Så här aktiverar du SSO med stöd för eduGAIN eller InCommon för Dropbox

Uppdaterat Sep 25, 2023

Dropbox är en sponsrad partner inom eduGAIN och InCommon samt har stöd för dessa standarder. I den här artikeln beskrivs hur man aktiverar samlad inloggning (SSO) med stöd för eduGAIN eller InCommon för Dropbox-teamkontot.

Vad är InCommon och eduGAIN?

eduGAIN

eduGAIN är en interfederationstjänst som möjliggör säkert utbyte av identitet, autentisering och behörighetsinformation mellan deltagande federationer.

InCommon

InCommon Federation, vilket brukar förkortas InCommon, är ett ramverk för säker delad hantering av åtkomst till onlineresurser. Det gäller för marknaden i USA.

InCommon uppfattas ofta felaktigt som en identitetsleverantör (idP). InCommon är i själva verket ett protokoll som din identitetsleverantör kan stödja för att tillhandahålla särskilda säkerhetsförbättringar för att följa InCommon-standarden.

Hur aktiverar jag stöd för SSO med eduGAIN eller InCommon?

Steg 1: Konfigurera Shibboleth IdP så att det följer eduGAIN eller InCommon

Om du är Dropbox Education-administratör kontaktar du ditt kontoteam och begär att de aktiverar de obligatoriska eduGAIN- eller InCommon-attributinställningarna.
Hämta eduGAIN- eller InCommon-metadata.
- Leta upp metadata som finns på InCommons webbplats.
- Leta upp metadata som finns på eduGAINs webbplats.
Konfigurera attributfiltret.
- För kunder baserade i USA godkänner Dropbox det av InCommon rekommenderade nödvändiga attributpaketet.
  - Dropbox använder mejldelen i detta paket för att identifiera användare
  - Dropbox kräver även att den tillfälliga identifieraren frigörs
- Läs mer om hur man konfigurerar det nödvändiga attributpaketet för InCommon.
  - I filen attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) är det viktigt att strängen som innehåller vem det är som begär attributen är https://dropbox.com/sp.

afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule 
xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

Steg 2: Förbered informationen som behövs

För att kunna konfigurera SSO i Dropbox adminkonsol måste du ha två uppgifter: inloggningslänken och X.509-certifikatet.

Inloggningslänken finns i eduGAIN- eller InCommon-metadata under din organisations IdPSSODescriptor och liknar det här exemplet:

SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/

I det här fallet finns länkadressen som behövs för Dropbox nedan, vilken också är den länkadress som leder till autentiseringsportalen.

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

X.509-certifikatet finns i mappen med autentiseringsuppgifter och brukar heta idp.crt. En vanlig filsökväg till det här certifikatet är /opt/shibboleth-idp/credentials/idp.crt.

Steg 3: Konfigurera Dropbox-adminkonsolen

Logga in på dropbox.com med inloggningsuppgifterna för Dropbox-administratören.
Öppna adminkonsolen.
Klicka på Inställningar.
Under Verifiering klickar du på Samlad inloggning.
Aktivera SSO i valfritt eller obligatoriskt läge. (Valfritt läge används för test och Obligatoriskt läge är för produktion.)
Klistra in inloggningslänken (som hämtades tidigare i den här artikeln).
Ladda upp X.509-certifikatet (som hämtades tidigare i den här artikeln).
Under SAML NameID Format väljer du Tillfällig identifierare + mejlkontroll.