eduGAIN、InCommon および Dropbox SSO の設定

Dropbox は eduGAIN と InCommon の提携パートナーで、両社の基準をサポートしています。この記事では、eduGAIN や InCommon 対応の SSO を Dropbox Business アカウントで有効にする方法を詳しく説明しています。

InCommon と eduGAIN とは？

eduGain とは、参加組織の間で個人情報や認証情報を安全にやり取りできる組織間サービスです。

一般的に「InCommon」と短縮形で呼ばれる InCommon Federation は、オンライン リソースへのアクセスを共有管理するための信頼性の高いフレームワークです。米国市場を対象としています。

InCommon はアイデンティティ プロバイダ（IdP）と混同されがちですが、InCommon は特定のセキュリティ強化機能の提供に必要なプロトコルで、ご利用の IdP がこのプロトコルをサポートしていれば InCommon の基準を遵守することができます。

Dropbox 版のシングル サインオン（SSO）は、eduGAIN および InCommon フレームワークの両方を遵守しています。

eduGAIN や InCommon がサポートしている SSO を有効にするには？

まず必要な eduGAIN または InCommon 属性設定をアカウント チームにオンにしてもらう必要があるので、Dropbox Education の管理者からアカウント チームに依頼してください。この設定がオンになったら、この記事の 3 つのセクションにそれぞれ記載されている手順を行って設定を完了できます。

Shibboleth IdP を設定して eduGAIN や InCommon を遵守する

1. Dropbox Education の管理者からアカウント チームに依頼して、必要な eduGAIN または InCommon 属性設定をオンにしてもらいます。 
2. eduGAIN や InCommon メタデータを取得します。
   • InCommon ウェブサイトに記載されているメタデータを見つけます。
   • eduGAIN ウェブサイトに記載されているメタデータを見つけます。
3. 属性フィルタを設定します。
   • 米国在住のお客様の場合、Dropbox は InCommon が推奨する必須属性バンドルを受け取ります。
     • Dropbox はこのバンドルのメール アドレスの部分を使ってユーザーを識別します。
     • Dropbox は一時的な ID を必要とします。
   • InCommon 必須属性バンドルの設定方法をご覧ください。
     • attribute-filter.xml（/opt/shibboleth-idp/conf/attribute-filter.xml）ファイルで、属性リクエスタの文字列の値が「https://dropbox.com/sp」になっていることを確認します。

必要な情報を準備する

Dropbox 管理コンソールで SSO を設定するには、ログイン URL と X.509 証明書の 2 種類の情報が必要です。

ログイン URL は組織の IdPSSODescriptor にある　eduGAIN や InCommon メタデータに記載されています。次の例を参考にしてください。

X.509 証明書は資格情報フォルダ内にあり、通常、idp.crt と呼ばれます。この証明書への一般的なファイル パスは、/opt/shibboleth-idp/credentials/idp.crt です。

Dropbox 管理コンソールの設定

1. Dropbox Business 管理者のアカウント情報を使用して dropbox.com にログインします。
2. ［管理コンソール］を開きます。
3. ［設定］をクリックします。
4. ［認証］で［シングル サインオン］をクリックします。
5. 任意モードまたは必須モードで SSO を有効にします（任意モードはテスト用で、必須モードはプロダクション用です）。
6. ログイン URL を貼り付けます（上記手順で取得した URL）。
7. X.509 証明書をアップロードします（上記手順で取得した証明書）。
8. ［SAML NameID 形式］で［一時的な ID + メール アサーション］を選択します。