Cara membolehkan SSO yang disokong eduGAIN atau InCommon untuk Dropbox
Dropbox ialah rakan niaga penaja eduGAIN dan InCommon, dan menyokong piawaian ini. Artikel ini memperincikan cara untuk membolehkan Daftar Masuk Tunggal (SSO) yang disokong oleh eduGAIN atau InCommon untuk akaun pasukan Dropbox anda.
Apakah InCommon dan eduGAIN?
eduGAIN
eduGAIN ialah perkhidmatan antara persekutuan yang membolehkan pertukaran maklumat identiti, pengesahan dan kebenaran yang selamat antara persekutuan yang mengambil bahagian.
InCommon
InCommon Federation, lazimnya dipendekkan kepada InCommon, ialah satu rangka kerja untuk pengurusan kongsian yang boleh dipercayai bagi akses kepada sumber dalam talian. InCommon khusus untuk pasaran AS.
InCommon sering disalah ertikan sebagai pembekal identiti (IdP). Pada hakikatnya, InCommon ialah protokol yang boleh disokong oleh IdP anda untuk menyediakan peningkatan keselamatan khusus untuk mematuhi Piawaian InCommon.
Bagaimana untuk saya bolehkan SSO yang disokong dengan eduGAIN atau InCommon?
Langkah 1: Konfigurasikan Shibboleth IdP untuk mematuhi eduGAIN atau InCommon
- Jika anda seorang pentadbir Dropbox Education, hubungi pasukan akaun anda dan minta mereka hidupkan tetapan atribut eduGAIN atau InCommon yang diperlukan.
- Dapatkan metadata eduGain atau InCommon.
- Sediakan penapis atribut.
- Untuk pelanggan yang berpengkalan di AS, Dropbox menerima kumpulan atribut penting yang disyorkan InCommon.
- Dropbox menggunakan sebahagian e-mel kumpulan ini untuk mengenal pasti pengguna
- Dropbox juga mengehendaki ID sementara dilepaskan
- Ketahui cara untuk mengkonfigurasi kumpulan atribut penting InCommon.
- Dalam fail attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml),pastikan nilai rentetan peminta atribut ialah https://dropbox.com/sp.
- Untuk pelanggan yang berpengkalan di AS, Dropbox menerima kumpulan atribut penting yang disyorkan InCommon.
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
afp:PolicyRequirementRule
xsi:type="basic:AttributeRequesterString"
value="https://dropbox.com/sp"/
Langkah 2: Sediakan maklumat yang diperlukan
Untuk mengkonfigurasi SSO dalam konsol pentadbir Dropbox, anda akan memerlukan dua maklumat: URL daftar masuk dan sijil X.509.
URL daftar masuk boleh didapati dalam metadata eduGAIN atau InCommon di bawah organisasi IdPSSODescriptor anda, dan kelihatan seperti contoh ini:
SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
Dalam keadaan ini, URL yang diperlukan untuk Dropbox adalah di bawah, yang juga adalah URL yang membawa kepada portal pengesahan.
https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
Sijil X.509 terletak di dalam folder kelayakan dan biasanya dipanggil idp.crt. Laluan fail biasa kepada sijil ini ialah /opt/shibboleth-idp/credentials/idp.crt.
Langkah 3: Konfigurasikan konsol pentadbir Dropbox
- Log masuk ke dropbox.com dengan kelayakan pentadbir Dropbox anda.
- Buka Konsol Pentadbir.
- Klik Tetapan.
- Di bawah Pentauliahan, pilih Single sign-on.
- Bolehkan SSO dalam mod Pilihan atau Wajib. (Mod Pilihan adalah untuk ujian dan mod Wajib adalah untuk pengeluaran.)
- Tampal URL daftar masuk (dikumpul sebelum ini dalam artikel ini).
- Muat naik sijil X.509 (dikumpul sebelum ini dalam artikel ini).
- Di bawah SAML NameID Format, pilih Transient ID + Email Assertion.