Как подключить в Dropbox функцию единого входа, обеспечиваемую eduGAIN или InCommon

Обновление Feb 04, 2025

Данная информация предназначена для администраторов Dropbox Standard, Business, Advanced, Business Plus и Enterprise.

Будучи спонсируемым партнером eduGAIN и InCommon, Dropbox поддерживает эти стандарты. В этой статье описано, как включить функцию единого входа (SSO), поддерживаемую EduGAIN или InCommon, для аккаунта рабочей группы в Dropbox.

Что такое InCommon и eduGAIN?

eduGAIN

eduGAIN — это международный межфедерационный сервис, с помощью которого идентификационные федерации могут безопасно обмениваться информацией об идентификации, проверке подлинности и авторизации.

InCommon

Федерация InCommon (которую обычно называют просто InCommon) — это структура правил и стандартов надежного общего управления доступом к онлайн-ресурсам. Этот сервис прежде всего работает на рынке США.

InCommon часто по ошибке принимают за поставщика удостоверений. На самом деле InCommon — это протокол, который может поддерживать ваш поставщик удостоверений (это делается для того, чтобы при соответствии стандартам InCommon обеспечить определенные улучшенные функции безопасности).

Как подключить поддерживаемый единый вход с eduGAIN или InCommon?

Этап 1. Настройка Shibboleth IdP для соответствия eduGAIN или InCommon

Если вы администратор аккаунта Dropbox Education, попросите участников своей рабочей группы включить нужную настройку атрибута eduGAIN или InCommon.
Получите метаданные InCommon или eduGAIN.
- Метаданные перечислены на сайте InCommon.
- Метаданные перечислены на сайте eduGAIN.
Установите фильтр атрибутов.
- Для клиентов, находящихся в США, Dropbox принимает рекомендуемый InCommon пакет ключевых атрибутов.
  - Dropbox использует часть этого пакета, связанную с электронной почтой, чтобы идентифицировать пользователей.
  - Dropbox также необходимо, чтобы ваш поставщик удостоверений выслал временный идентификатор.
- Читайте подробнее о том, как настроить пакет ключевых атрибутов InCommon.
  - В файле attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) удостоверьтесь, что значение строки реквестера атрибутов — https://dropbox.com/sp.

afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule 
xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

Этап 2. Подготовка необходимой информации

Чтобы настроить функцию единого входа в консоли администрирования Dropbox, вам понадобится URL-адрес для входа и сертификат X.509.

URL-адрес для входа можно найти в метаданных eduGAIN или InCommon в разделе IdPSSODescriptor вашей организации. Вот пример того, как он может выглядеть:

SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/

В данном примере необходимый Dropbox URL-адрес указан внизу (этот же URL-адрес ведет на портал для аутентификации).

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

Сертификат X.509 находится в папке с регистрационными данными и обычно называется idp.crt. Стандартный адрес этого сертификата: /opt/shibboleth-idp/credentials/idp.crt.

Этап 3. Настройка консоли администрирования Dropbox

Войдите в аккаунт администратора на сайте dropbox.com.
Откройте Консоль администрирования.
Нажмите Настройки.
В разделе Аутентификация выберите Единый вход.
Подключите функцию единого входа (SSO) в необязательном или обязательном режиме (необязательный режим предназначен для тестирования и проверки, а обязательный — для работы).
Вставьте нужный URL-адрес для входа (выше в этой статье описано, как его найти).
Загрузите сертификат X.509 (выше в этой статье описано, как его найти).
В разделе Формат идентификационных данных (NameID) для SAML (SAML NameID Format) выберите Временный идентификатор + утверждение эл. почты (Transient ID + Email Assertion).