如何为 Dropbox 启用受 eduGAIN 或 InCommon 支持的单点登录
已更新 Nov 12, 2024
Dropbox 是 eduGAIN 和 InCommon 的赞助合作伙伴并支持这些标准。本文将详细说明如何为您的 Dropbox 团队帐户启用受 eduGAIN 或 InCommon 支持的单点登录 (SSO)。
什么是 InCommon 和 eduGAIN?
eduGAIN
eduGAIN 是一种联合身份验证服务,可在参与的联盟之间安全交换身份、身份验证和授权信息。
InCommon
InCommon Federation(通常简称为 InCommon)是一个针对在线资源访问提供的可信共享管理框架,专门针对美国市场。
InCommon 经常被误认为是身份提供商 (IdP)。事实上,InCommon 是一种协议:如果您的 IdP 支持此协议,便可根据 InCommon 标准提供特定的安全性增强功能。
如何通过 eduGAIN 或 InCommon 启用支持的单点登录?
第 1 步:根据 eduGAIN 或 InCommon 的要求配置 Shibboleth IdP
- 如果您是 Dropbox Education 管理员,请联系您的帐户团队并请求其打开所需的 eduGAIN 或 InCommon 属性设置。
- 检索 eduGAIN 或 InCommon 元数据。
- 设置属性过滤器。
- 针对美国客户,Dropbox 接受 InCommon 推荐的基本属性包。
- Dropbox 会使用此包的电子邮件部分来识别用户
- Dropbox 还要求必须释放临时 ID
- 了解如何配置 InCommon 基础属性包。
- 在 attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) 文件中,确认属性请求者字符串的值为 https://dropbox.com/sp。
- 针对美国客户,Dropbox 接受 InCommon 推荐的基本属性包。
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
afp:PolicyRequirementRule
xsi:type="basic:AttributeRequesterString"
value="https://dropbox.com/sp"/
第 2 步:准备需要的信息
要在 Dropbox 管理员控制台中配置单点登录,您需要有两项信息:登录网址和 X.509 证书。
登录网址可在 eduGAIN 或 InCommon 元数据中找到(位于贵组织的 IdPSSODescriptor 下方),看上去与下面的示例相似:
SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
在此示例中,Dropbox 所需的网址如下所示(这也是指向身份验证门户的网址):
https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
X.509 证书在凭据文件夹中,通常命名为 idp.crt。此证书的典型文件路径为 /opt/shibboleth-idp/credentials/idp.crt。