eduGAIN または InCommon 対応の SSO を Dropbox 向けに有効にする方法

更新 Jul 07, 2025
person icon

この記事の情報は、Dropbox Standard、Business、Advanced、Business Plus、Enterprise の管理者に適用されます。

Dropbox は、eduGAIN と InCommon のスポンサー パートナーであり、これらの標準をサポートしています。この記事では、Dropbox チーム アカウントで、eduGAIN または InCommon サポートのシングル サインオン(SSO)を有効にする方法について説明します。

InCommon と eduGAIN とは?

eduGAIN

eduGAIN は、参加しているフェデレーション間で ID、認証、承認情報を安全に交換できるインター フェデレーション サービスです。

InCommon

一般的に「InCommon」と短縮形で呼ばれる InCommon Federation は、オンライン リソースへのアクセスを共有管理するための信頼性の高いフレームワークです。米国市場を対象としています。

InCommon はアイデンティティ プロバイダ(IdP)と混同されがちですが、InCommon は特定のセキュリティ強化機能の提供に必要なプロトコルで、ご利用の IdP がこのプロトコルをサポートしていれば InCommon の基準を遵守することができます。

eduGAIN や InCommon がサポートしている SSO を有効にするには?

ステップ 1:Shibboleth IdP を設定して eduGAIN や InCommon を遵守する

  1. Dropbox Education の管理者からアカウント チームに依頼して、必要な eduGAIN または InCommon 属性設定をオンにしてもらいます。 
  2. eduGAIN や InCommon メタデータを取得します。
  3. 属性フィルタを設定します。
    • 米国在住のお客様の場合、Dropbox は InCommon が推奨する必須属性バンドルを受け取ります。
      • Dropbox はこのバンドルのメール アドレスの部分を使ってユーザーを識別します。
      • Dropbox は一時的な ID を必要とします。
    • InCommon 必須属性バンドルの設定方法をご覧ください。
      • attribute-filter.xml(/opt/shibboleth-idp/conf/attribute-filter.xml)ファイルで、属性リクエスタの文字列の値が「https://dropbox.com/sp」になっていることを確認します。
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule 
xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

ステップ 2:必要な情報を準備する

Dropbox 管理コンソールで SSO を設定するには、ログイン URL と X.509 証明書の 2 種類の情報が必要です。

ログイン URL は組織の IdPSSODescriptor にある eduGAIN や InCommon メタデータに記載されています。次の例を参考にしてください。

SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/

この場合、Dropbox に必要な URL は以下のとおりです。これは認証ポータルにつながる URL でもあります。

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

X.509 証明書は資格情報フォルダ内にあり、通常、idp.crt と呼ばれます。この証明書への一般的なファイル パスは、/opt/shibboleth-idp/credentials/idp.crt です。

ステップ 3:Dropbox 管理コンソールの設定

  1. dropbox.com で Dropbox 管理者のアカウント情報を使用してログインします。
  2. 左側のサイドバーで[管理コンソール]をクリックします。
  3. 設定]をクリックします。
  4. 認証]で[シングル サインオン]をクリックします。
  5. 認証シングル サインオン(SSO)の右側にあるプルダウン メニューをクリックして、次のいずれかを選択します。
    • 任意(テスト用)。
    • 必須(本番用)。
  6. アイデンティティ プロバイダ ログイン URL の右側にある追加をクリックして、コピーしたログイン URL(手順 2 を参照)を入力したら完了をクリックします。
  7. X.509 証明書の右側にある追加をクリックし、X.509 証明書(手順 2 を参照)をアップロードします。
  8. SAML NameID 形式]で[一時的な ID + メール アサーション]を選択します。
  9. 保存]をクリックします。
この記事は役立ちましたか?

Let us know how why it didn't help:

Thanks for letting us know!

フィードバックありがとうございます。