Como habilitar SSO compatível com eduGAIN ou InCommon para o Dropbox

Atualizado Jul 07, 2025

As informações deste artigo se aplicam a administradores do Dropbox Standard, Business, Advanced, Business Plus e Enterprise.

O Dropbox é um parceiro patrocinado do eduGAIN e do InCommon e adere a estes padrões. Este artigo detalha como habilitar o recurso SSO (logon único) compatível com eduGAIN ou InCommon para a sua conta de equipe do Dropbox.

O que são InCommon e eduGAIN?

eduGAIN

O eduGAIN é um serviço de interfederação que permite a troca segura de informações de identidade, autenticação e autorização entre as federações participantes.

InCommon

A InCommon Federation, normalmente abreviada para InCommon, é uma estrutura de gerenciamento compartilhado confiável de acesso a recursos on-line. É específica para o mercado dos Estados Unidos.

A InCommon é muitas vezes confundida com um provedor de identidade (IdP). Na verdade, a InCommon é um protocolo com o qual seu IdP pode ser compatível, que oferece melhorias específicas de segurança para seguir o padrão InCommon.

Como habilito o SSO compatível com eduGAIN ou InCommon?

Etapa 1: Configurar o Shibboleth IdP para estar em conformidade com eduGAIN ou InCommon

Se você for um administrador do Dropbox Education, entre em contato com a sua equipe de conta e peça que eles ativem a configuração de atributo eduGAIN ou InCommon necessária.
Recupere os metadados eduGAIN ou InCommon.
- Localize os metadados listados no site do InCommon.
- Localize os metadados listados no site do eduGAIN.
Configure o filtro de atributos.
- Para clientes dos Estados Unidos, o Dropbox aceita o pacote de atributos essenciais recomendados pela InCommon.
  - O Dropbox usa a parte do e-mail desse pacote para identificar os usuários.
  - O Dropbox também exige que o ID transitório seja disponibilizado
- Saiba como configurar o pacote de atributos essenciais do InCommon.
  - No arquivo attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml), verifique se o valor da string do solicitante do atributo é https://dropbox.com/sp.

afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule 
xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

Etapa 2: Preparar as informações necessárias

Para configurar o SSO na seção de Administração do Dropbox, você precisará de duas informações: a URL de acesso e o certificado X.509.

A URL de acesso pode ser encontrada nos metadados do eduGAIN ou InCommon no IdPSSODescriptor de sua empresa e se parece com este exemplo:

SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/

Nesse caso, o URL necessário para o Dropbox está abaixo, que também é o URL que leva ao portal de autenticação:

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

O certificado X.509 está localizado na pasta de credenciais e é normalmente chamado idp.crt. O caminho de arquivo típico desse certificado é /opt/shibboleth-idp/credentials/idp.crt.

Etapa 3: Configurar a seção de Administração do Dropbox

Entre no dropbox.com usando suas credenciais de administrador do Dropbox.
Clique na seção de Administração na barra lateral esquerda.
Clique em Configurações.
Em Autenticação, selecione SSO (Logon único).
Em Autenticação, clique no menu suspenso à direita de SSO (logon único) e selecione:
- Opcional (para versão de teste).
- Obrigatório (para versão de produção).
Clique em Adicionar à direita de URL de acesso à conta do provedor de identidade, digite o URL de acesso copiado (consulte a etapa 2) e clique em Concluído.
Clique em Adicionar à direita de Certificado X.509 e envie o Certificado X.509 (consulte o passo 2).
Em Formato do NameID SAML, selecione ID transitória + atributo de e-mail.
Clique em Salvar.