Włączanie jednokrotnego logowania (SSO) dla Dropbox zgodnego z eduGAIN lub InCommon
Dropbox jest sponsorowanym partnerem eduGAIN oraz InCommon i obsługuje te standardy. W tym artykule wyjaśniono, jak włączyć na koncie zespołu Dropbox jednokrotne logowanie (SSO) zgodne z eduGAIN lub InCommon.
Czym są InCommon i eduGAIN?
eduGAIN
eduGAIN to usługa interfederacyjna, która umożliwia bezpieczną wymianę informacji o tożsamości, uwierzytelnianiu i autoryzacji między uczestniczącymi federacjami.
InCommon
InCommon Federation, często skracane do InCommon, to schemat zaufanego wspólnego zarządzania dostępem do zasobów online. Jest on typowy dla rynku amerykańskiego.
InCommon często mylnie uważa się za dostawcę tożsamości. W rzeczywistości InCommon to protokół, który dostawca tożsamości może obsługiwać w celu zapewnienia konkretnych ulepszeń bezpieczeństwa zgodnych ze standardem InCommon.
Jak mogę włączyć obsługiwane jednokrotne logowanie za pomocą eduGAIN lub InCommon?
Krok 1: Konfigurowanie dostawcy tożsamości Shibboleth pod kątem zgodności z eduGAIN lub InCommon
- Jeśli jesteś administratorem Dropbox Education, skontaktuj się ze swoim zespołem ds. kont i poproś o włączenie wymaganego ustawienia atrybutu eduGAIN lub InCommon.
- Pobierz metadane eduGAIN lub InCommon.
- Skonfiguruj filtr atrybutów.
- W przypadku klientów zlokalizowanych w USA Dropbox akceptuje zalecany przez InCommon podstawowy pakiet atrybutów.
- Do identyfikacji użytkowników w Dropbox służy część e-mail tego pakietu.
- Ponadto Dropbox wymaga zwolnienia identyfikatora przejściowego.
- Dowiedz się, jak skonfigurować podstawowy pakiet atrybutów InCommon.
- W pliku attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) upewnij się, że pozycja AttributeRequesterString ma wartość https://dropbox.com/sp.
- W przypadku klientów zlokalizowanych w USA Dropbox akceptuje zalecany przez InCommon podstawowy pakiet atrybutów.
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
afp:PolicyRequirementRule
xsi:type="basic:AttributeRequesterString"
value="https://dropbox.com/sp"/
Krok 2: Przygotowywanie potrzebnych informacji
Do skonfigurowania jednokrotnego logowania w konsoli administratora Dropbox będą potrzebne dwie informacje: adres URL logowania i certyfikat X.509.
Adres URL logowania można znaleźć w metadanych eduGAIN lub InCommon w pozycji IdPSSODescriptor odpowiadającej Twojej organizacji. Wygląda on podobnie jak w tym przykładzie:
SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
W tym przypadku adres URL potrzebny dla Dropbox znajduje się poniżej. Jest to również adres URL prowadzący do portalu uwierzytelniania.
https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
Certyfikat X.509 znajduje się w folderze poświadczeń i zwykle ma nazwę idp.crt. Często ścieżka do tego pliku certyfikatu wygląda następująco: /opt/shibboleth-idp/credentials/idp.crt.
Krok 3: Konfiguracja konsoli administratora Dropbox
- Zaloguj się w witrynie dropbox.com przy użyciu danych logowania administratora Dropbox.
- Otwórz Konsolę administratora.
- Kliknij Ustawienia.
- W sekcji Uwierzytelnianie wybierz Jednokrotne logowanie.
- Włącz jednokrotne logowanie (SSO) w trybie opcjonalnym lub wymaganym. (Tryb opcjonalny służy do testowania, a tryb wymagany jest przeznaczony do środowiska produkcyjnego).
- Wklej adres URL logowania (uzyskany we wcześniejszej części tego artykułu).
- Prześlij certyfikat X.509 (uzyskany we wcześniejszej części tego artykułu).
- W sekcji Format elementu SAML NameID wybierz Tymczasowy identyfikator + atrybut e-mail.