シングル サインオン(SSO)の使用時に Dropbox を AD FS 2.0 に接続するには

この記事では、シングル サインオン(SSO)の使用時に Dropbox を Active Directory フェデレーション サービス(AD FS)2.0 に接続する方法をご説明します。

Dropbox を Active Directory フェデレーション サービス(AD FS)3.0 に接続する方法についての記事をご覧ください。

重要:次の手順は SSO のみに適用することができるので、管理者は Dropbox Business の管理コンソールでアカウントを手動で準備または準備解除する必要があります。Dropbox デスクトップやモバイル アプリは最初の SSO 認証後、そのユーザーのログイン状態を半永久的に維持するため、この操作は特にユーザーが組織を退職した場合に重要です。

一部の Dropbox ユーザーは Dropbox Business API を使用してカスタム アプリケーションを構築し、AD で行った変更に伴いユーザーを自動的に準備または準備解除しています。API アクセスの利用をご希望の場合は、お客様のアカウント マネージャーにお問い合わせください。

この手順はまだベータ段階ですのでご了承ください。また、手順をすすめる上でフィードバックやご質問がある場合は、ぜひ Dropbox へお知らせください。

システム要件

  • Rollup 3 以降をインストール済みの AD FS 2.0 インスタンス
  • 認証が必要なデバイスにエクスポーズしている AD FS SAML エンドポイント

