Comment connecter Dropbox aux services AD FS 2.0 pour mettre en œuvre l'authentification unique ?

Cet article contient des instructions détaillées sur la connexion de Dropbox aux services AD FS (Active Directory Federation Services) 2.0 à des fins d'authentification unique.

Lisez les instructions supplémentaires sur la connexion de Dropbox aux services AD FS (Active Directory Federation Services) 3.0

Important : ces instructions ne s'appliquent qu'au processus d'authentification unique. Vous devez toujours provisionner et déprovisionner les comptes dans l'interface d'administration Dropbox Business. Ces opérations sont particulièrement importantes quand des utilisateurs quittent l'organisation, car ils restent connectés indéfiniment dans les applications mobiles et de bureau Dropbox après leur authentification unique initiale.

Des clients de Dropbox ont conçu des applications personnalisées à l'aide de l'API Dropbox Business pour provisionner/déprovisionner automatiquement des utilisateurs à la suite de modifications dans Active Directory. Veuillez contacter votre responsable de compte si vous souhaitez bénéficier de l'API.

Veuillez noter qu'il s'agit d'une version préliminaire de ces instructions. N'hésitez pas à nous faire part de vos questions ou de vos commentaires à leur sujet.

Conditions requises

  • Instance AD FS 2.0 avec correctif cumulatif 3 ou version ultérieure installé
  • Point de terminaison SAML AD FS ayant accès aux appareils qui devront s'authentifier

Pour en savoir plus sur l'installation du correctif cumulatif 3 pour AD FS, consultez le site Aide et support de Microsoft.

