Cara mengkonfigurasi single sign-on menggunakan GakuNin IdP

Dikemas kini Nov 27, 2023
Dropbox menyokong single sign-on (SSO) menggunakan IdP yang mengambil bahagian dalam Persekutuan Pengurusan Akses Akademik di Jepun (GakuNin). Artikel ini menerangkan cara membolehkan SSO yang dimulakan oleh GakuNin IdP untuk akaun pasukan Dropbox.

Apakah GakuNin?

Persekutuan Pengurusan Akses Akademik di Jepun (GakuNin) ialah persekutuan yang berkaitan dengan Institut Informatik Kebangsaan (NII). GakuNin terdiri daripada universiti dan institut penyelidikan yang merupakan pengguna e-sumber akademik dan penyedia e-sumber sedemikian. Dengan dasar saling mempercayai yang ditetapkan oleh Persekutuan, organisasi dapat membolehkan akses bersekutu antara satu sama lain.

Cara membolehkan SSO yang dimulakan oleh GakuNin IdP

Untuk membolehkan SSO yang dimulakan oleh GakuNin IdP, ikuti langkah di bawah.

1. Sertai GakuNin dan eduGAIN

Prosedur ini memerlukan IdP GakuNin menyertai eduGAIN. Jika perlu, rujuk pautan ini untuk menyertai eduGAIN.

Jika anda tidak dapat menyertai eduGAIN atau bukan peserta dalam GakuNin, rujuk pautan kepada prosedur untuk SSO umum.

2. Bolehkan GakuNin dalam Dropbox

Tetapan untuk membenarkan sambungan daripada GakuNin perlu dibolehkan dalam Dropbox. Bagi membolehkan GakuNin untuk pasukan Dropbox anda, hubungi Pengurus Kejayaan Pelanggan anda. Arahan untuk mengkonfigurasi konsol pentadbir Dropbox yang berikut tidak akan berfungsi melainkan tetapan ini dibolehkan.

3. Konfigurasikan penapis atribut Shibboleth IdP

Lengkapkan langkah di bawah untuk mengkonfigurasi penapis untuk menghantar atribut mel daripada IdP kepada Dropbox.

Masukkan kod di bawah ke fail attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) .

<AttributeFilterPolicy id="PolicyforDROPBOX">
    <PolicyRequirementRule xsi:type="Requester"
        value="https://dropbox.com/sp"/>
    <AttributeRule attributeID="mail">
        <PermitValueRule xsi:type="ANY"/>
    </AttributeRule>
</AttributeFilterPolicy>

4. Sediakan maklumat yang diperlukan

Untuk mengkonfigurasi SSO dalam konsol pentadbir Dropbox, anda akan memerlukan dua maklumat: URL daftar masuk dan sijil X.509.

Gunakan nilai daripada IdPSSODescriptor dalam metadata IdP untuk URL daftar masuk. Rujuk contoh di bawah.

<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
    Location="https://idp.gakunin.nii.ac.jp/idp/profile/SAML2/Redirect/SSO"/>
Dalam kes ini, URL daftar masuk yang diperlukan untuk Dropbox adalah seperti berikut: 
https://idp.gakunin.nii.ac.jp/idp/profile/SAML2/Redirect/SSO

Fail dalam folder IdP boleh digunakan untuk sijil X.509. Laluan fail biasa untuk sijil ini ialah /opt/shibboleth-idp/credentials/server.crt
 

5. Konfigurasi konsol pentadbir Dropbox

  1. Log masuk ke dropbox.com dengan kelayakan pentadbir anda.
  2. Klik Konsol Pentadbir.
  3. Klik Tetapan.
  4. Di bawah Pentauliahan, pilih Single sign-on.
  5. Bolehkan SSO dalam mod Pilihan atau Wajib. (Mod Pilihan adalah untuk ujian dan mod Wajib adalah untuk pengeluaran.)
  6. Tampal URL daftar masuk (dikumpul sebelum ini dalam artikel ini).
  7. Muat naik sijil X.509 (dikumpul sebelum ini dalam artikel ini).
  8. Di bawah SAML NameID Format, pilih Transient ID + Email Assertion dan simpan. (Jika GakuNin tidak dibolehkan, item ini tidak dipaparkan.)

Soalan-soalan Lazim

Bagaimanakah saya boleh menggunakan rangka kerja SSO ini dengan akaun peribadi yang sedia ada?

SSO boleh digunakan dengan Dropbox Advanced, Enterprise dan Education. Untuk menggunakan SSO dengan akaun peribadi, anda perlu menyertai pasukan Dropbox atau pasukan Education yang telah membolehkan SSO dan menjadi ahli pasukan.

Jika anda pentadbir pasukan bagi pasukan Dropbox atau pasukan Education, anda dapat membolehkan single sign-on untuk pasukan anda.

Bagaimanakah cara untuk saya menyertai pasukan dengan akaun peribadi?

Pentadbir pasukan akan menjemput akaun peribadi untuk menyertai. Pengguna dengan akaun peribadi yang telah dijemput untuk menyertai pasukan mempunyai pilihan yang berikut:

  • Menerima jemputan sebagaimana adanya dan menyertai pasukan bersama semua fail.
  • Mengalihkan fail peribadi ke persekitaran lain (akaun Dropbox lain, perkhidmatan awan lain, cakera keras, dll.) dan sertai pasukan dengan fail yang ingin dibawa bersama.
  • Tukar alamat e-mel untuk akaun peribadi anda kepada yang lain dan sertai pasukan sebagai pengguna baru.

Ketahui lagi tentang menyertai Pasukan Dropbox.

Jika saya menerima jemputan kepada pasukan, adakah kandungan akaun peribadi saya dapat dilihat oleh pengguna lain?

Menyertai pasukan tidak akan menjadikan fail anda kelihatan kepada pengguna lain. Fail dan folder anda akan kekal boleh diakses hanya kepada anda selagi anda tidak menjemput pengguna lain ke folder dan menjadikan fail itu sebagai fail kongsian atau meletakkan fail anda dalam folder pasukan yang diuruskan oleh pasukan. Perkara yang sama berlaku untuk fail dan folder pada komputer anda. Walau bagaimanapun, pentadbir pasukan mempunyai keupayaan untuk log masuk sebagai pengguna dalam pasukan dan juga boleh melihat log operasi.

Ketahui lagi tentang fail yang boleh diakses oleh ahli dan pentadbir pasukan anda.

Bolehkah akaun yang telah menyertai pasukan lain dijemput?

Akaun tidak boleh menyertai berbilang pasukan. Jika anda dijemput oleh pasukan selain daripada pasukan yang telah anda sertai, anda tidak akan dapat menyertai pasukan itu melainkan anda meninggalkan pasukan yang telah anda sertai.

Adakah artikel ini berguna?

Let us know how why it didn't help:

Thanks for letting us know!

Terima kasih atas maklum balas anda!

Cara lain untuk mendapatkan bantuan

Ikon menggambarkan dua orang
Komuniti
Twitter Icon
X
Ikon menggambarkan gelembung dialog
Hubungi sokongan