eduGAIN, InCommon e a configuração de SSO no Dropbox

O Dropbox é um parceiro patrocinado do eduGAIN e InCommon e é compatível com esse protocolo. Este artigo detalha o que é o eduGAIN e InCommon e como habilitar o SSO compatível com eduGAIN e InCommon para a sua conta do Dropbox Business.

O que é o eduGAIN e InCommon?

O eduGain descreve-se como "…um serviço de interfederação global que interliga múltiplas federações de identidade, tanto tecnicamente como legalmente. Ele permite que o usuário de uma federação de identidade acesse serviços em outra federação de identidade." (Fonte)

A InCommon Federation, normalmente abreviada para InCommon, é uma estrutura de gerenciamento compartilhado confiável de acesso a recursos on-line. É específico para o mercado dos Estados Unidos.

O InCommon frequentemente é confundido com um provedor de identidade (IdP). Na verdade, o InCommon é um protocolo com o qual o seu IdP pode ser compatível, que oferece melhorias específicas de segurança para seguir o respectivo padrão InCommon.

No Dropbox, isso significa que a nossa versão do logon único (SSO) segue ambos os padrões eduGAIN e InCommon.

Como habilito o SSO compatível com eduGAIN ou InCommon?

Se você for um administrador do Dropbox Education, entre em contato com a sua equipe de conta e peça que eles ativem a configuração de atributo eduGAIN ou InCommon necessária. Depois que a configuração estiver ativa, siga as etapas de cada uma das três seções deste artigo para concluir o processo de configuração.

Nota: As instruções a seguir só funcionarão se a equipe de conta tiver habilitado essa configuração.

Configurando o IdP Shibboleth para adequação ao eduGAIN ou InCommon

  1. Se você for um administrador do Dropbox Education, entre em contato com a sua equipe de conta e peça que eles ativem a configuração de atributo eduGAIN ou InCommon necessária. 
  2. Recupere os metadados eduGAIN ou InCommon.
  3. Configure o filtro de atributos.
    • Para clientes dos Estados Unidos, o Dropbox aceita o pacote de atributos essenciais recomendados pelo InCommon.
      • O Dropbox usa a parte do e-mail desse pacote para identificar os usuários.
      • O Dropbox também exige que o ID transitório seja disponibilizado
    • Saiba como configurar o pacote de atributos essenciais do InCommon.
      • No arquivo attribute-filter.xml (/opt/shibboleth-idp/conf/attribute-filter.xml), verifique se o valor da string do solicitante do atributo é https://dropbox.com/sp.
    • 
      afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
      afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString"
      value="https://dropbox.com/sp"/
      
      Role para a direita para ver o snippet de código completo do InCommon

Prepare as informações necessárias

Para configurar o SSO na seção de Administração do Dropbox, você precisará de duas informações: a URL de acesso e o certificado X.509.

A URL de acesso pode ser encontrada nos metadados do eduGAIN ou InCommon no IdPSSODescriptor de sua empresa e se parece com este exemplo:

   SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
Role para a direita para ver o snippet de código completo

Nesse caso, a URL necessária para o Dropbox está abaixo, que também é a URL que leva ao portal de autenticação.

https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO

O certificado X.509 está localizado na pasta de credenciais e é normalmente chamado de idp.crt. Um caminho de arquivo típico para esse certificado é /opt/shibboleth-idp/credentials/idp.crt.

Configuração da seção de Administração do Dropbox

  1. Faça login no dropbox.com com sua conta de administrador do Dropbox Business.
  2. Abra a seção de Administração.
  3. Clique em Configurações.
  4. Em Autenticação, selecione SSO (Logon único).
  5. Habilite o SSO no modo Opcional ou Obrigatório. O modo Opcional é para testes e o modo Obrigatório é para produção.
  6. Cole a URL de acesso (coletada anteriormente neste artigo).
  7. Carregue o certificado X.509 (coletado anteriormente neste artigo).
  8. Em Formato do NameID SAML, selecione ID transitória + atributo de e-mail.

Lamentamos ouvir isso. Diga como podemos melhorar:

Agradecemos sua opinião! Diga como este artigo ajudou:

Agradecemos sua opinião!

Respostas da comunidade
    Respostas da comunidade

      Outras maneiras de obter ajuda

      Comunidade

      Atendimento no Twitter

      Ajuda guiada

      Outras maneiras de obter ajuda

      Comunidade

      Atendimento no Twitter

      Ajuda guiada

      Outras maneiras de obter ajuda

      Comunidade

      Atendimento no Twitter

      Entrar em contato com o atendimento