如何為 Dropbox 啟用受 eduGAIN 或 InCommon 支援的單一登入
已更新 Nov 12, 2024
Dropbox 是 eduGAIN 和 InCommon 的贊助夥伴,支援相關標準。本文說明如何為 Dropbox 團隊帳戶啟用受 eduGAIN 或 InCommon 支援的單一登入。
InCommon 和 eduGAIN 是什麼?
eduGAIN
eduGAIN 是一項跨聯盟服務,能讓參與的聯盟透過安全的方式交換身分識別、驗證和授權資訊。
InCommon
InCommon Federation (通常簡稱 InCommon) 是存取網路資源值得信賴的共享管理架構。專門針對美國市場。
InCommon 常被誤認為就是身分提供者 (IdP)。事實上,InCommon 是一種協定;如果您的 IdP 支援這項協定,便可提供符合 InCommon 標準的特定安全性增強功能。
我要如何啟用支援 eduGAIN 或 InCommon 的單一登入?
步驟 1:將 Shibboleth IdP 依照 eduGAIN 或 InCommon 的標準設定
- 如果您是 Dropbox Education 管理員,請聯絡您的客戶團隊,要求啟用必要的 eduGAIN 或 InCommon 屬性設定。
- 取得 eduGAIN 或 InCommon 的後設資料。
- 設定屬性過濾器。
- 針對位於美國的使用者,Dropbox 使用 InCommon 建議的必要屬性組合。
- Dropbox 使用此組合中的電子郵件來辨別使用者
- Dropbox 也要求暫時性 ID 必須釋出
- 瞭解如何配置 InCommon 必要屬性組合。
- 在 attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) 檔中,確認屬性請求串中的值為 https://dropbox.com/sp。
- 針對位於美國的使用者,Dropbox 使用 InCommon 建議的必要屬性組合。
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
afp:PolicyRequirementRule
xsi:type="basic:AttributeRequesterString"
value="https://dropbox.com/sp"/
步驟 2:備妥需要的資料
若要在 Dropbox 管理員主控台上配置單一登入 (SSO),您必須擁有兩組資訊:登入 URL 及 X.509 憑證。
您可以在貴組織 IdP SSO 描述檔的 eduGAIN 或 InCommon 後設資料中找到登入 URL。它看起來像:
SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
這表示,Dropbox 需要的 URL 為以下網址,也就是前往驗證入口的 URL。
https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
X.509 憑證位於憑證資料夾中,名稱通常為「idp.crt」。此憑證常見的的檔案路徑為 /opt/shibboleth-idp/credentials/idp.crt。