Dropbox용 eduGAIN 또는 InCommon 지원 SSO를 사용 설정하는 방법
Dropbox는 eduGAIN 및 InCommon의 후원을 받는 파트너사이며, 이들의 표준을 지원합니다. 이 도움말에는 Dropbox 팀 계정에 eduGAIN 또는 InCommon 지원 SSO(Single Sign-On)를 설정하는 방법이 설명되어 있습니다.
InCommon과 eduGAIN은 무엇인가요?
eduGAIN
eduGAIN은 연합 참여자 간에 ID, 인증 및 권한 부여 정보를 안전하게 교환할 수 있는 상호 연합 서비스입니다.
InCommon
InCommon Federation을 보통 줄여서 InCommon이라고 부릅니다. InCommon은 온라인 리소스에 액세스하기 위한 신뢰할 수 있는 공유 관리 프레임워크로 미국 시장에 특화된 서비스입니다.
InCommon을 ID 공급업체(IDP)로 혼동하는 경우가 종종 있습니다. 실제로는 InCommon은 InCommon 표준을 준수함으로써 특정 보안을 강화할 수 있도록 ID 공급업체가 지원하는 프로토콜입니다.
eduGAIN 또는 InCommon이 지원되는 SSO를 사용 설정하려면 어떻게 해야 하나요?
1단계: eduGAIN 또는 InCommon을 준수하도록 Shibboleth IdP 구성하기
- Dropbox Education 관리자는 계정 팀에 문의하여 필요한 eduGAIN 또는 InCommon 특성 설정을 사용으로 설정해달라고 요청합니다.
- eduGAIN 또는 InCommon 메타데이터를 검색합니다.
- 특성 필터를 설정합니다.
- 미국에 거주하는 고객의 경우, Dropbox는 InCommon에서 권장하는 필수 특성 번들을 적용합니다.
- Dropbox는 이 번들의 이메일 부분을 사용하여 사용자를 식별합니다.
- 또한 Dropbox는 임시 ID를 반드시 제공받아야 합니다.
- InCommon 필수 특성 번들 구성 방법 알아보기
- attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) 파일에서 특성 요청자 문자열 값이 https://dropbox.com/sp인지 확인합니다.
- 미국에 거주하는 고객의 경우, Dropbox는 InCommon에서 권장하는 필수 특성 번들을 적용합니다.
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
afp:PolicyRequirementRule
xsi:type="basic:AttributeRequesterString"
value="https://dropbox.com/sp"/
2단계: 필요한 정보 준비하기
Dropbox 관리 콘솔에서 SSO를 구성하려면 두 가지 정보 즉, 로그인 URL과 X.509 인증서가 필요합니다.
로그인 URL은 아래 예와 같이 eduGAIN 또는 InCommon 메타데이터의 회사 IdPSSODescriptor 아래에서 찾을 수 있습니다.
SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
이 경우 Dropbox에 필요한 URL은 아래와 같으며, 또한 이 URL은 인증 포털로 연결됩니다.
https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
X.509 인증서는 자격 증명 폴더에 위치하며, 보통 idp.crt라고 부릅니다. 이 인증서의 일반적인 파일 경로는 /opt/shibboleth-idp/credentials/idp.crt입니다.
3단계: Dropbox 관리 콘솔 구성하기
- Dropbox 관리자 로그인 정보로 dropbox.com에 로그인합니다.
- 관리 콘솔을 엽니다.
- 설정을 클릭합니다.
- 인증에서 SSO(Single Sign-On)를 선택합니다.
- 선택 사항 또는 필수 항목 모드로 SSO를 사용 설정합니다. (선택 사항 모드는 테스트용이며, 필수 항목 모드가 실제 적용 모드입니다.)
- 앞서 나온 로그인 URL을 붙여넣습니다.
- 앞서 나온 X.509 인증서를 업로드합니다.
- SAML NameID 형식에서 임시 ID + 이메일 특성을 선택합니다.