Connexion de Dropbox aux services AD FS à des fins d'authentification unique

  1. Dans la console de gestion AD FS 2.0, sélectionnez Ajouter une approbation de partie de confiance sous Actions.
Ajouter une approbation de partie de confiance
  1. Vous êtes alors redirigé vers l'Assistant Ajout d'approbation de partie de confiance. Cliquez sur Démarrer.
Assistant Ajout d'approbation de partie de confiance
  1. Dans la section Sélectionner une source de données, sélectionnez l'option Entrer manuellement les données concernant la partie de confiance, puis cliquez sur Suivant.
Sélectionner une source de données
  1. Dans la section Entrer le nom complet, saisissez Dropbox Business dans le champ Nom complet, puis cliquez sur Suivant.
Entrer le nom complet
  1. Dans la section Choisir le profil, sélectionnez Profil AD FS 2.0, puis cliquez sur Suivant.
Choisir le profil
  1. Dans la section Configurer le certificat, n'indiquez pas de certificat de chiffrement de jetons. Cliquez simplement sur Suivant.
Configurer le certificat
  1. Dans la section Configurer l'URL, cochez l'option Activer la prise en charge du protocole WebSSO SAML 2.0. Dans le champ URL du service SSO SAML 2.0 de la partie de confiance, ajoutez l'URL suivante :
    https://www.dropbox.com/saml_login
    Cliquez sur Suivant.
Configurer l'URL
  1. Dans la section Configurer les identificateurs, ajoutez Dropbox comme identificateur d'approbation de partie de confiance, puis cliquez sur Suivant.
Configurer les identificateurs
  1. Dans la section Choisir les règles d'autorisation d'émission, sélectionnez Autoriser l'accès de tous les utilisateurs à cette partie de confiance, puis cliquez sur Suivant.
Choisir les règles d'autorisation d'émission
  1. Dans la section Prêt à ajouter l'approbation, cliquez simplement sur Suivant.
Prêt à ajouter l'approbation
  1. Dans la section Terminer, cochez l'option Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance à la fermeture de l’Assistant, puis cliquez sur Fermer.
Ouvrir la boîte de dialogue Modifier les règles de revendication
  1. Vous êtes alors redirigé vers la fenêtre Modifier les règles de revendication pour Dropbox Business. Dans l'onglet Règles de transformation d’émission, cliquez sur Ajouter une règle.
Ajouter une règle
  1. Dans la section Choisir le type de règle, définissez le champ Modèle de règle de revendication sur l'option de menu déroulant Envoyer les attributs LDAP en tant que revendications, puis cliquez sur Suivant.
Choisir le type de règle
  1. Dans la section Configurer la règle de revendication, saisissez Email LDAP query dans le champ Nom de la règle de revendication.
    Dans le champ Magasin d'attributs, sélectionnez Active Directory.
    Dans la zone Mappage des attributs LDAP aux types de revendications sortantes, reliez l'attribut LDAP E-Mail Addresses au type de revendication sortante E-Mail Address.
    Cliquez sur Terminer.
Configurer la règle de revendication
  1. Ajoutez une autre règle à partir de la fenêtre Modifier les règles de revendication pour Dropbox Business. Dans la section Choisir le type de règle, définissez le champ Modèle de règle de revendication sur l'option de menu déroulant Transformer une revendication entrante.
Transformer une revendication entrante
  1. Dans la section Configurer la règle de revendication, saisissez le nom de règle de revendication suivant :
    Transform email address as NameID
    Dans le champ Type de revendication entrante, sélectionnez E-Mail Address.
    Dans le champ Type de revendication sortante, sélectionnez Name ID.
    Dans le champ Format d'ID de nom sortant, sélectionnez Email.
    Cochez l'option Accepter toutes les valeurs de revendication.
    Cliquez sur Terminer.
Transform Email Address
  1. Vous êtes alors redirigé vers la fenêtre Modifier les règles de revendication pour Dropbox Business. Cliquez sur Appliquer, puis sur OK.
Modifier les règles de revendication
  1. Dans la section Signature de jetons, cliquez avec le bouton droit sur CN=ADFS, puis cliquez sur Afficher le certificat.
Signature de jetons
  1. Dans l'onglet Détails, vérifiez que le champ Afficher est défini sur Tout. Cliquez sur Copier dans un fichier.
Détails : Afficher <Tout>
  1. Vous êtes alors redirigé vers l'Assistant Exportation de certificat. Cliquez sur Suivant.
Assistant Exportation de certificat
  1. Dans la section Format du fichier d'exportation, cochez X.509 encodé en base 64 (.cer) sous Sélectionnez le format à utiliser.
Format du fichier d'exportation
  1. Naviguez jusqu'à l'emplacement d'enregistrement du certificat sur votre ordinateur. Vous aurez besoin de ce certificat pour terminer la procédure de configuration d'authentification unique dans l'interface d'administration Dropbox. Cliquez sur Suivant.
Emplacement du fichier d'exportation
  1. Cliquez sur Terminer.
Fin de l'Assistant Exportation de certificat
  1. Consultez la marche à suivre pour terminer la configuration de l'authentification unique dans l'interface d'administration Dropbox. Vous devrez transférer le certificat exporté à l'étape 23 dans le champ Certificat X.509. L'URL de connexion correspondra à votre point de terminaison SAML AD FS. 

Dépannage

  • Nous vous recommandons dans un premier temps de rendre facultative l'authentification unique à des fins de test. Tentez de vous connecter par authentification unique sur la page www.dropbox.com/sso alors que vous êtes déjà connecté. Vous aurez ainsi accès à des messages d'erreur détaillés dans le journal d'activité de l'équipe. Quand vous avez vérifié que tout fonctionne correctement et informé vos utilisateurs du changement, vous pouvez rendre l'authentification unique obligatoire.
  • Cette configuration repose sur les adresses e-mail des utilisateurs indiquées dans Active Directory, dans le champ Adresse de messagerie. Vous devez vous assurer que ce champ est bien renseigné dans Active Directory et que les adresses e-mail saisies sont identiques à celles des Membres actuels répertoriés dans l'interface d'administration Dropbox Business.
Avez-vous trouvé cet article utile ?

Nous en sommes désolés.
Selon vous, quelles améliorations pourrions-nous apporter ?

Merci d'avoir donné votre avis !
En quoi cet article vous a-t-il été utile ?

Merci d'avoir donné votre avis !