Come faccio a collegare Dropbox ad AD FS 2.0 per il Single sign-on (SSO)?

Questo articolo fornisce istruzioni dettagliate su come collegare Dropbox ad Active Directory Federation Services (ADFS) 2.0 per il Single Sign-On (SSO).

Consulta ulteriori istruzioni su come collegare Dropbox ad Active Directory Federation Services (AD FS) 3.0.

Importante: queste istruzioni si applicano solo all'autenticazione SSO; dovrai comunque eseguire manualmente il collegamento e lo scollegamento degli account nella Console amministratore di Dropbox Business. Questo è particolarmente importante quando gli utenti lasciano l'organizzazione, perché le applicazioni Dropbox per desktop e dispositivi mobili mantengono gli utenti collegati a tempo indeterminato dopo l'autenticazione SSO iniziale.

Alcuni clienti Dropbox scelgono di creare applicazioni personalizzate con l'API di Dropbox Business per collegare e scollegare automaticamente gli utenti in risposta a modifiche dell'AD. Se sei interessato all'accesso con API, contatta il responsabile del tuo account.

Tieni presente inoltre che queste istruzioni sono ancora in versione beta. Riceveremo con piacere qualsiasi commento o domanda che dovessi avere mentre segui la procedura riportata.

Prerequisiti

• Un'istanza di AD FS 2.0 con Rollup 3 o versione più recente installata
• Un endopoint AD FS SAML esposto ai dispositivi che dovrà autenticare

Per ulteriori informazioni sull'installazione di AD FS Update Rollup 3, consulta il sito di assistenza di Microsoft.

2. Si aprirà la procedura guidata per Aggiungi relying party trust (Add Relying Party Trust). Fai clic su Start.

3. Nella sezione Select Data Source (Seleziona origine dati), seleziona Enter data about the relying party manually (Immetti dati sul componente manualmente) e fai clic su Next (Avanti).

4. Nella sezione Specify Display Name (Specifica nome visualizzato), inserisci Dropbox Business nel campo Display name (Nome visualizzato) e fai clic su Next (Avanti).

5. Nella sezione Choose Profile (Scegli profilo), scegli AD FS 2.0 profile (Profilo AD FS 2.0) e fai clic su Next (Avanti).

6. Nella sezione Configura certificato (Configure Certificate), non specificare un certificato token di crittografia, ma fai solo clic su Avanti (Next).

7. Nella sezione Configura URL (Configure URL), seleziona l'opzione Consenti supporto per protocollo SAML 2.0 Web SSO (Enable support for the SAML 2.0 Web SSO protocol). Aggiungi il seguente URL per URL del servizio SSO SAML 2.0 della parte di relying (Relying party SAML 2.0 SSO service URL):
   https://www.dropbox.com/saml_login
   Fai clic su Avanti.

8. Nella sezione Configura identificatori (Configure Identifiers), aggiungi Dropbox come identificatore attendibile, poi fai clic su Avanti (Next).

9. Nella sezione Scegli regole di autorizzazione per il rilascio (Choose Issuance Authorization Rules), seleziona Permetti a tutti gli utenti di accedere a questo relying party (Permit all users to access this relying party) e fai clic su Next (Avanti).

10. Nella sezione Pronto per aggiungere trust (Ready to Add Trust), devi solo fare clic su Next (Avanti).

11. Nella sezione Finish (Termina), attiva l'opzione Apri la finestra di dialogo Modifica regole attestazione per l'attendibilità del provider di attestazioni alla chiusura della procedura guidata (Open the Edit Claim Rules dialog for this relying party trust when the wizard closes), poi fai clic su Chiudi (Close).

12. In seguito sarai indirizzato al pannello Modifica regole attestazione per Dropbox Business (Edit Claim Rules for Dropbox Business). Nella scheda Regole di trasformazione rilascio (Issuance Transform Rules), fai clic su Aggiungi regola… (Add Rule…).

