Как настроить функцию единого входа с помощью поставщика удостоверений из GakuNin
Что такое GakuNin?
Японская Федерация по управлению академическим доступом (GakuNin) — это федерация, связанная с японским Национальным институтом информатики (NII). В GakuNin входят университеты и нии, пользующиеся академическими электронными ресурсами и предоставляющие такие ресурсы. Федерация установила правила взаимного доверия, пользуясь которыми, организации могут включить доступ для обмена данными между собой.
Как включить функцию единого входа через поставщика удостоверений из GakuNin
Чтобы включить функцию единого входа через поставщика удостоверений из GakuNin, выполните следующие действия:
1. Присоединитесь к GakuNin и eduGAIN.
Для работы этой функции необходимо, чтобы поставщик удостоверений из GakuNin присоединился к eduGAIN. При необходимости воспользуйтесь этой ссылкой для присоединения к eduGAIN.
Если вы не можете присоединиться к eduGAIN или не являетесь участником GakuNin, посмотрите раздел с общими сведениями о функции единого входа (SSO).
2. Включите GakuNin в Dropbox.
В Dropbox нужно включить настройку, разрешающую подключения из GakuNin. Чтобы включить GakuNin для своей рабочей группы Dropbox, свяжитесь со своим менеджером по продвижению пользователей. Если не включить эту настройку, вы не сможете выполнить следующие инструкции по настройке консоли администрирования Dropbox.
3. Настройте фильтр атрибутов Shibboleth IdP.
Выполните указанное ниже действие, чтобы настроить фильтр для отправки почтового атрибута от поставщика удостоверений в Dropbox.
Добавьте указанный ниже код в файл the attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml).
<AttributeFilterPolicy id="PolicyforDROPBOX">
<PolicyRequirementRule xsi:type="Requester"
value="https://dropbox.com/sp"/>
<AttributeRule attributeID="mail">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
</AttributeFilterPolicy>4. Подготовьте необходимую информацию.
Чтобы настроить функцию единого входа в консоли администрирования Dropbox, вам понадобится URL-адрес для входа и сертификат X.509.
Используйте значение из IdPSSODescriptor в метаданных поставщика удостоверений для URL-адреса входа. См. пример ниже.
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://idp.gakunin.nii.ac.jp/idp/profile/SAML2/Redirect/SSO"/>https://idp.gakunin.nii.ac.jp/idp/profile/SAML2/Redirect/SSOДля сертификата X.509 может быть использован файл в папке поставщика удостоверений. Обычный путь к файлу этого сертификата: /opt/shibboleth-idp/credentials/server.crt
5. Настройте консоль администрирования Dropbox.
- Войдите в аккаунт администратора на сайте dropbox.com.
- Откройте Консоль администрирования.
- Нажмите Настройки.
- В разделе Аутентификация выберите Единый вход.
- Подключите функцию единого входа (SSO) в необязательном или обязательном режиме (необязательный режим предназначен для тестирования и проверки, а обязательный — для работы).
- Вставьте нужный URL-адрес для входа (выше в этой статье описано, как его найти).
- Загрузите сертификат X.509 (выше в этой статье описано, как его найти).
- В разделе Формат идентификационных данных (NameID) для SAML выберите Временный идентификатор + утверждение эл. почты и сохраните изменения (если GakuNin не включен, то эта опция не отобразится).
Частые вопросы
Как воспользоваться этой схемой единого входа в личном аккаунте?
В аккаунтах Dropbox Advanced, Enterprise и Education можно использовать функцию единого входа (SSO). Чтобы использовать функцию единого входа в личном аккаунте, нужно присоединиться в качестве участника к рабочей группе Dropbox или Dropbox Education, в которой она подключена.
Если вы являетесь администратором рабочей группы Dropbox или Dropbox Education, вы можете включить для своей группы функцию единого входа.
Как присоединиться к рабочей группе с личным аккаунтом?
Если администратор приглашает личный аккаунт в свою рабочую группу, у приглашенного пользователя с таким аккаунтом есть следующие возможности:
- Можно принять приглашение как есть и присоединиться к рабочей группе со всеми своими файлами.
- Можно переместить личные файлы в другую среду (в другой аккаунт Dropbox или другую облачную службу, на жесткий диск и т. д.) и присоединиться к рабочей группе только с теми файлами, которые вы хотите туда взять.
- Можно изменить свой электронный адрес для личного аккаунта и присоединиться к рабочей группе в качестве нового пользователя.
Подробнее о том, как присоединиться к рабочей группе Dropbox…
Если я приму приглашение в рабочую группу, будет ли содержимое моего личного аккаунта видно другим пользователям?
Когда вы присоединитесь к рабочей группе, ваши файлы не станут видимыми для других пользователей. Доступ к вашим файлам и папкам останется только у вас, пока вы не пригласите других пользователей в какую-нибудь папку, сделав ее общей, или не поместите свои файлы в папку рабочей группы, управляемую этой группой. То же относится и к файлам и папкам на вашем компьютере. Однако администратор может входить в систему от имени другого участника рабочей группы, а также просматривать журналы событий.
Подробнее о том, к каким файлам имеют доступ участники вашей рабочей группы и администраторы…
Можно ли пригласить в рабочую группу аккаунт, который уже присоединился к другой группе?
Один аккаунт не может присоединяться к нескольким рабочим группам. Если вас пригласили в еще в какую-то рабочую группу — не в ту, в которой вы уже состоите, вы сможете к ней присоединиться только после того, как покинете ту рабочую группу, в которой уже состоите.
