eduGAIN, InCommon und die Konfiguration des einmaligen Anmeldens (SSO) für Dropbox

Dropbox ist Sponsored Partner von eduGAIN und InCommon und unterstützt diese Standards. In diesem Artikel wird erklärt, was eduGAIN und InCommon sind und wie Sie das eduGAIN- bzw. InCommon-unterstützte einmalige Anmelden (Single Sign-On, SSO) für Ihr Dropbox Business-Konto aktivieren.

Was sind InCommon und eduGAIN?

eduGAIN ist ein „… globaler Dienst, der mehrere Identity Federations technisch und rechtlich miteinander verbindet. Er erlaubt einem Nutzer einer Identity Federation auf die Dienstleistungen in einer anderen Identity Federation zuzugreifen.“ (Quelle)

Die InCommon Federation, meist zu InCommon abgekürzt, bildet einen Rahmen für das vertrauenswürdige gemeinsame Management des Zugriffs auf Onlineressourcen. Sie ist auf den US-amerikanischen Markt beschränkt.

InCommon wird oft mit einem Identitätsanbieter (IdP) verwechselt. Tatsächlich ist InCommon ein Protokoll. Es wird möglicherweise von Ihrem Identitätsanbieter unterstützt, damit dieser konkrete Sicherheitsverbesserungen anbieten kann, die dem InCommon-Standard entsprechen.

Bei seiner SSO-Version hat sich Dropbox am Rahmenkonzept sowohl von eduGAIN als auch von InCommon orientiert.

Wie aktiviere ich das unterstützte SSO mit eduGAIN oder InCommon?

Sind Sie Administrator eines Teams, wenden Sie sich an Ihr Dropbox Account-Team. Das Team kann die erforderliche eduGAIN- oder InCommon-Attributeinstellung für Sie aktivieren. Nachdem diese Einstellung aktiviert ist, führen Sie die Schritte in den drei Abschnitten dieses Artikels aus, um die Einrichtung abzuschließen.

Hinweis: Die folgende Anleitung funktioniert nur dann, wenn diese Einstellung vom Kundenteam aktiviert wurde.

Shibboleth IdP eduGAIN- oder InCommon-konform einrichten

  1. Sind Sie Administrator eines Teams, wenden Sie sich an Ihr Dropbox Account-Team. Das Team kann die erforderliche eduGAIN- oder InCommon-Attributeinstellung für Sie aktivieren. 
  2. Rufen Sie die eduGAIN- oder InCommon-Metadaten ab.
  3. Richten Sie den Attributfilter ein.
    • Bei Kunden in den USA akzeptiert Dropbox das von InCommon empfohlene Paket wesentlicher Attribute.
      • Dropbox verwendet den E-Mail-Teil dieses Pakets für die Nutzeridentifizierung
      • Dropbox erfordert auch die Freigabe der temporären ID
    • Erfahren Sie, wie Sie das InCommon-Attributpaket konfigurieren.
      • Vergewissern Sie sich, dass in der Datei attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml) der Wert für den Attributanforderer („AttributeRequesterString“) https://dropbox.com/sp lautet.
    • 
      afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
             afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString"
                value="https://dropbox.com/sp"/
      
      Blättern Sie nach rechts, um den gesamten InCommon-Codeausschnitt zu sehen.

Erforderliche Angaben vorbereiten

Für die SSO-Konfiguration in der Verwaltungskonsole von Dropbox benötigen Sie zwei Dinge: die Anmelde-URL und das X.509-Zertifikat.

Die Anmelde-URL finden Sie in den eduGAIN- oder InCommon-Metadaten im IdPSSODescriptor Ihrer Organisation. Sie sieht in etwa wie in diesem Beispiel aus:

   SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" 
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
Blättern Sie nach rechts, um den gesamten Codeausschnitt zu sehen.

In diesem Fall ist die für Dropbox benötigte URL die nachstehend aufgeführte. Sie führt gleichzeitig zum Authentifizierungsportal.

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

Das X.509-Zertifikat befindet sich im Ordner „Credentials“ und trägt meist die Bezeichnung idp.crt. Ein typischer Pfad für dieses Zertifikat sieht z. B. so aus: /opt/shibboleth-idp/credentials/idp.crt.

Konfiguration der Dropbox-Verwaltungskonsole

  1. Melden Sie sich mit Ihrem Administratorkonto bei Dropbox Business an.
  2. Öffnen Sie die Verwaltungskonsole.
  3. Klicken Sie auf Einstellungen.
  4. Klicken Sie unter Authentifizierung auf Einmaliges Anmelden (SSO).
  5. Aktivieren Sie SSO im Modus „Optional“ oder „Erforderlich“. (Optional dient zum Testen, Erforderlich für den Produktionseinsatz.)
  6. Fügen Sie die kopierte Anmelde-URL ein (die Sie anhand der vorherigen Anweisungen in diesem Artikel erfasst haben).
  7. Laden Sie das X.509-Zertifikat hoch (das Sie anhand der vorherigen Anweisungen in diesem Artikel erfasst haben).
  8. Wählen Sie unter SAML-Format der NameID die Option Attribut: Temporäre ID und E-Mail-Adresse aus.
Hat Ihnen dieser Artikel weitergeholfen?

Das tut uns leid. Lassen Sie uns wissen, was wir besser machen können:

Vielen Dank für Ihr Feedback!

Antworten der Community
    Antworten der Community

      Andere Möglichkeiten, Hilfe zu erhalten

      Community

      Twitter-Support

      Moderierte Hilfe

      Andere Möglichkeiten, Hilfe zu erhalten

      Community

      Twitter-Support

      Moderierte Hilfe

      Andere Möglichkeiten, Hilfe zu erhalten

      Community

      Twitter-Support

      Contact support