eduGAIN, InCommon y SSO de Dropbox

Dropbox es un socio patrocinado de eduGAIN e InCommon, y es compatible con estas normas. En este artículo, se indica cómo habilitar el inicio de sesión único (SSO) compatible con eduGAIN o InCommon en tu cuenta de Dropbox Business.

¿Qué son InCommon y eduGAIN?

eduGAIN se describe a sí mismo como "…un servicio global de interfederación que interconecta varias federaciones de administración de identidades, tanto en el aspecto técnico como en el legal. Permite que un usuario de una federación de administración de identidades acceda a los servicios de otra federación de administración de identidades". (Fuente)

InCommon Federation, que, con frecuencia, se abrevia InCommon, es un marco de trabajo para la administración compartida de confianza del acceso a recursos en línea. Es específico del mercado estadounidense.

Con frecuencia, se considera que InCommon es un proveedor de identidad. En realidad, InCommon es un protocolo que tu proveedor de identidad puede admitir para mejorar la seguridad y cumplir con la norma de InCommon.

La versión del inicio de sesión único (SSO) de Dropbox cumple con los marcos de trabajo de eduGAIN e InCommon.

¿Cómo hago para habilitar el inicio de sesión único (SSO) compatible con eduGAIN o InCommon?

En primer lugar, comunícate con el equipo de tu cuenta de Dropbox para que los miembros activen un atributo obligatorio de eduGAIN o InCommon. Una vez que te hayas comunicado con el equipo de tu cuenta de Dropbox, sigue los pasos que se encuentran debajo de cada una de las tres subsecciones siguientes para poder completar el proceso de configuración.

Nota: Las instrucciones siguientes no funcionarán si el equipo de tu cuenta no habilitó esta opción.

Configurar el proveedor de identidad Shibboleth para que cumpla con eduGAIN o InCommon

  1. Comunícate con el equipo de tu cuenta de Dropbox para que los miembros activen un atributo obligatorio de eduGAIN o InCommon.

  2. Recupera los metadatos de eduGAIN o InCommon.
  3. Configura el filtro de atributos.
    • En el caso de los clientes radicados en los Estados Unidos, Dropbox admite el paquete de atributos fundamentales que recomienda InCommon.
      • Dropbox usa la parte de correo electrónico de este paquete para identificar a los usuarios.
      • Dropbox también requiere que se presente el Id. transitorio.
    • Obtén información acerca de cómo configurar el paquete de atributos fundamentales de InCommon.
      • En el archivo attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml), asegúrate de que el valor de la cadena que solicita el atributo sea https://dropbox.com/sp.
    • 
      afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
             afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString"
                value="https://dropbox.com/sp"/
      
      Desplázate hacia la derecha para ver todo el fragmento de código de InCommon.

Preparar la información necesaria

Para configurar el inicio de sesión único (SSO) en la Consola de administración de Dropbox, necesitarás dos datos: la URL de inicio de sesión y el certificado X.509.

La URL de inicio de sesión se puede encontrar en los metadatos de eduGAIN o InCommon, en el IdPSSODescriptor de tu organización, y es similar a este ejemplo:

   SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" 
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
Desplázate hacia la derecha para ver todo el fragmento de código.

En este caso, la URL necesaria para Dropbox está debajo, que es también la URL que redirecciona al portal de autenticación.

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

El certificado X.509 está ubicado en la carpeta de credenciales y, con frecuencia, se llama idp.crt. Una ruta de acceso típica para este certificado es /opt/shibboleth-idp/credentials/idp.crt.

Configuración de la Consola de administración de Dropbox

  1. Inicia sesión en dropbox.com con tu cuenta de administrador de Dropbox Business.
  2. Abre la Consola de administración.
  3. Haz clic en Configuración.
  4. En Autenticación, selecciona Inicio de sesión único.
  5. Habilita el inicio de sesión único (SSO) en modo opcional u obligatorio. (El modo opcional es para pruebas y el modo obligatorio es para producción).
  6. Pega la URL de inicio de sesión (obtenida anteriormente en este artículo).
  7. Carga el certificado X.509 (obtenido anteriormente en este artículo).
  8. En Formato de Id. de nombre de SAML, selecciona Id. y atributo de correo electrónico transitorios.
¿Este artículo respondió tu pregunta?

Lo lamentamos. Dinos cómo podríamos mejorar.

¡Gracias por tus comentarios!

Respuestas de la comunidad
    Respuestas de la comunidad

      Other ways to get help

      Comunidad

      Soporte en Twitter

      Ayuda guiada