Wie verknüpfe ich Dropbox mit AD FS 3.0, um SSO zu nutzen?

In diesem Artikel erfahren Sie genau, wie Sie Ihr Konto bei Dropbox Business konfigurieren müssen, damit vom Dienstanbieter initiiertes einmaliges Anmelden (kurz SSO) unterstützt wird, das auf den Active Directory-Verbunddiensten 3.0 (AD FS 2012 R2) basiert.

Ihre Bereitstellung sollte sich nach den Best Practices für die Bereitstellung von Clusters und Proxys von Microsoft richten. Die Konfiguration einer vollständigen AD DS-/AD FS-Bereitstellung würde den Rahmen dieser Anleitung sprengen.

Weitere Informationen zur Verknüpfung von Dropbox mit den Active Directory-Verbunddiensten (AD FS)

Wichtiger Hinweis: Diese Anleitung gilt ausschließlich für das einmalige Anmelden. Die Nutzerkonten müssen weiterhin manuell über die Verwaltungskonsole in Dropbox Business bereitgestellt bzw. zurückgezogen werden. Darauf ist besonders bei Ausscheiden eines Mitarbeiters zu achten, da Nutzer in der Desktop-App und der Mobilgeräte-App von Dropbox nach dem ersten einmaligen Anmelden unbegrenzt angemeldet bleiben.

Einige Dropbox-Kunden entwickeln mit der Dropbox Business-API ihre eigenen Anwendungen, um Nutzerkonten bei Änderungen in AD automatisch bereitzustellen bzw. zurückzuziehen. Wenden Sie sich an Ihren Account Manager, wenn Sie auch an der API interessiert sind.

Diese Anleitung befindet sich derzeit noch im Betastadium. Wir freuen uns deshalb über Feedback und stehen Ihnen auch bei Fragen gern zur Verfügung.

Voraussetzungen

• Eine AD FS 3.0-Instanz mit einem AD FS-SAML-Endpunkt, auf den die Geräte zugreifen können, die authentifiziert werden müssen

Dropbox mit AD FS 3.0 verknüpfen, um SSO zu nutzen

1. Klicken Sie auf „Vertrauensstellung der vertrauenden Seite hinzufügen“.

3. Wählen Sie die Option Daten über die vertrauende Seite manuell eingeben.

4. Geben Sie unter „Anzeigename“ und „Anmerkungen“ den unten angezeigten Text ein.

5. Wählen Sie die Option AD FS-Profil aus.

6. Klicken Sie auf dieser Seite auf Weiter, ohne Änderungen vorzunehmen.

7. Wählen Sie die Option „Unterstützung für das SAML 2.0-WebSSO-Protokoll aktivieren“ aus und geben Sie die folgende Dienst-URL ein: https://www.dropbox.com/saml_login

8. Geben Sie unter „Bezeichner der vertrauenden Seite“ Dropbox an.

9. Behalten Sie die Standardeinstellungen der Multi-Factor Authentication bei.

10. Wählen Sie aus, wer über das einmalige Anmelden auf Dropbox zugreifen kann.

11. Klicken Sie auf Weiter, um die Vertrauensstellung der vertrauenden Seite hinzuzufügen.

12. Schließen Sie den Assistenten.

13. Fügen Sie eine neue Regel hinzu, damit LDAP-Attribute als Ansprüche gesendet werden.

14. Wählen Sie die Regelvorlage „LDAP-Attribute als Ansprüche senden“ aus.

15. Fügen Sie die Anspruchsregeln hinzu.

16. Fügen Sie eine weitere Regel hinzu.

17. Wählen Sie Transformieren eines eingehenden Anspruchs aus.

18. Richten Sie die Anspruchsregel ein.

19. Klicken Sie auf „Übernehmen“.

20. Bereiten Sie das Zertifikat vor.

21. Klicken Sie auf „In Datei kopieren".

23. Wählen Sie für den Export das Format „Base-64-codiert X.509 (.CER)“ aus.

24. Geben Sie den unten gezeigten Dateinamen ein.

27. Konfigurieren Sie Dropbox so, dass Ihr AD FS-Server für das einmalige Anmelden (kurz SSO) genutzt wird: Lesen Sie die letzten erforderlichen Schritte zur Konfiguration des einmaligen Anmeldens in der Dropbox-Verwaltungskonsole. 

Hinweise zu Schritt 27:

• Laden Sie das Zertifikat hoch, das Sie als X.509-Zertifikat exportiert haben
• Ihre Anmelde-URL ist Ihr AD FS-SAML-Endpunkt
• Wir empfehlen, das einmalige Anmelden zunächst im Modus Optional zu konfigurieren. Nachdem Sie die Konfiguration in diesem Modus erfolgreich getestet und Ihre Nutzer auf die Umstellung vorbereitet haben, können Sie den Modus Erforderlich aktivieren.

Weitere Artikel:

• Häufig gestellte Fragen zur einmaligen Anmeldung (kurz SSO) für Administratoren
• Wie kann ich die Übersicht über die Aktivitäten in meinem Unternehmenskonto behalten?