Cara membolehkan SSO yang disokong eduGAIN atau InCommon untuk Dropbox

Dikemas kini Feb 04, 2025

Maklumat dalam artikel ini terpakai kepada pentadbir di Dropbox Standard, Business, Advanced, Business Plus, dan Enterprise.

Dropbox adalah rakan niaga tajaan eduGAIN dan InCommon, dan menyokong standard ini. Artikel ini memperincikan cara mendayakan daftar diri tunggal (SSO) yang disokong eduGAIN atau InCommon untuk akaun pasukan Dropbox anda.

Apakah InCommon dan eduGAIN?

eduGAIN

eduGAIN ialah perkhidmatan antara persekutuan yang membolehkan pertukaran maklumat identiti, pengesahan dan kebenaran yang selamat antara persekutuan yang mengambil bahagian.

InCommon

InCommon Federation, lazimnya dipendekkan kepada InCommon, ialah satu rangka kerja untuk pengurusan kongsian yang boleh dipercayai bagi akses kepada sumber dalam talian. InCommon khusus untuk pasaran AS.

InCommon sering disalah ertikan sebagai pembekal identiti (IdP). Pada hakikatnya, InCommon ialah protokol yang boleh disokong oleh IdP anda untuk menyediakan peningkatan keselamatan khusus untuk mematuhi Piawaian InCommon.

Bagaimana untuk saya bolehkan SSO yang disokong dengan eduGAIN atau InCommon?

Langkah 1: Konfigurasikan Shibboleth IdP untuk mematuhi eduGAIN atau InCommon

Jika anda seorang pentadbir Dropbox Education, hubungi pasukan akaun anda dan minta mereka hidupkan tetapan atribut eduGAIN atau InCommon yang diperlukan.
Dapatkan metadata eduGain atau InCommon.
- Cari metadata yang disenaraikan di laman web InCommon.
- Cari metadata yang disenaraikan di laman web eduGAIN.
Sediakan penapis atribut.
- Untuk pelanggan yang berpengkalan di AS, Dropbox menerima kumpulan atribut penting yang disyorkan InCommon.
  - Dropbox menggunakan sebahagian e-mel kumpulan ini untuk mengenal pasti pengguna
  - Dropbox juga mengehendaki ID sementara dilepaskan
- Ketahui cara untuk mengkonfigurasi kumpulan atribut penting InCommon.
  - Dalam fail attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml),pastikan nilai rentetan peminta atribut ialah https://dropbox.com/sp.

afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule 
xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

Langkah 2: Sediakan maklumat yang diperlukan

Untuk mengkonfigurasi SSO dalam konsol pentadbir Dropbox, anda akan memerlukan dua maklumat: URL daftar masuk dan sijil X.509.

URL daftar masuk boleh didapati dalam metadata eduGAIN atau InCommon di bawah organisasi IdPSSODescriptor anda, dan kelihatan seperti contoh ini:

SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/

Dalam keadaan ini, URL yang diperlukan untuk Dropbox adalah di bawah, yang juga adalah URL yang membawa kepada portal pengesahan.

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

Sijil X.509 terletak di dalam folder kelayakan dan biasanya dipanggil idp.crt. Laluan fail biasa kepada sijil ini ialah /opt/shibboleth-idp/credentials/idp.crt.

Langkah 3: Konfigurasikan konsol pentadbir Dropbox

Log masuk ke dropbox.com dengan kelayakan pentadbir Dropbox anda.
Buka Konsol Pentadbir.
Klik Tetapan.
Di bawah Pentauliahan, pilih Single sign-on.
Bolehkan SSO dalam mod Pilihan atau Wajib. (Mod Pilihan adalah untuk ujian dan mod Wajib adalah untuk pengeluaran.)
Tampal URL daftar masuk (dikumpul sebelum ini dalam artikel ini).
Muat naik sijil X.509 (dikumpul sebelum ini dalam artikel ini).
Di bawah SAML NameID Format, pilih Transient ID + Email Assertion.