Configuration de l'authentification unique Dropbox pour respecter les normes eduGAIN ou InCommon

Dropbox est un partenaire sponsorisé d'eduGAIN et d'InCommon, et respecte ces normes. Cet article explique comment configurer l'authentification unique dans votre compte Dropbox Business pour qu'elle soit compatible avec ces normes.

Qu'est-ce qu'InCommon et eduGAIN ?

eduGain se décrit comme un "…service d'interconnexion des fédérations d'identité au niveau international, d'un point de vue à la fois technique et juridique. Il permet à un utilisateur d'une fédération d'identité d'accéder aux services d'une autre fédération d'identité" (Source).

InCommon Federation (souvent appelé InCommon) est un cadre de gestion partagée, au sein d'un cercle de confiance, de l'accès aux ressources en ligne. Ce cadre concerne spécifiquement le marché des États-Unis.

InCommon est souvent considéré à tort comme un fournisseur d'identité (IdP). Il s'agit en fait d'un protocole que votre IdP peut accepter afin d'offrir des améliorations de sécurité spécifiques et respecter ainsi la norme InCommon.

La version d'authentification unique de Dropbox respecte les cadres eduGAIN et InCommon.

Comment configurer l'authentification unique pour qu'elle respecte les normes eduGAIN ou InCommon ?

Si vous êtes administrateur Dropbox Education, contactez l'équipe chargée de votre compte pour lui demander d'activer le paramètre d'attribut eduGAIN ou InCommon requis. Une fois ce paramètre activé, suivez les instructions indiquées dans les trois sections de cet article pour finaliser le processus de configuration.

Remarque : l'activation de ce paramètre par l'équipe chargée de la gestion de votre compte est obligatoire pour permettre le fonctionnement des instructions suivantes.

Configuration du fournisseur d'identité Shibboleth afin de respecter la norme eduGAIN ou InCommon

  1. Si vous êtes administrateur Dropbox Education, contactez l'équipe chargée de votre compte pour lui demander d'activer le paramètre d'attribut eduGAIN ou InCommon requis. 
  2. Récupérez les métadonnées eduGAIN ou InCommon.
  3. Configurez le filtre d'attributs.
    • Pour les clients installés aux États-Unis, Dropbox accepte l'ensemble minimum d'attributs (Essential Attribute Bundle) recommandé par InCommon.
      • Dropbox utilise la section "email" de ce pack pour identifier les utilisateurs.
      • Dropbox requiert également la libération de l'identifiant aléatoire (transient ID).
    • Découvrez comment configurer l'ensemble minimum d'attributs InCommon.
      • Dans le fichier "attribute-filter.xml" (/opt/shibboleth-idp/conf/attribute-filter.xml), assurez-vous que la valeur de la chaîne de demande d'attributs (AttributeRequesterString) indique https://dropbox.com/sp.
    • 
      afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
      afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString"
      value="https://dropbox.com/sp"/
      
      Faites défiler l'écran vers la droite pour afficher l'intégralité de l'extrait de code InCommon.

Préparation des informations requises

Pour configurer l'authentification unique dans l'interface d'administration de Dropbox, deux éléments sont requis : l'URL de connexion et le certificat X.509.

L'URL de connexion se trouve dans les métadonnées eduGAIN ou InCommon sous l'élément "IdPSSODescriptor" de votre organisation. En voici un exemple :

   SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" 
Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
Faites défiler l'écran vers la droite pour afficher l'intégralité de l'extrait de code.

Dans ce cas, l'URL requise pour Dropbox (qui est également l'URL permettant d'accéder au portail d'authentification) est la suivante :

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

Le certificat X.509 se trouve dans le dossier des identifiants et est souvent nommé idp.crt. Le chemin d'accès à ce certificat est généralement de type : /opt/shibboleth-idp/credentials/idp.crt.

Configuration dans l'interface d'administration de Dropbox

  1. Connectez-vous sur dropbox.com avec votre compte d'administrateur Dropbox Business.
  2. Ouvrez l'interface d'administration.
  3. Cliquez sur Paramètres.
  4. Sous Authentification, cliquez sur Authentification unique.
  5. Activez l'authentification unique en mode facultatif ou obligatoire. (Le mode facultatif sert à des fins de test et le mode obligatoire à des fins de production.)
  6. Collez l'URL de connexion (collectée précédemment).
  7. Transférez le certificat X.509 (collecté précédemment).
  8. Sous Format NameID SAML, sélectionnez Identifiant transitoire + attribut E-mail.
Cet article a-t-il répondu à votre question ?

Nous sommes désolés de l'apprendre. Que pouvons-nous faire pour améliorer ce point ?

Merci d'avoir donné votre avis !

Réponses de la communauté
    Réponses de la communauté

      Autres options pour obtenir de l'aide

      Communauté

      Assistance Twitter

      Aide guidée