Como habilitar SSO compatível com eduGAIN ou InCommon para o Dropbox

Atualizado Nov 12, 2024

O Dropbox é um parceiro patrocinado do eduGAIN e do InCommon e é compatível com esses padrões. Este artigo explica como habilitar um logon único (SSO) compatível com eduGAIN ou InCommon na sua conta de equipe do Dropbox.

O que são InCommon e eduGAIN?

eduGAIN

O eduGain é um serviço de interfederação que permite a troca segura de informações de identidade, autenticação e autorização entre as federações participantes.

InCommon

A InCommon Federation, normalmente abreviada para InCommon, é uma estrutura de gerenciamento compartilhado confiável de acesso a recursos on-line. É específica para o mercado dos Estados Unidos.

A InCommon é muitas vezes confundida com um provedor de identidade (IdP). Na verdade, a InCommon é um protocolo com o qual seu IdP pode ser compatível, que oferece melhorias específicas de segurança para seguir o padrão InCommon.

Como habilito o SSO compatível com eduGAIN ou InCommon?

Etapa 1: Configurar o Shibboleth IdP para estar em conformidade com eduGAIN ou InCommon

Se você for um administrador do Dropbox Education, entre em contato com a sua equipe de conta e peça que eles ativem a configuração de atributo eduGAIN ou InCommon necessária.
Recupere os metadados eduGAIN ou InCommon.
- Localize os metadados listados no site do InCommon.
- Localize os metadados listados no site do eduGAIN.
Configure o filtro de atributos.
- Para clientes dos Estados Unidos, o Dropbox aceita o pacote de atributos essenciais recomendados pela InCommon.
  - O Dropbox usa a parte do e-mail desse pacote para identificar os usuários.
  - O Dropbox também exige que o ID transitório seja disponibilizado
- Saiba como configurar o pacote de atributos essenciais do InCommon.
  - No arquivo attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml), verifique se o valor da string do solicitante do atributo é https://dropbox.com/sp.

afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule 
xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

Etapa 2: Preparar as informações necessárias

Para configurar o SSO na seção de Administração do Dropbox, você precisará de duas informações: a URL de acesso e o certificado X.509.

A URL de acesso pode ser encontrada nos metadados do eduGAIN ou InCommon no IdPSSODescriptor de sua empresa e se parece com este exemplo:

SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/

Nesse caso, a URL necessária para o Dropbox está abaixo, que também é a URL que leva ao portal de autenticação.

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

O certificado X.509 está localizado na pasta de credenciais e é normalmente chamado idp.crt. O caminho de arquivo típico desse certificado é /opt/shibboleth-idp/credentials/idp.crt.

Etapa 3: Configurar a seção de Administração do Dropbox

Entre no dropbox.com usando suas credenciais de administrador do Dropbox.
Abra a seção de Administração.
Clique em Configurações.
Em Autenticação, selecione SSO (Logon único).
Habilite o SSO no modo Opcional ou Obrigatório. O modo Opcional é para testes e o modo Obrigatório é para produção.
Cole a URL de acesso (coletada anteriormente neste artigo).
Carregue o certificado X.509 (coletado anteriormente neste artigo).
Em Formato do NameID SAML, selecione ID transitória + atributo de e-mail.