Włączanie jednokrotnego logowania (SSO) dla Dropbox zgodnego z eduGAIN lub InCommon

Zaktualizowano Jul 07, 2025
person icon

Informacje zawarte w tym artykule dotyczą administratorów korzystających z taryf Dropbox Standard, Business, Advanced, Business Plus i Enterprise.

Dropbox jest partnerem sponsorowanym eduGAIN i InCommon i obsługuje te standardy. W tym artykule dowiesz się, jak włączyć jednokrotne logowanie (SSO) zgodne z eduGAIN lub InCommon na koncie zespołu Dropbox.

Czym są InCommon i eduGAIN?

eduGAIN

eduGAIN to usługa międzyfederacyjna, która umożliwia bezpieczną wymianę danych związanych z tożsamością, uwierzytelnianiem i autoryzacją pomiędzy federacjami członkowskimi.

InCommon

InCommon Federation, często skracane do InCommon, to schemat zaufanego wspólnego zarządzania dostępem do zasobów online. Jest on typowy dla rynku amerykańskiego.

InCommon często mylnie uważa się za dostawcę tożsamości. W rzeczywistości InCommon to protokół, który dostawca tożsamości może obsługiwać w celu zapewnienia konkretnych ulepszeń bezpieczeństwa zgodnych ze standardem InCommon.
 

Jak mogę włączyć obsługiwane jednokrotne logowanie za pomocą eduGAIN lub InCommon?

Krok 1: Konfigurowanie dostawcy tożsamości Shibboleth pod kątem zgodności z eduGAIN lub InCommon

  1. Jeśli jesteś administratorem Dropbox Education, skontaktuj się ze swoim zespołem ds. kont i poproś o włączenie wymaganego ustawienia atrybutu eduGAIN lub InCommon. 
  2. Pobierz metadane eduGAIN lub InCommon.
  3. Skonfiguruj filtr atrybutów.
    • W przypadku klientów zlokalizowanych w USA Dropbox akceptuje zalecany przez InCommon podstawowy pakiet atrybutów.
      • Do identyfikacji użytkowników w Dropbox służy część e-mail tego pakietu.
      • Ponadto Dropbox wymaga zwolnienia identyfikatora przejściowego.
    • Dowiedz się, jak skonfigurować podstawowy pakiet atrybutów InCommon.
      • W pliku attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) upewnij się, że pozycja AttributeRequesterString ma wartość https://dropbox.com/sp.
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule 
xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

Krok 2: Przygotowywanie potrzebnych informacji

Do skonfigurowania jednokrotnego logowania w konsoli administratora Dropbox będą potrzebne dwie informacje: adres URL logowania i certyfikat X.509.

Adres URL logowania można znaleźć w metadanych eduGAIN lub InCommon w pozycji IdPSSODescriptor odpowiadającej Twojej organizacji. Wygląda on podobnie jak w tym przykładzie:

SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/

W tym przypadku poniżej znajduje się adres URL wymagany dla Dropbox, który jest również adresem URL prowadzącym do portalu uwierzytelniania:

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
 

Certyfikat X.509 znajduje się w folderze poświadczeń i zwykle ma nazwę idp.crt. Często ścieżka do tego pliku certyfikatu wygląda następująco: /opt/shibboleth-idp/credentials/idp.crt.

Krok 3: Konfiguracja konsoli administratora Dropbox

  1. Zaloguj się w witrynie dropbox.com przy użyciu danych logowania administratora Dropbox.
  2. Kliknij Konsola administratora na pasku bocznym po lewej stronie.
  3. Kliknij Ustawienia.
  4. W sekcji Uwierzytelnianie wybierz Jednokrotne logowanie.
  5. W sekcji Uwierzytelnianie kliknij menu rozwijane po prawej stronie opcji Jednokrotne logowanie (SSO) i wybierz jedną z opcji: 
    • Opcjonalne (do testowania). 
    • Wymagane (do produkcji). 
  6. Kliknij Dodaj po prawej stronie adresu URL logowania dostawcy tożsamości, wprowadź skopiowany adres URL logowania (patrz krok 2.), a następnie kliknij Gotowe.
  7. Kliknij Dodaj po prawej stronie opcji Certyfikat X.509, a następnie prześlij certyfikat X.509 (patrz krok 2.).
  8. W sekcji Format elementu SAML NameID wybierz Tymczasowy identyfikator + atrybut e-mail.
  9. Kliknij Zapisz.
Czy ten artykuł był pomocny?

Let us know how why it didn't help:

Thanks for letting us know!

Dziękujemy za przesłanie opinii.

Odpowiedzi społeczności