur d’identité. Il s’agit en fait d’un protocole que votre fournisseur d’identité peut accepter afin d’offrir des améliorations de sécurité spécifiques et respecter ainsi la norme InCommon.
 

Comment configurer l'authentification unique pour qu'elle respecte les normes eduGAIN ou InCommon ?

Étape 1 : configuration du fournisseur d’identité Shibboleth afin de respecter la norme eduGAIN ou InCommon

  1. Si vous êtes administrateur Dropbox Education, contactez l'équipe chargée de votre compte pour lui demander d'activer le paramètre d'attribut eduGAIN ou InCommon requis. 
  2. Récupérez les métadonnées eduGAIN ou InCommon.
  3. Configurez le filtre d'attributs.
    • Pour les clients installés aux États-Unis, Dropbox accepte l'ensemble minimum d'attributs (Essential Attribute Bundle) recommandé par InCommon.
      • Dropbox utilise la section "email" de ce pack pour identifier les utilisateurs.
      • Dropbox requiert également la libération de l'identifiant aléatoire (transient ID).
    • Découvrez comment configurer l'ensemble minimum d'attributs InCommon.
      • Dans le fichier “attribute-filter.xml” (/opt/shibboleth-idp/conf/attribute-filter.xml), assurez-vous que la valeur de la chaîne de demande d'attributs (AttributeRequesterString) indique https://dropbox.com/sp.
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule 
xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

Étape 2 : préparation des informations requises

Pour configurer l'authentification unique dans l'interface d'administration de Dropbox, deux éléments sont requis : l'URL de connexion et le certificat X.509.

L'URL de connexion se trouve dans les métadonnées eduGAIN ou InCommon sous l'élément "IdPSSODescriptor" de votre organisation. En voici un exemple :

SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/

Dans ce cas, l'URL requise pour Dropbox (qui est également l'URL permettant d'accéder au portail d'authentification) est la suivante :

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
 

Le certificat X.509, souvent appelé idp.crt, se trouve dans le dossier des identifiants. Le chemin d’accès à ce certificat est généralement un chemin de type : /opt/shibboleth-idp/credentials/idp.crt.

Étape 3 : configuration de l’interface d’administration de Dropbox

  1. Connectez-vous à votre compte sur dropbox.com avec vos identifiants d’administrateur Dropbox.
  2. Ouvrez l'interface d'administration.
  3. Cliquez sur Paramètres.
  4. Sous Authentification, cliquez sur Authentification unique.
  5. Activez l'authentification unique en mode facultatif ou obligatoire. (Le mode facultatif sert à des fins de test et le mode obligatoire à des fins de production.)
  6. Collez l'URL de connexion (collectée précédemment).
  7. Transférez le certificat X.509 (collecté précédemment).
  8. Sous Format NameID SAML, sélectionnez Identifiant transitoire + attribut E-mail.
Cet article vous a-t-il été utile ?

Let us know how why it didn't help:

Thanks for letting us know!

Merci d'avoir donné votre avis !

Autres options pour obtenir de l'aide