Come attivare il Single sign-on (SSO) supportato da eduGAIN o da InCommon per Dropbox.
Le informazioni contenute nel presente articolo si applicano agli amministratori di Dropbox Standard, Business, Advanced, Business Plus ed Enterprise.
Dropbox è partner sponsorizzato di eduGAIN e InCommon e supporta questi standard. Questo articolo spiega nel dettaglio come abilitare il Single sign-on (SSO) supportato da eduGAIN o InCommon per il tuo account di team Dropbox.
Che cosa sono InCommon ed eduGAIN?
eduGAIN
eduGain è un servizio di interfederazione che consente lo scambio sicuro di informazioni su identità, autenticazione e autorizzazione tra le federazioni partecipanti.
InCommon
InCommon Federation, comunemente abbreviato come InCommon, è un framework per la gestione condivisa attendibile dell'accesso alle risorse online. È dedicato al mercato statunitense.
InCommon viene spesso confuso con un provider di identità. In realtà, InCommon è un protocollo che il provider di identità può supportare per fornire miglioramenti specifici della sicurezza per la conformità allo standard InCommon.
Come posso attivare l'SSO supportato per eduGAIN o InCommon?
Passaggio 1: Configurazione del provider d'identità Shibboleth affinché sia conforme con eduGAIN o InCommon
- Se sei un amministratore di un team Dropbox Education, contatta il team del tuo account e richiedi ai membri di attivare l'impostazione degli attributi di eduGAIN o InCommon necessaria.
- Recupera i metadati di eduGAIN o InCommon.
- Imposta il filtro degli attributi.
- Per i clienti negli Stati Uniti, Dropbox accetta il pacchetto di attributi essenziali consigliato da InCommon.
- Per identificare gli utenti, Dropbox utilizza l'email che fa parte di questo pacchetto.
- Dropbox richiede inoltre che venga rilasciato l'ID temporaneo.
- Scopri come configurare il pacchetto di attributi essenziali di InCommon.
- Nel file attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml), assicurati che il valore della stringa del richiedente degli attributi sia https://dropbox.com/sp.
- Per i clienti negli Stati Uniti, Dropbox accetta il pacchetto di attributi essenziali consigliato da InCommon.
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
afp:PolicyRequirementRule
xsi:type="basic:AttributeRequesterString"
value="https://dropbox.com/sp"/Passaggio 2: Preparazione delle informazioni necessarie
Per configurare l'SSO nella Console amministratore di Dropbox, ti serviranno due informazioni: l'URL di accesso e il certificato X.509.
L'URL di accesso si trova nei metadati di eduGAIN o InCommon sotto l'IdPSSODescriptor della tua organizzazione e ha un aspetto simile all'esempio di seguito:
SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/In questo caso, viene riportato di seguito l'URL necessario per Dropbox, che è anche l'URL che reindirizza al portale di autenticazione.
https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
Il certificato X.509 si trova nella cartella delle credenziali e di solito è denominato idp.crt. Un percorso tipico del file che porta a questo certificato è /opt/shibboleth-idp/credentials/idp.crt.
Passaggio 3: Configurazione della console amministratore di Dropbox
- Accedi a dropbox.com con le credenziali da amministratore Dropbox
- Apri la Console amministratore.
- Fai clic su Impostazioni.
- In Autenticazione, seleziona Single sign-on.
- Attiva l'SSO in modalità opzionale o obbligatoria (la modalità opzionale serve per eseguire test, mentre quella obbligatoria per la produzione).
- Incolla l'URL di accesso (ottenuto in precedenza in questo articolo).
- Carica il certificato X.509 (ottenuto in precedenza in questo articolo).
- In Formato NameID SAML, seleziona ID temporaneo + Asserzione Email.
