eduGAIN、InCommon および Dropbox SSO の設定

Dropbox は eduGAIN と InCommon の提携パートナーで、両社の基準をサポートしています。この記事では、eduGAIN や InCommon 対応の SSO を Dropbox Business アカウントで有効にする方法を詳しく説明しています。

InCommon と eduGAIN とは?

eduGAIN は「複数のアイデンティティ フェデレーションを技術的、法的に連係させるグローバルなフェデレーション間サービスです。あるアイデンティティ フェデレーションのユーザーが、別のアイデンティティ フェデレーションのサービスにアクセスできます」と説明しています(出典)。

一般的に「InCommon」と短縮形で呼ばれる InCommon Federation は、オンライン リソースへのアクセスを共有管理するための信頼性の高いフレームワークです。米国市場を対象としています。

InCommon はアイデンティティ プロバイダ(IdP)と混同されがちですが、InCommon は特定のセキュリティ強化機能の提供に必要なプロトコルで、ご利用の IdP がこのプロトコルをサポートしていれば InCommon の基準を遵守することができます。

Dropbox 版のシングル サインオン(SSO)は、eduGAIN および InCommon フレームワークの両方を遵守しています。

eduGAIN や InCommon がサポートしている SSO を有効にするには?

まず必要な eduGAIN または InCommon 属性設定をアカウント チームにオンにしてもらう必要があるので、Dropbox Education の管理者からアカウント チームに依頼してください。この設定がオンになったら、この記事の 3 つのセクションにそれぞれ記載されている手順を行って設定を完了できます。

:次の手順を実行するには、アカウント チームがこの設定を有効にしていなければなりません。

Shibboleth IdP を設定して eduGAIN や InCommon を遵守する

  1. Dropbox Education の管理者からアカウント チームに依頼して、必要な eduGAIN または InCommon 属性設定をオンにしてもらいます。 
  2. eduGAIN や InCommon メタデータを取得します。
  3. 属性フィルタを設定します。
    • 米国在住のお客様の場合、Dropbox は InCommon が推奨する必須属性バンドルを受け取ります。
      • Dropbox はこのバンドルのメール アドレスの部分を使ってユーザーを識別します。
      • Dropbox は一時的な ID を必要とします。
    • InCommon 必須属性バンドルの設定方法をご覧ください。
      • attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml)ファイルで、属性リクエスタの文字列の値が「https://dropbox.com/sp」になっていることを確認します。
    • 
      afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
             afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString"
                value="https://dropbox.com/sp"/
      
      右方向にスクロールして InCommon コード スニペット全体を表示

必要な情報を準備する

Dropbox 管理コンソールで SSO を設定するには、ログイン URL と X.509 証明書の 2 種類の情報が必要です。

ログイン URL は組織の IdPSSODescriptor にある eduGAIN や InCommon メタデータに記載されています。次の例を参考にしてください。

   SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" 
   Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
右方向にスクロールしてコード スニペット全体を表示

この場合、Dropbox に必要な URL は次のとおりで、認証ポータルにアクセスするための URL にもなります。

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

X.509 証明書は資格情報フォルダ内にあり、通常、idp.crt と呼ばれます。この証明書への一般的なパスは、/opt/shibboleth-idp/credentials/idp.crt です。

Dropbox 管理コンソールの設定

  1. Dropbox Business の管理者用アカウントで dropbox.com にログインします。
  2. 管理コンソール]を開きます。
  3. 設定]をクリックします。
  4. 認証]で[シングル サインオン]をクリックします。
  5. 任意モードまたは必須モードで SSO を有効にします(任意モードはテスト用で、必須モードはプロダクション用です)。
  6. ログイン URL を貼り付けます(上記手順で取得した URL)。
  7. X.509 証明書をアップロードします(上記手順で取得した証明書)。
  8. SAML NameID 形式]で[一時的な ID + メール アサーション]を選択します。

この度はフィードバックをお寄せいただきありがとうございました。よろしければ、Dropbox をどのように改善すべきかご指摘ください。

フィードバックをお寄せいただきありがとうございます。この記事がどれほど役に立ったかをお知らせください。

フィードバックをお寄せいただきありがとうございます。

コミュニティの回答
    コミュニティの回答

      その他のサポート

      コミュニティ

      Twitter サポート

      ガイド付きヘルプ

      その他のサポート

      コミュニティ

      Twitter サポート

      ガイド付きヘルプ

      その他のサポート

      コミュニティ

      Twitter サポート

      サポートへのお問い合わせ