13. Nella sezione Scegli tipo di regola (Choose Rule Type), imposta il menu a discesa Modello di regola attestazione (Claim rule template) su Inviare attributi LDAP come attestazioni (Send LDAP Attributes as Claims), poi fai clic su Avanti (Next).

14. Nella sezione Configura regola attestazione (Configure Claim Rule), nel campo Nome regola attestazione (Claim rule name), inserisci Invia query LDAP per email (Email LDAP query).
    In Archivio attributi (Attribute store), seleziona Active Directory.
    In Mapping degli attributi LDAP ai tipi di attestazione in uscita (Mapping of LDAP attributes to outgoing claim types), mappa l'attributo LDAP (LDAP Attribut) Indirizzi di posta elettronica (E-Mail Addresses) sul tipo di attestazione in uscita (Outgoing Claim Type) Indirizzo di posta elettronica (E-Mail Address).
    Fai clic su Finish (Termina).
    

15. Aggiungi un'altra regola dal pannello Modifica regole attestazione per Dropbox Business (Edit Claim Rules for Dropbox Business). Nella sezione Scegli tipo regola (Choose Rule Type), imposta il menu a discesa Modello di regola attestazione (Claim rule template) su Trasformare un'attestazione in ingresso (Transform an Incoming Claim).

16. Nella sezione Configura regola attestazione (Configure Claim Rule), digita la seguente dicitura nel campo Nome regola attestazione (Claim rule name).
    Trasforma indirizzo email come ID nome (Transform email address as NameID)
    Nel campo Tipo attestazione in ingresso (Incoming claim type), seleziona Indirizzo di posta elettronica (E-Mail Address).
    Nel campo Tipo di attestazione in uscita (Outgoing claim type), seleziona ID nome (Name ID).
    Nel campo Formato ID nome in uscita (Outgoing name ID format), seleziona Email.
    Seleziona Pass-through di tutti i valori attestazione (Pass through all claim values).
    Fai clic su Finish (Termina).

17. A questo punto dovresti essere di nuovo nella finestra Modifica regole attestazione per Dropbox Business (Edit Claim Rules for Dropbox Business). Fai clic su Applica (Apply), poi su OK.

18. In Firma di token (Token-signing), fai clic con il pulsante destro del mouse su CN=ADFS, poi fai clic su Visualizza certificato… (View certificate…).

19. Nella scheda Dettagli (Details), assicurati che il menu a discesa Mostra (Show) sia impostato su Tutto (All). Fai clic su Copia su file… (Copy to File…).

20. A questo punto si aprirà Procedura guidata esportazione certificato (Certificate Export Wizard). Fai clic su Avanti.

21. In Formato file di esportazione (Export File Format), alla voce Seleziona il formato da utilizzare (Select the format you want to use), seleziona Codifica a base 64 X.509 (.CER) (Base-64 encoded X.509 (.CER))
    

22. Sfoglia per trovare una posizione accessibile come il desktop. Userai questo certificato per completare la configurazione SSO nella console amministratore di Dropbox. Fai clic su Avanti.

23. Fai clic su Finish (Termina).

24. Consulta i passaggi finali necessari per configurare l'SSO nella Console amministratore di Dropbox. Come certificato X.509, caricherai il certificato che hai esportato nel passaggio 23. Il tuo URL di accesso sarà l'endpoint AD FS SAML. 

Consigli per la risoluzione dei problemi

• Ti consigliamo di configurare prima l'SSO in modalità Opzionale (Optional) a scopo di test. Prova un login SSO su www.dropbox.com/sso mentre hai già eseguito l'accesso. In questo modo puoi ottenere messaggi di errore dettagliati nel registro delle attività del team. Una volta che avrai confermato che l'SSO funziona correttamente e che avrai preparato i tuoi utenti al passaggio, puoi cambiare la modalità dell'SSO su RIchiesto (Required).
• Questa impostazione si basa sugli indirizzi email nel campo Email degli utenti presenti in Active Directory. Devi verificare che questo campo sia compilato in Active Directory e che corrisponda agli indirizzi email dei Membri attuali elencati nella tua console amministratore di Dropbox Business.