Slik konfigurerer du enkeltpålogging ved å bruke GakuNin IdP
Hva er GakuNin?
Academic Access Management Federation i Japan (GakuNin) er en føderasjon tilknyttet National Institute of Informatics (NII). GakuNin består av universiteter og forskningsinstitutter som er brukere av akademiske e-ressurser og tilbydere av slike e-ressurser. Ved gjensidig tillitsfull policy fastsatt av forbundet, kan organisasjoner muliggjøre føderert tilgang mellom hverandre.
Slik aktiverer du GakuNin IdP-initiert SSO
For å aktivere GakuNin IdP-initiert SSO, følg trinnene nedenfor.
1. Bli med i GakuNin og eduGAIN
Disse prosedyrene krever at GakuNin IdP blir med i eduGAIN. Se om ønskelig denne koblingen for å bli med i eduGAIN.
Hvis du ikke er i stand til å bli med i eduGAIN eller ikke er deltaker i GakuNin, kan du se prosedyrene for generell SSO i koblingen.
2. Aktiver GakuNin i Dropbox
Innstillingen for å tillate tilkoblinger fra GakuNin må være aktivert i Dropbox. For å aktivere GakuNin for Dropbox-teamet ditt kontakter du din Customer Success Manager. Følgende instruksjoner for å konfigurere Dropbox administratorverktøyet vil ikke fungere med mindre denne innstillingene er aktivert.
3. Konfigurer Shibboleth IdP-attributtfilter
Fullfør trinnet nedenfor for å konfigurere filteret til å sende e-postattributtet fra IdP til Dropbox.
Legg til koden nedenfor til attributt-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) filen.
<AttributeFilterPolicy id="PolicyforDROPBOX">
<PolicyRequirementRule xsi:type="Requester"
value="https://dropbox.com/sp"/>
<AttributeRule attributeID="mail">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
</AttributeFilterPolicy>
4. Forbered nødvendig informasjon
Hvis du skal konfigurere SSO i administratorverktøyet i Dropbox, trenger du to opplysninger: URL-adressen for pålogging og X.509-sertifikatet.
Bruk verdien fra IdPSSODescriptor i IdP-metadata for påloggings-URL-en. Se eksempelet nedenfor.
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://idp.gakunin.nii.ac.jp/idp/profile/SAML2/Redirect/SSO"/>
https://idp.gakunin.nii.ac.jp/idp/profile/SAML2/Redirect/SSO
Filen i IdP-Folders kan brukes for X.509-sertifikatet.En typisk filbane for dette sertifikatet er /opt/shibboleth-idp/credentials/server.crt
5. Konfigurasjon av Dropbox Administratorverktøy
- Logg på dropbox.com med administratorpåloggingen din.
- Klikk Administratorverktøy.
- Klikk på Innstillinger.
- Under Godkjenning klikker du på Single Sign-On.
- Aktiver SSO i Valgfri eller Obligatorisk modus. (Valgfri-modusen skal brukes til testing og Obligatorisk-modusen er produksjonsmodusen.
- Lim inn URL-adressen for pålogging (innhentet tidligere i denne artikkelen).
- Last opp X.509-sertifikatet (innhentet tidligere i denne artikkelen).
- Under SAML NameID-format, velger du Kortvarig ID + e-post-attributt og lagre.(Hvis GakuNin ikke aktiveres, vises ikke dette elementet.)
Vanlige spørsmål
Hvordan kan jeg bruke dette SSO-rammeverket med en eksisterende privatkonto?
SSO kan brukes med Dropbox Advanced, Enterprise og Education. For å bruke SSO med en privatkonto, må du bli med i et SSO-aktivert Dropbox-team eller Education-team og bli et teammedlemmer.
Hvis du er en teamadministrator for et Dropbox-team eller et Education-team, kan du aktivere enkeltpålogging for deg-team.
Hvordan blir jeg med i et team med en privatkonto?
Teamadministratoren inviterer personlige kontoer til å bli med. En bruker med privatkonto som har blitt invitert til å bli med i et team har følgende alternativer:
- Aksepter invitasjonen som den er og bli med i teamet med alle filene.
- Flytt personlige filer til en annen plattform (en annen Dropbox-konto, en annen nettskytjeneste, harddisk, osv.) og bli med i teamet med filene du ønsker å ta med deg.
- Endre e-postadressen for din personlige konto til en annen og bli med i teamet som en ny bruker.
Hvis jeg godtar en invitasjon til et team, vil innholdet på privatkontoen min være synlig for andre brukere?
Å bli med i et team vil ikke gjøre filene dine synlige for andre brukere. Filene og mappene dine vil kun være tilgjengelige for deg så lenge du ikke inviterer andre brukere til en mappe og gjør den delt, eller legger filene dine i en lagmappe administrert av teamet. Det samme gjelder for filer og mapper på datamaskinen din. Imidlertid har teamadministratorer mulighet til å logge seg inn som brukere i teamet og kan også se operasjonslogger.
Lær mer om hvilke filer teammedlemmer og administrator har tilgang til.
Kan en konto som allerede har blitt med i et annet team inviteres?
Kontoer kan ikke bli med i flere team Hvis du er invitert av et team annet enn det du allerede har blitt med i, vil du ikke kunne bli med i det med mindre du forlater team du er på.