シングルサインオン（SSO）の使用時に Dropbox を AD FS 3.0 に接続するには

この記事では、通常 ADFS 2012 R2 と呼ばれる Active Directory フェデレーションサービス 3.0 に依存した SP-initiated SSO に対応できるように Dropbox Business アカウントを設定する方法を詳しく説明します。

導入の際には Microsoft の AD FS クラスタとプロキシ導入のベストプラクティスに従ってください。フル AD DS / AD FS の導入の設定は、本ガイドの対象外となります。

Dropbox を Active Directory フェデレーションサービス（AD FS）に接続する方法についての記事をご覧ください。

重要：次の手順は SSO のみに適用することができるので、管理者は Dropbox Business の管理コンソールでアカウントを手動で準備または準備解除する必要があります。Dropbox デスクトップやモバイルアプリは最初の SSO 認証後、そのユーザーのログイン状態を半永久的に維持するため、この操作は特にユーザーが組織を退職した場合に重要です。

一部の Dropbox ユーザーは Dropbox Business API を使用してカスタムアプリケーションを構築し、AD で行った変更に伴いユーザーを自動的に準備または準備解除しています。API アクセスの利用をご希望の場合は、お客様のアカウントマネージャーにお問い合わせください。

この手順はまだベータ段階ですのでご了承ください。また、手順をすすめる上でフィードバックやご質問がある場合は、ぜひ Dropbox へお知らせください。

システム要件

認証が必要なデバイスにエクスポーズしている AD FS 3.0 インスタンスと AD FS SAML エンドポイント

SSO の使用時に Dropbox を AD FS 3.0 に接続するには

新しい証明書利用者信頼（Relying Party Trust）を作成します。

［Enter data about the relying party manually（証明書利用者についてのデータを手動で入力する）］を選択します。

以下のとおりに、［Display name（表示名）］と［Notes（メモ）］を入力します。

［AD FS profile（AD FS プロファイル）］を使用します。

このページは変更せずに、［Next（次へ）］をクリックします。

「SAML 2.0」を選択して、サービス URL を「https://www.dropbox.com/saml_login」に設定します。

証明書利用者 ID（Relying Party Identifier）を［Dropbox］に設定します。

［Multifactor Authentication（多要素認証）］はデフォルトのままにします。

SSO で Dropbox にアクセスできるユーザーを選択します。

［Next（次へ）］をクリックして、証明書利用者信頼（Relying Party Trust）を追加します。

ウィザードを閉じます。

LDAP 属性を要求として送信するルールを追加します。

LDAP 属性を要求として送信します。

要求規則を追加します。

別の規則を追加します。

［Transform an Incoming Claim（受信要求の変換）］を選択します。

要求規則を設定します。

規則を適用します。

証明書を準備します。

ファイルにコピーします。

Base-64 エンコードでエクスポートします。

以下にファイル名を入力します。

SSO で AD FS サーバーを使用できるように Dropbox を設定する: Dropbox 管理コンソールで SSO の設定を完了する手順をご覧ください。

ステップ 27 に関する注意：

X.509 証明書としてエクスポートした証明書をアップロードします。
ログイン用の URL が、お客様の AD FS SAML エンドポイントになります。
Dropbox では、最初に［任意］モードで SSO を設定し、その SSO が正常に機能することを検証してユーザーが切り替え準備をした後で［必須］モードに移行することをおすすめします。