学認参加 IdP による SSO 設定
学認とは?
学認とは、国立情報学研究所(NII)が全国の大学・研究機関と連携して進めている、学術 e-リソースを利用する大学・研究機関、ならびに学術 e-リソースを提供する事業者から構成された連合体のことです。各機関・事業者は学認が定めた規程(ポリシー)に基づき相互に信頼しあうことで、相互に認証連携を実現することが可能となります。
学認参加 IdP による SSO を有効にする手順
1. 学認および eduGAIN に参加する
本手順は学認参加 IdP が eduGAIN に参加していることを前提としております。必要であれば以下のページを参考に eduGAIN に参加してください。
⇒eduGAIN に参加する
eduGAIN に参加することが難しい場合もしくは学認に参加していない場合は、 こちらのリンク先にあります一般的な SSO 設定手順をご参照ください。
2. Dropbox 側で学認設定を有効にする
Dropbox 側で学認からの接続のために属性設定を有効化してもらう必要があります。対象となる Dropbox チーム アカウントに対して、Dropbox の担当者、または Dropbox を販売している代理店経由で学認設定の有効化を依頼してください。有効化された後でなければ以下の「Dropbox 管理コンソールの設定」の手順は実施できません。
3. Shibboleth IdP の属性送信フィルタを設定する
以下の手順で IdP から Dropbox に mail 属性を送信するフィルタを設定します。
attribute-filter.xml(/opt/shibboleth-idp/conf/attribute-filter.xml)ファイルに以下を追加してください。
<AttributeFilterPolicy id="PolicyforDROPBOX">
<PolicyRequirementRule xsi:type="Requester"
value="https://dropbox.com/sp"/>
<AttributeRule attributeID="mail">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
</AttributeFilterPolicy>
4. 必要な情報を確認する
Dropbox 管理コンソールで SSO を設定するには、ログイン URL と X.509 証明書の 2 種類の情報が必要です。
ログイン URL は IdP メタデータの IdPSSODescriptor に記載されている値を利用します。次の例を参考にしてください。
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://idp.gakunin.nii.ac.jp/idp/profile/SAML2/Redirect/SSO"/>
https://idp.gakunin.nii.ac.jp/idp/profile/SAML2/Redirect/SSO
X.509 証明書は IdP のフォルダ内にあるファイルが利用できます。この証明書への一般的なパスは、/opt/shibboleth-idp/credentials/server.crt です。
5. Dropbox 管理コンソールの設定
- dropbox.com で管理者のアカウント情報を使用してログインします。
- [管理コンソール]を開きます。
- [設定]をクリックします。
- [認証]で[シングル サインオン]をクリックします。
- 任意モードまたは必須モードで SSO を有効にします(任意モードはテスト用で、必須モードは本番用です)。
- ログイン URL を貼り付けます(上記手順で取得した URL)。
- X.509 証明書をアップロードします(上記手順で取得した証明書)。
- [SAML NameID 形式]で[一時的な ID + メール アサーション]を選択し、保存します。(上記の「学認設定」を有効化していない場合はこの項目が表示されません)
よくある質問
【既存の個人アカウントをこの SSO のフレームワークで利用したい場合はどうすればよいか?】
SSO は Dropbox Advance、Enterprise、および Education で利用が可能です。個人で利用しているアカウントで SSO を利用するには、SSO が使える状態の Dropbox チームまたは Education のチームに参加し、チーム メンバーになる必要があります。
Dropbox チームまたは Education チームの管理者の方は チームのシングル サインオンを有効にすることができます。
【個人アカウントをチームに参加させる方法は?】
チームの管理者が参加させたい個人アカウントを招待します。招待されたユーザーが参加するには以下の選択肢があります。
- そのまま招待を受け入れて、保持する全てのファイルごとチームに参加します。
- 保持するファイルのうち個人用のものを他の環境(他の Dropbox アカウント、他のクラウドサービス、ハードディスクなど)に移して、持ち込んでよいファイルを残した状態でチームに参加します。
- 個人アカウントのメールアドレスを別のものに変更し、新規のユーザーとしてチームに参加します。
【チームへの招待を受け入れた場合、個人アカウントの中身は他のユーザーに見えてしまうのか?】
チームに参加したとしてもファイルは見えません。自分の持っているフォルダに他のユーザーを招待し共有フォルダにしたり、チームが管理するチームフォルダに自分のファイルを置かない限り、自分の持つファイルやフォルダには自分しかアクセスできません。パソコン上にあるファイルやフォルダと同じ状況です。ただし、管理者はチーム内の任意のユーザーに成り代わってログインする権限を持ち、操作ログも閲覧できます。
詳しくは「自分のファイルにチームメンバー全員がアクセスできますか?」を参照してください。
【既に別のチームに参加しているアカウントを招待できるか?】
アカウントは複数のチームには参加できません。現在参加しているチーム以外のチームから招待された場合、現在のチームから退会しなければ招待されているチームには参加できません。