O Dropbox é um parceiro patrocinado do eduGAIN e InCommon e é compatível com esse protocolo. Este artigo detalha o que é o eduGAIN e InCommon e como habilitar o SSO compatível com eduGAIN e InCommon para a sua conta do Dropbox Business.
O que é o eduGAIN e InCommon?
O eduGain descreve-se como "…um serviço de interfederação global que interliga múltiplas federações de identidade, tanto tecnicamente como legalmente. Ele permite que o usuário de uma federação de identidade acesse serviços em outra federação de identidade." (Fonte)
A InCommon Federation, normalmente abreviada para InCommon, é uma estrutura de gerenciamento compartilhado confiável de acesso a recursos on-line. É específico para o mercado dos Estados Unidos.
O InCommon frequentemente é confundido com um provedor de identidade (IdP). Na verdade, o InCommon é um protocolo com o qual o seu IdP pode ser compatível, que oferece melhorias específicas de segurança para seguir o respectivo padrão InCommon.
No Dropbox, isso significa que a nossa versão do logon único (SSO) segue ambos os padrões eduGAIN e InCommon.
Como habilito o SSO compatível com eduGAIN ou InCommon?
Se você for um administrador do Dropbox Education, entre em contato com a sua equipe de conta e peça que eles ativem a configuração de atributo eduGAIN ou InCommon necessária. Depois que a configuração estiver ativa, siga as etapas de cada uma das três seções deste artigo para concluir o processo de configuração.
Configurando o IdP Shibboleth para adequação ao eduGAIN ou InCommon
- Se você for um administrador do Dropbox Education, entre em contato com a sua equipe de conta e peça que eles ativem a configuração de atributo eduGAIN ou InCommon necessária.
- Recupere os metadados eduGAIN ou InCommon.
- Configure o filtro de atributos.
afp:AttributeFilterPolicy id="DROPBOX_INCOMMON"
afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString"
value="https://dropbox.com/sp"/
Role para a direita para ver o snippet de código completo do InCommon
Prepare as informações necessárias
Para configurar o SSO na seção de Administração do Dropbox, você precisará de duas informações: a URL de acesso e o certificado X.509.
A URL de acesso pode ser encontrada nos metadados do eduGAIN ou InCommon no IdPSSODescriptor de sua empresa e se parece com este exemplo:
SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO"/
Role para a direita para ver o snippet de código completo
Nesse caso, a URL necessária para o Dropbox está abaixo, que também é a URL que leva ao portal de autenticação.
https://shibidp.university.edu/idp/profile/SAML2/Redirect/SSO
O certificado X.509 está localizado na pasta de credenciais e é normalmente chamado de idp.crt. Um caminho de arquivo típico para esse certificado é /opt/shibboleth-idp/credentials/idp.crt.
Configuração da seção de Administração do Dropbox
- Faça login no dropbox.com com sua conta de administrador do Dropbox Business.
- Abra a seção de Administração.
- Clique em Configurações.
- Em Autenticação, selecione SSO (Logon único).
- Habilite o SSO no modo Opcional ou Obrigatório. O modo Opcional é para testes e o modo Obrigatório é para produção.
- Cole a URL de acesso (coletada anteriormente neste artigo).
- Carregue o certificado X.509 (coletado anteriormente neste artigo).
- Em Formato do NameID SAML, selecione ID transitória + atributo de e-mail.