如何为 Dropbox 启用受 eduGAIN 或 InCommon 支持的单点登录

已更新 Feb 04, 2025

本文中的信息适用于 Dropbox Standard、Business、Advanced、Business Plus 和 Enterprise 的管理员。

Dropbox 是 eduGAIN 和 InCommon 的赞助合作伙伴，并支持这些标准。本文详细介绍了如何为您的 Dropbox 团队帐户启用 eduGAIN 或 InCommon 支持的单点登录 (SSO)。

什么是 InCommon 和 eduGAIN？

eduGAIN

eduGAIN 是一种联合身份验证服务，可在参与的联盟之间安全交换身份、身份验证和授权信息。

InCommon

InCommon Federation（通常简称为 InCommon）是一个针对在线资源访问提供的可信共享管理框架，专门针对美国市场。

InCommon 经常被误认为是身份提供商 (IdP)。事实上，InCommon 是一种协议：如果您的 IdP 支持此协议，便可根据 InCommon 标准提供特定的安全性增强功能。

如何通过 eduGAIN 或 InCommon 启用支持的单点登录？

第 1 步：根据 eduGAIN 或 InCommon 的要求配置 Shibboleth IdP

如果您是 Dropbox Education 管理员，请联系您的帐户团队并请求其打开所需的 eduGAIN 或 InCommon 属性设置。
检索 eduGAIN 或 InCommon 元数据。
- 查找列在 InCommon 网站上的元数据。
- 查找列在 eduGAIN 网站上的元数据。
设置属性过滤器。
- 针对美国客户，Dropbox 接受 InCommon 推荐的基本属性包。
  - Dropbox 会使用此包的电子邮件部分来识别用户
  - Dropbox 还要求必须释放临时 ID
- 了解如何配置 InCommon 基础属性包。
  - 在 attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) 文件中，确认属性请求者字符串的值为 https://dropbox.com/sp。

afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule 
xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

第 2 步：准备需要的信息

要在 Dropbox 管理员控制台中配置单点登录，您需要有两项信息：登录网址和 X.509 证书。

登录网址可在 eduGAIN 或 InCommon 元数据中找到（位于贵组织的 IdPSSODescriptor 下方），看上去与下面的示例相似：

SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/

在此示例中，Dropbox 所需的网址如下所示（这也是指向身份验证门户的网址）：

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

X.509 证书在凭据文件夹中，通常命名为 idp.crt。此证书的典型文件路径为 /opt/shibboleth-idp/credentials/idp.crt。