eduGAIN- of InCommon-ondersteunde SSO inschakelen voor Dropbox

Bijgewerkt Jul 07, 2025

De informatie in dit artikel is van toepassing op beheerders op Dropbox Standard, Business, Advanced, Business Plus en Enterprise.

Dropbox is een gesponsorde partner van eduGAIN en InCommon en ondersteunt deze standaarden. In dit artikel wordt beschreven hoe je door eduGAIN of InCommon ondersteunde eenmalige aanmelding (SSO) kunt inschakelen voor je Dropbox-teamaccount.

Wat zijn InCommon en eduGAIN?

eduGAIN

eduGAIN is een interfederatiedienst die de veilige uitwisseling van identiteits-, authenticatie- en autorisatiegegevens tussen deelnemende federaties mogelijk maakt.

InCommon

InCommon Federation, vaak afgekort als InCommon, is een structuur voor betrouwbaar gezamenlijk beheer van toegang tot online hulpbronnen. InCommon is specifiek op de Amerikaanse markt gericht.

InCommon wordt vaak verward met een identiteitsprovider (IdP). In werkelijkheid is InCommon een protocol dat kan worden ondersteund door je IdP om specifieke beveiligingsverbeteringen te bieden en de InCommon-structuur te volgen.

Hoe schakel ik ondersteunde eenmalige aanmelding met eduGAIN of InCommon in?

Stap 1: Shibboleth IdP afstemmen op eduGAIN of InCommon

Als je een Dropbox Education-beheerder bent, neem dan contact op met je accountteam en vraag of ze de attribuutinstellingen voor eduGAIN of InCommon willen aanzetten.
Haal de metagegevens bij eduGAIN of InCommon op.
- Zoek de metagegevens op de website van InCommon.
- Zoek de metagegevens op de website van eduGAIN.
Stel het kenmerkenfilter in.
- Voor klanten in Amerika accepteert Dropbox de door InCommon aanbevolen bundel met essentiële kenmerken.
  - Dropbox maakt gebruik van de e-mailcomponent van deze bundel om gebruikers te identificeren.
  - Dropbox vereist daarnaast dat de tijdelijke ID wordt vrijgegeven.
- Meer informatie over het instellen van de bundel met essentiële kenmerken voor InCommon
  - Controleer of in het bestand (/opt/shibboleth-idp/conf/attribute-filter.xml) de tekenreeks voor het aanvragen van kenmerken https://dropbox.com/sp is.

afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule 
xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

Stap 2: De benodigde informatie voorbereiden

Voor het instellen van eenmalige aanmelding (SSO) in de Beheerconsole van Dropbox heb je de volgende informatie nodig: de aanmeldings-URL en het X.509-certificaat.

De URL voor aanmelding vind je in de eduGAIN- of InCommon-metagegevens onder de IdPSSODescriptor van je organisatie. De URL lijkt op dit voorbeeld:

SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/

In dit geval is de URL die nodig is voor Dropbox hieronder, wat ook de URL is die naar het authenticatieportaal leidt:

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

Het X.509-certificaat bevindt zich in de map met aanmeldgegevens en heeft gewoonlijk idp.crt als naam. Voor dit certificaat wordt het pad /opt/shibboleth-idp/credentials/idp.crt vaak gebruikt.

Stap 3: De Dropbox-beheerconsole configureren

Meld je aan op dropbox.com als Dropbox-beheerder.
Klik op Beheerconsole in de linkerzijbalk.
Klik op Instellingen.
Selecteer Eenmalige aanmelding onder Authenticatie.
Klik onder Authenticatie op de vervolgkeuzelijst rechts van Eenmalige aanmelding (SSO) en selecteer een van de volgende opties:
- Optioneel (voor testen).
- Verplicht (voor productie).
Klik op Toevoegen rechts van Aanmeld-URL van identiteitsprovider, voer de gekopieerde aanmeld-URL in (zie stap 2) en klik vervolgens op Gereed.
Klik op Toevoegen rechts van het X.509-certificaat, en upload vervolgens het X.509-certificaat (zie stap 2).
Selecteer Tijdelijke ID + e-mailadres onder NameID-notatie (SAML).
Klik op Opslaan.