¿Cómo puedo conectar Dropbox a AD FS 2.0 para el inicio de sesión único (SSO)?

Este artículo muestra información detallada acerca de cómo conectar Dropbox a los Servicios de federación de Active Directory (AD FS) 2.0 para el inicio de sesión único (SSO).

Consulta más instrucciones sobre cómo conectar Dropbox a Servicios de federación de Active Directory (AD FS) 3.0.

Importante: estas instrucciones solo son aplicables a SSO, así que seguirás teniendo que añadir y eliminar cuentas de forma manual desde la Consola de administración de Dropbox Business. Esto es especialmente importante cuando algún usuario abandona la organización, porque las aplicaciones de Dropbox para escritorio y para móviles mantienen iniciadas las sesiones de los usuarios de forma indefinida tras realizar la autenticación original del inicio de sesión único.

Algunos clientes de Dropbox prefieren diseñar aplicaciones personalizadas con la API de Dropbox Business para añadir y eliminar usuarios de forma automática debido a los cambios en Active Directory. Ponte en contacto con tu administrador de cuentas si estás interesado en tener acceso a la API.

Ten en cuenta que estas instrucciones aún están en beta. Agradecemos tus comentarios y preguntas relativas a estos pasos.

Prerrequisitos

• Instalación de AD FS 2.0 con la versión Rollup 3 o posterior
• Un terminal de SAML de AD FS expuesto a los dispositivos que tenga que autenticar

Puedes obtener más información acerca de cómo instalar la actualización Rollup 3 de AD FS en el sitio de soporte de Microsoft.

2. El sistema te mostrará el Asistente para Agregar relación de confianza para usuario autenticado. Haz clic en Inicio.

3. En la sección Seleccionar origen de datos (Select Data Source), selecciona Escribir manualmente los datos acerca del usuario de confianza (Enter data about the relying party manually) y haz clic en Siguiente (Next).
   

4. En la sección Especificar nombre para mostrar(Specify Display Name), introduce Dropbox Business en Nombre para mostrar (Display name) y haz clic en Siguiente.
   

5. En la sección Elegir perfil (Choose Profile), selecciona Perfil de AD FS 2.0 (AD FS 2.0 profile) y haz clic en Siguiente.
   

6. En la sección Configurar certificado(Configure Certificate), no especifiques un certificado de cifrado con token. Solo tienes que hacer clic en Siguiente.
   

7. En la sección Configurar dirección URL(Configure URL), marca la opción Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO (Enable supportfor the SAML 2.0 Web SSO protocol). Añade la siguiente URL para Dirección URL de servicio SSO de SAML 2.0 para usuario de confianza:
   https://www.dropbox.com/saml_login
   Haz clic en Next (Siguiente).

8. En la sección Configurar identificadores (Configure Identifiers), añade a Dropboxcomo identificador de confianza y luego haz clic en Siguiente.
   

9. En la sección Elegir reglas de autorización de emisión (Choose Issuance Authorization Rules), selecciona Permitir a todos los usuarios el acceso a este usuario de confianza (Permit all users to access this relying party) y haz clic en Siguiente.
   

10. En la sección Listo para agregar confianza (Ready to Add Trust), solo tienes que hacer clic en Siguiente.
    

11. En la sección Finalizar (Finish), marca la opción Abrir el diálogo de Editar reglas de notificaciones (Open the Edit Claim Rules) para este usuario de confianza cuando se cierre el asistente y luego haz clic en Cerrar.
    

12. Seguidamente, el sistema te dirigirá al panel de Editar reglas de notificaciones para Dropbox Business (Edit Claim Rules for Dropbox Business). Desde la pestaña Reglas de transformación de emisión (Issuance Transform Rules), haz clic en Agregar regla... (Add Rule...).

13. En la sección Elegir tipo de regla (Choose Rule Type), en el menú desplegable Plantilla de regla de notificación (Claim rule template) , selecciona la opción Enviar atributos LDAP como notificaciones (Send LDAP Attributes as Claims) y, luego, haz clic en Siguiente.

14. En la sección Configurar regla de notificación (Configure Claim Rule), debajo de Nombre de regla de notificación (Claim rule name), escribe Consulta LDAP de correo electrónico (Email LDAP query).
    Debajo de la opción Almacén de atributos (Attribute store), selecciona Active Directory.
    Debajo de Asignación de atributos LDAP a tipos de notificaciones salientes (LDAP attributes to outgoing claim types), asigna al Atributo LDAP de Dirección de correo electrónico (E-Mail Addresses) la opción de Tipo de notificación saliente (Outgoing Claim Type) Dirección de correo electrónico.
    Haz clic en Finalizar.
    

15. Añade otra regla desde el panel Editar reglas de notificaciones para Dropbox Business. En la sección Elegir tipo de regla (Choose Rule Type), en el menú desplegable Plantilla de regla de notificación (Claim rule template), selecciona la opción Transformar notificaciones entrantes (Transform Incoming Claim).
    

16. En la sección Configurar regla de notificación (Configure Claim Rule), escribe el siguiente nombre de solicitud de regla:
    Transform email address as NameID
    Para Tipo de notificación entrante (Incoming claim type), selecciona Dirección de correo electrónico (E-Mail Address).
    Para Tipo de notificación saliente (Outgoing claim type), selecciona Name ID.
    Para Formato de id. de nombre saliente (Outgoing name ID format), selecciona Dirección de correo electrónico (Email).
    Selecciona Pasar a través de todos los valores de notificaciones (Pass through all claim values).
    Haz clic en Finalizar (Finish).

17. En este momento, deberías haber vuelto a la ventana Editar reglas de notificaciones para Dropbox Business (Edit Claim Rules for Dropbox Business). Haz clic en Aplicar y, luego, en Aceptar.

18. En Firma de tokens (Token-signing), haz clic con el botón derecho del ratón en CN=ADFS y selecciona Ver certificado... (View certificate..).

19. En la pestaña Detalles (Details), asegúrate de que Mostrar (Show) muestre la opción Todo (All). Haz clic en Copiar a archivo...(Copy to File...).

20. El sistema te llevará al asistente Asistente para exportación de certificados (Certificate Export Wizard). Haz clic en Next (Siguiente).

21. En Formato de archivo de exportación (Export File Format), en Seleccionar el formato que se desee utilizar (Select the format you want to use), selecciona Base-64 encoded X.509 (.CER)<br>

22. Selecciona una ubicación accesible, como el Escritorio. Utilizarás este certificado para completar la configuración SSO en la Consola de administración de Dropbox. Haz clic en Next (Siguiente).

23. Haz clic en Finalizar (Finish).

24. Consulta los pasos finales necesarios para configurar SSO en la Consola de administración de Dropbox. Tendrás que subir el certificado exportado en el paso 23 como tu certificado X.509. La URL de inicio de sesión será tu terminal SAML de AD FS.

Consejos de resolución de problemas

• Recomendamos que configures primero SSO en modo Opcional para probarlo. Prueba un inicio de sesión SSO en www.dropbox.com/sso cuando ya hayas iniciado sesión. De este modo, podrás obtener mensajes de error detallados en el registro de actividad del equipo. Una vez confirmes que SSO funciona adecuadamente y hayas preparado a tus usuarios para el cambio, podrás cambiar SSO al modo Obligatorio.
• Esta configuración confía en la dirección de correo electrónico del campo Correo electrónico de los usuarios en Active Directory. Tendrás que asegurarte de que este campo contiene información en Active Directory y que coincide con las direcciones de correo electrónico de los Miembros actuales que aparecen en la Consola de administración de Dropbox Business.