如何為 Dropbox 啟用受 eduGAIN 或 InCommon 支援的單一登入

Dropbox 是 eduGAIN 和 InCommon 的贊助夥伴，支援相關標準。本文說明如何為 Dropbox 團隊帳戶啟用受 eduGAIN 或 InCommon 支援的單一登入。

InCommon 和 eduGAIN 是什麼？

eduGAIN

eduGAIN 是一項跨聯盟服務，能讓參與的聯盟透過安全的方式交換身分識別、驗證和授權資訊。

InCommon

InCommon Federation (通常簡稱 InCommon) 是存取網路資源值得信賴的共享管理架構。專門針對美國市場。

InCommon 常被誤認為就是身分提供者 (IdP)。事實上，InCommon 是一種協定；如果您的 IdP 支援這項協定，便可提供符合 InCommon 標準的特定安全性增強功能。

我要如何啟用支援 eduGAIN 或 InCommon 的單一登入？

步驟 1：將 Shibboleth IdP 依照 eduGAIN 或 InCommon 的標準設定

1. 如果您是 Dropbox Education 管理員，請聯絡您的客戶團隊，要求啟用必要的 eduGAIN 或 InCommon 屬性設定。
2. 取得 eduGAIN 或 InCommon 的後設資料。
   • 在 InCommon 網站上找到後設資料。
   • 在 eduGAIN 網站上找到後設資料。
3. 設定屬性過濾器。
   • 針對位於美國的使用者，Dropbox 使用 InCommon 建議的必要屬性組合。
     • Dropbox 使用此組合中的電子郵件來辨別使用者
     • Dropbox 也要求暫時性 ID 必須釋出
   • 瞭解如何配置 InCommon 必要屬性組合。
     • 在 attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) 檔中，確認屬性請求串中的值為 https://dropbox.com/sp。

步驟 2：備妥需要的資料

若要在 Dropbox 管理員主控台上配置單一登入 (SSO)，您必須擁有兩組資訊：登入 URL 及 X.509 憑證。

您可以在貴組織 IdP SSO 描述檔的 eduGAIN 或 InCommon 後設資料中找到登入 URL。它看起來像：

這表示，Dropbox 需要的 URL 為以下網址，也就是前往驗證入口的 URL。

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

X.509 憑證位於憑證資料夾中，名稱通常為「idp.crt」。此憑證常見的的檔案路徑為 /opt/shibboleth-idp/credentials/idp.crt。

步驟 3：設定 Dropbox 管理員主控台

1. 以 Dropbox 管理員帳號密碼登入 dropbox.com。
2. 開啟管理員主控台。
3. 按一下 [設定]。
4. 在 [驗證] 中，按一下 [單一登入]。
5. 在 [非必要或必填模式] 中啟用單一登入。(非必要模式是測試時使用，而必填模式則是在完成階段時使用。)
6. 貼上登入 URL (在上述步驟中取得的 URL)。
7. 上傳 X.509 憑證 (在上述步驟中取得的憑證)。
8. 在 SAML 中的 NameID 格式，選取暫時性 ID + Email 驗證。