eduGAIN- of InCommon-ondersteunde SSO inschakelen voor Dropbox

Bijgewerkt Nov 12, 2024

Dropbox is een gesponsorde partner van eduGAIN en InCommon en ondersteunt deze standaarden. In dit artikel wordt uitgelegd hoe je een eduGAIN- of InCommon-ondersteunde eenmalige aanmelding (SSO) voor je Dropbox-teamaccount kunt inschakelen.

Wat zijn InCommon en eduGAIN?

eduGAIN

eduGAIN is een interfederatieservice die het beveiligd uitwisselen van identiteit, authenticatie en autorisatie mogelijk maakt tussen deelnemende federaties.

InCommon

InCommon Federation, vaak afgekort als InCommon, is een structuur voor betrouwbaar gezamenlijk beheer van toegang tot online hulpbronnen. InCommon is specifiek op de Amerikaanse markt gericht.

InCommon wordt vaak verward met een identiteitsprovider (IdP). In werkelijkheid is InCommon een protocol dat kan worden ondersteund door je IdP om specifieke beveiligingsverbeteringen te bieden en de InCommon-structuur te volgen.

Hoe schakel ik ondersteunde eenmalige aanmelding met eduGAIN of InCommon in?

Stap 1: Shibboleth IdP afstemmen op eduGAIN of InCommon

Als je een Dropbox Education-beheerder bent, neem dan contact op met je accountteam en vraag of ze de attribuutinstellingen voor eduGAIN of InCommon willen aanzetten.
Haal de metagegevens bij eduGAIN of InCommon op.
- Zoek de metagegevens op de website van InCommon.
- Zoek de metagegevens op de website van eduGAIN.
Stel het kenmerkenfilter in.
- Voor klanten in Amerika accepteert Dropbox de door InCommon aanbevolen bundel met essentiële kenmerken.
  - Dropbox maakt gebruik van de e-mailcomponent van deze bundel om gebruikers te identificeren.
  - Dropbox vereist daarnaast dat de tijdelijke ID wordt vrijgegeven.
- Meer informatie over het instellen van de bundel met essentiële kenmerken voor InCommon
  - Controleer of in het bestand (/opt/shibboleth-idp/conf/attribute-filter.xml) de tekenreeks voor het aanvragen van kenmerken https://dropbox.com/sp is.

afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule 
xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

Stap 2: De benodigde informatie voorbereiden

Voor het instellen van eenmalige aanmelding (SSO) in de Beheerconsole van Dropbox heb je de volgende informatie nodig: de aanmeldings-URL en het X.509-certificaat.

De URL voor aanmelding vind je in de eduGAIN- of InCommon-metagegevens onder de IdPSSODescriptor van je organisatie. De URL lijkt op dit voorbeeld:

SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/

In dit geval staat de voor Dropbox benodigde URL hieronder. Dit is ook de URL waarmee de authenticatieportal wordt geopend.

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

Het X.509-certificaat bevindt zich in de map met aanmeldgegevens en heeft gewoonlijk idp.crt als naam. Voor dit certificaat wordt het pad /opt/shibboleth-idp/credentials/idp.crt vaak gebruikt.

Stap 3: De Dropbox-beheerconsole configureren

Meld je aan op dropbox.com als Dropbox-beheerder.
Open de Beheerconsole.
Klik op Instellingen.
Selecteer Eenmalige aanmelding onder Authenticatie.
Kies Optioneel of Vereist voor eenmalige aanmelding (SSO). (De modus Optioneel is voor testdoeleinden en de modus Vereist is bedoeld voor productie.)
Plak de aanmeldings-URL (die je eerder in dit artikel hebt opgezocht).
Upload het X.509-certificaat (dat je eerder in dit artikel hebt opgezocht).
Selecteer Tijdelijke ID + e-mailadres onder NameID-notatie (SAML).