如何为 Dropbox 启用受 eduGAIN 或 InCommon 支持的单点登录

已更新 Sep 22, 2023

Dropbox 是 eduGAIN 和 InCommon 的赞助合作伙伴并支持这些标准。本文将详细说明如何为您的 Dropbox 团队帐户启用受 eduGAIN 或 InCommon 支持的单点登录 (SSO)。

什么是 InCommon 和 eduGAIN?

eduGAIN

eduGAIN 是一种联合身份验证服务,可在参与的联盟之间安全交换身份、身份验证和授权信息。

InCommon

InCommon Federation(通常简称为 InCommon)是一个针对在线资源访问提供的可信共享管理框架,专门针对美国市场。

InCommon 经常被误认为是身份提供商 (IdP)。事实上,InCommon 是一种协议:如果您的 IdP 支持此协议,便可根据 InCommon 标准提供特定的安全性增强功能。

如何通过 eduGAIN 或 InCommon 启用支持的单点登录?

第 1 步:根据 eduGAIN 或 InCommon 的要求配置 Shibboleth IdP

  1. 如果您是 Dropbox Education 管理员,请联系您的帐户团队并请求其打开所需的 eduGAIN 或 InCommon 属性设置。
  2. 检索 eduGAIN 或 InCommon 元数据。
  3. 设置属性过滤器。
    • 针对美国客户,Dropbox 接受 InCommon 推荐的基本属性包
      • Dropbox 会使用此包的电子邮件部分来识别用户
      • Dropbox 还要求必须释放临时 ID
    • 了解如何配置 InCommon 基础属性包。
      • 在 attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) 文件中,确认属性请求者字符串的值为 https://dropbox.com/sp。
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule 
xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

第 2 步:准备需要的信息

要在 Dropbox 管理员控制台中配置单点登录,您需要有两项信息:登录网址和 X.509 证书。

登录网址可在 eduGAIN 或 InCommon 元数据中找到(位于贵组织的 IdPSSODescriptor 下方),看上去与下面的示例相似:

SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/

在此示例中,Dropbox 所需的网址如下所示(这也是指向身份验证门户的网址):

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
 

X.509 证书在凭据文件夹中,通常命名为 idp.crt。此证书的典型文件路径为 /opt/shibboleth-idp/credentials/idp.crt

第 3 步:配置 Dropbox 管理员控制台

  1. 使用 Dropbox 管理员凭据登录 dropbox.com。
  2. 打开管理员控制台
  3. 单击设置
  4. 身份验证下,选择单点登录
  5. 可选或必需模式下启用单点登录。(可选模式用于测试,必需模式用于生产环境。)
  6. 粘贴登录网址(本文前面采集的网址)。
  7. 上传 X.509 证书(本文前面采集的证书)。
  8. SAML NameID 格式下,选择临时性 ID + 电子邮件属性
这篇文章有用吗?

Let us know how why it didn't help:

Thanks for letting us know!

谢谢您的意见!

社区答案

获取帮助的其他方式