AD FS アップデート Rollup 3 のインストール詳細については、Microsoft のサポート サイトをご覧ください。

SSO の使用時に Dropbox を AD FS に接続するには

  1. AD SF 2.0 コンソールの[Actions(操作)]で、[Add Relying Party Trust...(証明書利用者信頼の追加...)]を選択します。
証明書利用者信頼の追加(Add Relying Party Trust)
  1. 証明書利用者信頼ウィザードの追加(Add Relying Party Trust Wizard)]にリダイレクトします。[スタート]をクリックします。
証明書利用者信頼ウィザードの追加(Add Relying Party Trust Wizard)
  1. Select Data Source(データソースの選択)]で[Enter data about the relying party manually(証明書利用者についてのデータを手動で入力する)]を選択し、[Next(次へ)]をクリックします。
データソースの選択(Select Data Source)
  1. Specify Display Name(表示名の指定)]で[Display Name(表示名)]に「Dropbox Business」と入力し、[Next(次へ)]をクリックします。
表示名の指定(Specify Display Name)
  1. Choose Profile(プロフィールの選択)]で[AD FS 2.0 profile]を選択し、[Next(次へ)]をクリックします。
プロフィールの選択(Choose Profile)
  1. Configure Certificate(証明書の構成)]でトークン暗号の証明書を特定しないで、[Next(次へ)]をクリックします。
証明書の構成(Configure Certificate)
  1. URL の構成(Configure URL)]で[SAML 2.0 Web SSO プロトコルのサポートを有効にする(Enable supportfor the SAML 2.0 Web SSO protocol)]オプションをオンにします。[証明書利用者 SAML 2.0 SSO サービスの URL(Relying party SAML 2.0 SSO serviceURL)]に次の URL を追加します。
    https://www.dropbox.com/saml_login
    次へ]をクリックします。
URL の構成(Configure URL)
  1. Configure Identifiers(識別子の構成)]で「Dropbox」を信頼する識別子として追加し、[Next(次へ)]をクリックします。
識別子の構成(Configure Identifiers)
  1. Choose Issuance Authorization Rules(発行承認規則の選択)]で[Permit all users to access this relying party(すべてのユーザーに対してこの証明書利用者へのアクセスを許可する)]を選択し、[Next(次へ)]をクリックします。
発行承認規則の選択(Choose Issuance Authorization Rules)
  1. Ready to Add Trust(信頼追加の準備完了)]で[Next(次へ)]をクリックします。
信頼追加の準備完了(Ready to Add Trust)
  1. Finish(完了)]で[Open the Edit Claim Rules dialog for this relying party trust when the wizard closes(ウィザードの終了時にこの証明書利用者信頼の[要求規則の編集]ダイアログを開く)]オプションをオンにし、[Close(閉じる)]をクリックします。
[要求規則の編集]を開く(Open Edit Claim Rules)
  1. Edit Claim Rules for Dropbox Business(Dropbox Business の要求規則の編集)]パネルにリダイレクトされます。[Issuance Transform Rules(発行変換規則)]タブで[Add Rule...(規則の追加...)]をクリックします。
規則の追加(Add Rule)
  1. Choose Rule Type(規則の種類の選択)]で、[Claim rule template(要求規則テンプレート)]プルダウン メニューを[Send LDAP Attributes as Claims(LDAP 属性を要求として送信)]に設定し、[Next(次へ)]をクリックします。
規則の種類の選択(Choose Rule Type)
  1. Configure Claim Rule(要求規則の構成)]で、[Claim rule name(要求規則名)]に「Email LDAP query」と入力します。
    Attribute store(属性ストア)]で[Active Directory]を選択します。
    LDAP attributes to outgoing claim types(LDAP 属性の出力方向の要求の種類)]への関連付けで、[LDAP Attribute(LDAP 属性)]に[E-Mail Addresses]、[Outgoing Claim Type(出力方向の要求の種類)]に[E-Mail Address]を選択します。
    Finish(完了)]をクリックします。
要求規則の構成(Configure Claim Rule)
  1. Edit Claim Rules(Dropbox Business の要求規則の編集)]パネルで別の規則を追加します。[Choose Rule Type(規則の種類の選択)]で、プルダウン メニューの[Claim rule template(要求規則テンプレート)]を[Transform Incoming Claim(入力方向の要求の変換)]に設定します。
入力方向の要求の変換(Transform Incoming Claim)
  1. Configure Claim Rule(要求規則の構成)]で次の要求規則名を入力します。
    Transform email address as NameID(メールアドレスを名前 ID に変換する)
    Incoming claim type(入力方向の要求の種類)]には[E-Mail Address]を選択します。
    Outgoing claim type(出力方向の要求の種類)]には[Name ID(名前 ID)]を選択します。
    Outgoing name ID format(出力方向の名前 ID 形式)]には[Email]を選択します。
    ass through all claim values(すべての要求値をパス スルーする()]を選択します。
    Finish(完了)]をクリックします。
メール アドレスの変換(Transform Email Address)
  1. この時点で、[Edit Claim Rules for Dropbox Business(Dropbox Business の要求規則の編集)]ウィンドウが表示されているはずです。[Apply(適用)]をクリックしてから[OK]をクリックします。
要求規則の編集完了(Edit Claim Rules Finish)
  1. Token Signing(トークン署名)]で、[CN=ADFS]を右クリックして[View certificate...(証明書の表示...)]をクリックします。
トークン署名(Token Signing)
  1. Details(詳細)]タブで、[Show(表示)]が[All(すべて)]に設定されていることを確認します。[Copy to File...(ファイルにコピー...)]をクリックします。
[詳細(Details)]タブの[表示(Show)]:[すべて(All)]
  1. Certificate Export Wizard(証明書のエクスポート ウィザード)]にリダイレクトします。[Next(次へ)]をクリックします。
証明書のエクスポート ウィザード(Certificate Export Wizard)
  1. Export File Format(ファイルのエクスポート形式)]の[Select the format you want to use(使用したい形式の選択)]で、[Base-64 encoded X.509 (.CER)]を選択します。
ファイルのエクスポート形式(Export File Format)
  1. デスクトップなどアクセス可能な場所を指定します。この証明書は Dropbox の管理コンソールで SSO 設定を完了する場合に使用します。[Next(次へ)]をクリックします。
ファイルのエクスポート先(Export File Location)
  1. 完了]をクリックします。
エクスポート ウィザードの終了(Finish Export Wizard)
  1. Dropbox 管理コンソールで SSO の設定を完了する手順については、こちらの記事をご覧ください。ステップ 23 で、X.509 証明書としてエクスポートした証明書をアップロードします。ログイン用の URL が、お客様の AD FS SAML エンドポイントになります。

トラブルシューティングのヒント

  • 最初は、テスト用として SSO をオプション モードに設定することをおすすめします。エラー メッセージの詳細をチームのアクティビティ ログで確認するため、すでにログインしている状態で www.dropbox.com/sso から SSO ログインをお試しください。SSO が適切に機能していることを確認し、ユーザーを切り替える準備ができたら、SSO モードを必須モードに変更できます。
  • この設定は、Active Directory にあるユーザーの[メール(Email)]フィールドに表示されているメール アドレスに依存します。このフィールドが Active Directory で事前設定されており、ビジネス向け Dropbox 管理コンソールの[メンバー]の[現在のメンバー]タブにリストされているメール アドレスと一致していることを確認する必要があります。
この記事はお役に立ちましたか?

フィードバックをお寄せいただきありがとうございました。お役に立てず申し訳ありません。
よろしければ、どのように改善すべきかご指摘ください。

フィードバックありがとうございます。
この記事がどれほど役に立ったかをお知らせください。

フィードバックありがとうございます。