如何為 Dropbox 啟用受 eduGAIN 或 InCommon 支援的單一登入

已更新 Nov 12, 2024

Dropbox 是 eduGAIN 和 InCommon 的贊助夥伴,支援相關標準。本文說明如何為 Dropbox 團隊帳戶啟用受 eduGAIN 或 InCommon 支援的單一登入。

InCommon 和 eduGAIN 是什麼?

eduGAIN

eduGAIN 是一項跨聯盟服務,能讓參與的聯盟透過安全的方式交換身分識別、驗證和授權資訊。

InCommon

InCommon Federation (通常簡稱 InCommon) 是存取網路資源值得信賴的共享管理架構。專門針對美國市場。

InCommon 常被誤認為就是身分提供者 (IdP)。事實上,InCommon 是一種協定;如果您的 IdP 支援這項協定,便可提供符合 InCommon 標準的特定安全性增強功能。

我要如何啟用支援 eduGAIN 或 InCommon 的單一登入?

步驟 1:將 Shibboleth IdP 依照 eduGAIN 或 InCommon 的標準設定

  1. 如果您是 Dropbox Education 管理員,請聯絡您的客戶團隊,要求啟用必要的 eduGAIN 或 InCommon 屬性設定。
  2. 取得 eduGAIN 或 InCommon 的後設資料。
  3. 設定屬性過濾器。
    • 針對位於美國的使用者,Dropbox 使用 InCommon 建議的必要屬性組合
      • Dropbox 使用此組合中的電子郵件來辨別使用者
      • Dropbox 也要求暫時性 ID 必須釋出
    • 瞭解如何配置 InCommon 必要屬性組合。
      • 在 attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) 檔中,確認屬性請求串中的值為 https://dropbox.com/sp。
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
       afp:PolicyRequirementRule 
xsi:type="basic:AttributeRequesterString"
          value="https://dropbox.com/sp"/

步驟 2:備妥需要的資料

若要在 Dropbox 管理員主控台上配置單一登入 (SSO),您必須擁有兩組資訊:登入 URL 及 X.509 憑證。

您可以在貴組織 IdP SSO 描述檔的 eduGAIN 或 InCommon 後設資料中找到登入 URL。它看起來像:

SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/

這表示,Dropbox 需要的 URL 為以下網址,也就是前往驗證入口的 URL。

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

X.509 憑證位於憑證資料夾中,名稱通常為「idp.crt」。此憑證常見的的檔案路徑為 /opt/shibboleth-idp/credentials/idp.crt

步驟 3:設定 Dropbox 管理員主控台

  1. 以 Dropbox 管理員帳號密碼登入 dropbox.com。
  2. 開啟管理員主控台
  3. 按一下 [設定]。
  4. 在 [驗證] 中,按一下 [單一登入]。
  5. 在 [非必要或必填模式] 中啟用單一登入。(非必要模式是測試時使用,而必填模式則是在完成階段時使用。)
  6. 貼上登入 URL (在上述步驟中取得的 URL)。
  7. 上傳 X.509 憑證 (在上述步驟中取得的憑證)。
  8. SAML 中的 NameID 格式,選取暫時性 ID + Email 驗證
這篇文章對您有幫助嗎?

Let us know how why it didn't help:

Thanks for letting us know!

感謝您的意見。

其他取得協助的方式