Configuration de l'authentification unique Dropbox pour respecter les normes eduGAIN ou InCommon

Dropbox est un partenaire sponsorisé d'eduGAIN et d'InCommon, et respecte ces normes. Cet article explique comment configurer l'authentification unique dans votre compte Dropbox Business pour qu'elle soit compatible avec ces normes.

Qu'est-ce qu'InCommon et eduGAIN ?

eduGain est un service d'interconnexion qui permet l'échange sécurisé d'informations d'identité, d'authentification et d'autorisation entre fédérations participantes.

InCommon Federation (souvent appelé InCommon) est un cadre de gestion partagée, au sein d'un cercle de confiance, de l'accès aux ressources en ligne. Ce cadre concerne spécifiquement le marché des États-Unis.

InCommon est souvent considéré à tort comme un fournisseur d'identité (IdP). Il s'agit en fait d'un protocole que votre IdP peut accepter afin d'offrir des améliorations de sécurité spécifiques et respecter ainsi la norme InCommon.

La version d'authentification unique de Dropbox respecte les cadres eduGAIN et InCommon.

Comment configurer l'authentification unique pour qu'elle respecte les normes eduGAIN ou InCommon ?

Si vous êtes administrateur Dropbox Education, contactez l'équipe chargée de votre compte pour lui demander d'activer le paramètre d'attribut eduGAIN ou InCommon requis. Une fois ce paramètre activé, suivez les instructions indiquées dans les trois sections de cet article pour finaliser le processus de configuration.

Remarque : l'activation de ce paramètre par l'équipe chargée de la gestion de votre compte est obligatoire pour permettre le fonctionnement des instructions suivantes.

Configuration du fournisseur d'identité Shibboleth afin de respecter la norme eduGAIN ou InCommon

  1. Si vous êtes administrateur Dropbox Education, contactez l'équipe chargée de votre compte pour lui demander d'activer le paramètre d'attribut eduGAIN ou InCommon requis. 
  2. Récupérez les métadonnées eduGAIN ou InCommon.
  3. Configurez le filtre d'attributs.
    • Pour les clients installés aux États-Unis, Dropbox accepte l'ensemble minimum d'attributs (Essential Attribute Bundle) recommandé par InCommon.
      • Dropbox utilise la section "email" de ce pack pour identifier les utilisateurs.
      • Dropbox requiert également la libération de l'identifiant aléatoire (transient ID).
    • Découvrez comment configurer l'ensemble minimum d'attributs InCommon.
      • Dans le fichier “attribute-filter.xml” (/opt/shibboleth-idp/conf/attribute-filter.xml), assurez-vous que la valeur de la chaîne de demande d'attributs (AttributeRequesterString) indique https://dropbox.com/sp.
            afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/
        

Préparation des informations requises

Pour configurer l'authentification unique dans l'interface d'administration de Dropbox, deux éléments sont requis : l'URL de connexion et le certificat X.509.

L'URL de connexion se trouve dans les métadonnées eduGAIN ou InCommon sous l'élément "IdPSSODescriptor" de votre organisation. En voici un exemple :

            SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" 
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
        
Dans ce cas, l'URL requise pour Dropbox (qui est également l'URL permettant d'accéder au portail d'authentification) est la suivante :
            https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
        

Le certificat X.509 se trouve dans le dossier des identifiants et est souvent nommé idp.crt. Le chemin d'accès à ce certificat est généralement de type : /opt/shibboleth-idp/credentials/idp.crt.

Configuration dans l'interface d'administration de Dropbox

  1. Connectez-vous à dropbox.com avec vos identifiants d'administrateur Dropbox Business.
  2. Ouvrez l'interface d'administration.
  3. Cliquez sur Paramètres.
  4. Sous Authentification, cliquez sur Authentification unique.
  5. Activez l'authentification unique en mode facultatif ou obligatoire. (Le mode facultatif sert à des fins de test et le mode obligatoire à des fins de production.)
  6. Collez l'URL de connexion (collectée précédemment).
  7. Transférez le certificat X.509 (collecté précédemment).
  8. Sous Format NameID SAML, sélectionnez Identifiant transitoire + attribut E-mail.
Avez-vous trouvé cet article utile ?

Nous en sommes désolés.
Selon vous, quelles améliorations pourrions-nous apporter ?

Merci d'avoir donné votre avis !
En quoi cet article vous a-t-il été utile ?

Merci d'avoir donné votre avis !