Как подключить в Dropbox функцию единого входа, обеспечиваемую eduGAIN или InCommon

Обновление Nov 12, 2024

Dropbox является партнером eduGAIN и InCommon и соответствует их стандартам. В этой статье рассказывается, как подключить в аккаунте Dropbox для рабочих групп функцию единого входа (SSO), обеспечиваемую eduGAIN или InCommon.

Что такое InCommon и eduGAIN?

eduGAIN

eduGAIN — это международный межфедерационный сервис, с помощью которого идентификационные федерации могут безопасно обмениваться информацией об идентификации, проверке подлинности и авторизации.

InCommon

Федерация InCommon (которую обычно называют просто InCommon) — это структура правил и стандартов надежного общего управления доступом к онлайн-ресурсам. Этот сервис прежде всего работает на рынке США.

InCommon часто по ошибке принимают за поставщика удостоверений. На самом деле InCommon — это протокол, который может поддерживать ваш поставщик удостоверений (это делается для того, чтобы при соответствии стандартам InCommon обеспечить определенные улучшенные функции безопасности).
 

Как подключить поддерживаемый единый вход с eduGAIN или InCommon?

Этап 1. Настройка Shibboleth IdP для соответствия eduGAIN или InCommon

  1. Если вы администратор аккаунта Dropbox Education, попросите участников своей рабочей группы включить нужную настройку атрибута eduGAIN или InCommon. 
  2. Получите метаданные InCommon или eduGAIN.
  3. Установите фильтр атрибутов.
    • Для клиентов, находящихся в США, Dropbox принимает рекомендуемый InCommon пакет ключевых атрибутов.
      • Dropbox использует часть этого пакета, связанную с электронной почтой, чтобы идентифицировать пользователей.
      • Dropbox также необходимо, чтобы ваш поставщик удостоверений выслал временный идентификатор.
    • Читайте подробнее о том, как настроить пакет ключевых атрибутов InCommon.
      • В файле attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) удостоверьтесь, что значение строки реквестера атрибутов — https://dropbox.com/sp.
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule 
xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

Этап 2. Подготовка необходимой информации

Чтобы настроить функцию единого входа в консоли администрирования Dropbox, вам понадобится URL-адрес для входа и сертификат X.509.

URL-адрес для входа можно найти в метаданных eduGAIN или InCommon в разделе IdPSSODescriptor вашей организации. Вот пример того, как он может выглядеть:

SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/

В данном примере необходимый Dropbox URL-адрес указан внизу (этот же URL-адрес ведет на портал для аутентификации).

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
 

Сертификат X.509 находится в папке с регистрационными данными и обычно называется idp.crt. Стандартный адрес этого сертификата: /opt/shibboleth-idp/credentials/idp.crt.

Этап 3. Настройка консоли администрирования Dropbox

  1. Войдите в аккаунт администратора на сайте dropbox.com.
  2. Откройте Консоль администрирования.
  3. Нажмите Настройки.
  4. В разделе Аутентификация выберите Единый вход.
  5. Подключите функцию единого входа (SSO) в необязательном или обязательном режиме (необязательный режим предназначен для тестирования и проверки, а обязательный — для работы).
  6. Вставьте нужный URL-адрес для входа (выше в этой статье описано, как его найти).
  7. Загрузите сертификат X.509 (выше в этой статье описано, как его найти).
  8. В разделе Формат идентификационных данных (NameID) для SAML (SAML NameID Format) выберите Временный идентификатор + утверждение эл. почты (Transient ID + Email Assertion).
Оказалась ли эта статья полезной?

Let us know how why it didn't help:

Thanks for letting us know!

Благодарим за отзыв!