如何为 Dropbox 启用受 eduGAIN 或 InCommon 支持的单点登录

Dropbox 是 eduGAIN 和 InCommon 的赞助合作伙伴，并支持这些标准。本文详细介绍了如何为您的 Dropbox 团队帐户启用 eduGAIN 或 InCommon 支持的单点登录 (SSO)。

什么是 InCommon 和 eduGAIN？

eduGAIN

eduGAIN 是一项联合身份验证服务，可在参与的联合体之间安全地交换身份、身份验证和授权信息。

InCommon

InCommon Federation（通常简称为 InCommon）是一个针对在线资源访问提供的可信共享管理框架，专门针对美国市场。

InCommon 经常被误认为是身份提供商 (IdP)。事实上，InCommon 是一种协议：如果您的 IdP 支持此协议，便可根据 InCommon 标准提供特定的安全性增强功能。

如何通过 eduGAIN 或 InCommon 启用支持的单点登录？

第 1 步：根据 eduGAIN 或 InCommon 的要求配置 Shibboleth IdP

1. 如果您是 Dropbox Education 管理员，请联系您的帐户团队并请求其打开所需的 eduGAIN 或 InCommon 属性设置。
2. 检索 eduGAIN 或 InCommon 元数据。
   • 查找列在 InCommon 网站上的元数据。
   • 查找列在 eduGAIN 网站上的元数据。
3. 设置属性过滤器。
   • 针对美国客户，Dropbox 接受 InCommon 推荐的基本属性包。
     • Dropbox 会使用此包的电子邮件部分来识别用户
     • Dropbox 还要求必须释放临时 ID
   • 了解如何配置 InCommon 基础属性包。
     • 在 attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) 文件中，确认属性请求者字符串的值为 https://dropbox.com/sp。

在本例中，Dropbox 所需的 URL 如下所示，也即身份验证门户平台的 URL：

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
 

X.509 证书在凭据文件夹中，通常命名为 idp.crt。此证书的典型文件路径为 /opt/shibboleth-idp/credentials/idp.crt。

第 3 步：配置 Dropbox 管理员控制台

1. 使用 Dropbox 管理员凭据登录 dropbox.com。
2. 单击左侧边栏中的管理员控制台。
3. 单击设置。
4. 在身份验证下，选择单点登录。
5. 在身份验证下，点击单点登录 (SSO) 右侧的下拉菜单，然后选择：
   • 可选（用于测试）。
   • 必需（用于生产）。
6. 点击身份提供商登录 URL 右侧的添加，输入复制的登录 URL（见第 2 步），然后点击完成。
7. 点击 X.509 证书右侧的添加，然后上传 X.509 证书（见第 2 步）。
8. 在 SAML NameID 格式下，选择临时性 ID + 电子邮件属性 。
9. 单击保存。