Как подключить в Dropbox функцию единого входа, обеспечиваемую eduGAIN или InCommon
Dropbox является партнером eduGAIN и InCommon и соответствует их стандартам. В этой статье рассказывается, как подключить в аккаунте Dropbox для рабочих групп функцию единого входа (SSO), обеспечиваемую eduGAIN или InCommon.
Что такое InCommon и eduGAIN?
eduGAIN
eduGAIN — это международный межфедерационный сервис, с помощью которого идентификационные федерации могут безопасно обмениваться информацией об идентификации, проверке подлинности и авторизации.
InCommon
Федерация InCommon (которую обычно называют просто InCommon) — это структура правил и стандартов надежного общего управления доступом к онлайн-ресурсам. Этот сервис прежде всего работает на рынке США.
InCommon часто по ошибке принимают за поставщика удостоверений. На самом деле InCommon — это протокол, который может поддерживать ваш поставщик удостоверений (это делается для того, чтобы при соответствии стандартам InCommon обеспечить определенные улучшенные функции безопасности).
Как подключить поддерживаемый единый вход с eduGAIN или InCommon?
Этап 1. Настройка Shibboleth IdP для соответствия eduGAIN или InCommon
- Если вы администратор аккаунта Dropbox Education, попросите участников своей рабочей группы включить нужную настройку атрибута eduGAIN или InCommon.
- Получите метаданные InCommon или eduGAIN.
- Установите фильтр атрибутов.
- Для клиентов, находящихся в США, Dropbox принимает рекомендуемый InCommon пакет ключевых атрибутов.
- Dropbox использует часть этого пакета, связанную с электронной почтой, чтобы идентифицировать пользователей.
- Dropbox также необходимо, чтобы ваш поставщик удостоверений выслал временный идентификатор.
- Читайте подробнее о том, как настроить пакет ключевых атрибутов InCommon.
- В файле attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) удостоверьтесь, что значение строки реквестера атрибутов — https://dropbox.com/sp.
- Для клиентов, находящихся в США, Dropbox принимает рекомендуемый InCommon пакет ключевых атрибутов.
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
afp:PolicyRequirementRule
xsi:type="basic:AttributeRequesterString"
value="https://dropbox.com/sp"/
Этап 2. Подготовка необходимой информации
Чтобы настроить функцию единого входа в консоли администрирования Dropbox, вам понадобится URL-адрес для входа и сертификат X.509.
URL-адрес для входа можно найти в метаданных eduGAIN или InCommon в разделе IdPSSODescriptor вашей организации. Вот пример того, как он может выглядеть:
SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
В данном примере необходимый Dropbox URL-адрес указан внизу (этот же URL-адрес ведет на портал для аутентификации).
https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
Сертификат X.509 находится в папке с регистрационными данными и обычно называется idp.crt. Стандартный адрес этого сертификата: /opt/shibboleth-idp/credentials/idp.crt.
Этап 3. Настройка консоли администрирования Dropbox
- Войдите в аккаунт администратора на сайте dropbox.com.
- Откройте Консоль администрирования.
- Нажмите Настройки.
- В разделе Аутентификация выберите Единый вход.
- Подключите функцию единого входа (SSO) в необязательном или обязательном режиме (необязательный режим предназначен для тестирования и проверки, а обязательный — для работы).
- Вставьте нужный URL-адрес для входа (выше в этой статье описано, как его найти).
- Загрузите сертификат X.509 (выше в этой статье описано, как его найти).
- В разделе Формат идентификационных данных (NameID) для SAML (SAML NameID Format) выберите Временный идентификатор + утверждение эл. почты (Transient ID + Email Assertion).