eduGAIN または InCommon 対応の SSO を Dropbox 向けに有効にする方法
Dropbox は eduGAIN と InCommon の提携パートナーで、両社の基準をサポートしています。この記事では、eduGAIN や InCommon 対応のシングル サインオン(SSO)をチーム用 Dropbox アカウントで有効にする方法を詳しく説明しています。
InCommon と eduGAIN とは?
eduGAIN
eduGain とは、参加組織の間で個人情報や認証情報を安全にやり取りできる組織間サービスです。
InCommon
一般的に「InCommon」と短縮形で呼ばれる InCommon Federation は、オンライン リソースへのアクセスを共有管理するための信頼性の高いフレームワークです。米国市場を対象としています。
InCommon はアイデンティティ プロバイダ(IdP)と混同されがちですが、InCommon は特定のセキュリティ強化機能の提供に必要なプロトコルで、ご利用の IdP がこのプロトコルをサポートしていれば InCommon の基準を遵守することができます。
eduGAIN や InCommon がサポートしている SSO を有効にするには?
ステップ 1:Shibboleth IdP を設定して eduGAIN や InCommon を遵守する
- Dropbox Education の管理者からアカウント チームに依頼して、必要な eduGAIN または InCommon 属性設定をオンにしてもらいます。
- eduGAIN や InCommon メタデータを取得します。
- 属性フィルタを設定します。
- 米国在住のお客様の場合、Dropbox は InCommon が推奨する必須属性バンドルを受け取ります。
- Dropbox はこのバンドルのメール アドレスの部分を使ってユーザーを識別します。
- Dropbox は一時的な ID を必要とします。
- InCommon 必須属性バンドルの設定方法をご覧ください。
- attribute-filter.xml(/opt/shibboleth-idp/conf/attribute-filter.xml)ファイルで、属性リクエスタの文字列の値が「https://dropbox.com/sp」になっていることを確認します。
- 米国在住のお客様の場合、Dropbox は InCommon が推奨する必須属性バンドルを受け取ります。
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
afp:PolicyRequirementRule
xsi:type="basic:AttributeRequesterString"
value="https://dropbox.com/sp"/
ステップ 2:必要な情報を準備する
Dropbox 管理コンソールで SSO を設定するには、ログイン URL と X.509 証明書の 2 種類の情報が必要です。
ログイン URL は組織の IdPSSODescriptor にある eduGAIN や InCommon メタデータに記載されています。次の例を参考にしてください。
SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
この場合、Dropbox に必要な URL は次のとおりで、認証ポータルにアクセスするための URL にもなります。
https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
X.509 証明書は資格情報フォルダ内にあり、通常、idp.crt と呼ばれます。この証明書への一般的なファイル パスは、/opt/shibboleth-idp/credentials/idp.crt です。
ステップ 3:Dropbox 管理コンソールの設定
- dropbox.com で Dropbox 管理者のアカウント情報を使用してログインします。
- [管理コンソール]を開きます。
- [設定]をクリックします。
- [認証]で[シングル サインオン]をクリックします。
- 任意モードまたは必須モードで SSO を有効にします(任意モードはテスト用で、必須モードはプロダクション用です)。
- ログイン URL を貼り付けます(上記手順で取得した URL)。
- X.509 証明書をアップロードします(上記手順で取得した証明書)。
- [SAML NameID 形式]で[一時的な ID + メール アサーション]を選択します。