Como conectar o Dropbox ao AD FS 2.0 para usar SSO (logon único)?

Este artigo contém instruções detalhadas para o usuário conectar o Dropbox ao Active Directory Federation Services (AD FS) 2.0 a fim de usar o recurso SSO (logon único).

Leia mais instruções sobre como conectar o Dropbox ao Active Directory Federation Services (AD FS) 3.0.

Importante: Estas instruções só se aplicam ao recurso SSO. Você ainda precisará incluir e excluir contas manualmente pela seção de Administração do Dropbox Business. Essa etapa é especialmente importante quando usuários saem da organização, pois os aplicativos do Dropbox para desktop e para dispositivos móveis mantêm os usuários conectados por tempo indeterminado após a autenticação inicial por SSO.

Alguns clientes do Dropbox optam por desenvolver aplicativos personalizados com a API do Dropbox Business que incluem e excluem usuários automaticamente conforme alterações no AD. Entre em contato com seu gerente de contas se você tiver interesse em acessar a API.

Observe também que estas instruções ainda estão em fase beta. Agradecemos opiniões ou dúvidas que surjam à medida que você segue as instruções.

Pré-requisitos

• AD FS 2.0 com Rollup 3 ou posterior instalado
• Um endpoint SAML do AD FS exposto aos dispositivos que precisarão de autenticação

Encontre mais informações sobre como instalar a atualização Rollup 3 do AD FS no site de atendimento da Microsoft.

2. Essa ação abrirá o Assistente para Adicionar Terceira Parte Confiável. Clique em Iniciar.

3. Na seção Selecionar Fonte de Dados, escolha a opção Inserir dados sobre a terceira parte confiável manualmente e clique em Avançar.

4. Na seção Especificar Nome para Exibição, digite Dropbox Business em Nome para exibição e clique em Avançar.

5. Na seção Escolher Perfil, escolha perfil do AD FS 2.0 e clique em Avançar.

6. Na seção Configurar Certificado, não especifique um certificado de criptografia com token. Basta clicar em Avançar.

7. Na seção Configurar URL, marque a opção Habilitar suporte para o protocolo Web SSO de SAML 2.0. Adicione o URL abaixo em URL do serviço SSO de SAML 2.0 da terceira parte confiável:
   https://www.dropbox.com/saml_login
   Clique em Próximo.

8. Na seção Configurar Identificadores, adicione Dropbox como um identificador confiável e clique em Avançar.

9. Na seção Escolher Regras de Autorização de Emissão, selecione Permitir que todos os usuários acessem essa terceira parte confiável e clique em Avançar.

10. Na seção Pronto para Adicionar Relação de Confiança, clique em Avançar.

11. Na seção Concluir, marque a opção Abrir a caixa de diálogo Editar Regras de Declaração para este objeto de confiança de terceiros confiáveis depois que o assistente fechar e clique em Fechar.

12. Em seguida, você verá o painel Editar Regras de Declaração do Dropbox Business. Na guia Regras de Transformação de Emissão, clique em Adicionar regra...

13. Na seção Escolher Tipo de Regra, configure o menu suspenso Modelo de regra de declaração para Enviar Atributos de LDAP como Declarações e clique em Avançar.

14. Na seção Configurar Regra de Declaração, em Nome da regra de declaração, digite Consulta LDAP por e-mail.
    Sob Repositório de Atributos, selecione Active Directory.
    Sob Mapeamento dos atributos do LDAP para tipos de declaração de saída, em Atributos do LDAP, selecione Endereços de email e, para Tipo de Declaração de Saída, selecione Endereço de Email.
    Clique em Concluir.
    

15. Adicione outra regra pelo painel Editar Regras de Declaração do Dropbox Business. Na seção Escolher Tipo de Regra, configure o menu suspenso Modelo de regra de declaração para Transformar uma Declaração de Entrada.

16. Na seção Configurar Regra de Declaração, digite o seguinte nome de regra de declaração:
    Transformar endereço de email como NameID
    Para Tipo de declaração de entrada, selecione Endereço de Email.
    Para Tipo de declaração de saída, selecione Name ID.
    Para Formato name ID de saída, selecione Email.
    Selecione Passar todos os valores de declaração.
    Clique em Concluir.

17. Neste momento, você estará de volta à janela Editar Regras de Declaração do Dropbox Business. Clique em Aplicar e depois em OK.

18. Na seção Assinatura de token, clique com o botão direito em CN=ADFS e clique em Ver certificado...

19. Na guia Detalhes, verifique se Mostrar está configurado para Tudo. Clique em Copiar para arquivo...

20. Você verá o Assistente para Exportação de Certificados. Clique em Próximo.

21. Na seção Formato do Arquivo de Exportação, em Selecione o formato que você quer usar, escolha Base-64 encoded X.509 (.CER).

22. Navegue até um local acessível, como a área de trabalho. Você usará este certificado para concluir a configuração do SSO no painel de controle de administração do Dropbox. Clique em Próximo.

23. Clique em Concluir.

24. Leia as etapas finais necessárias para configurar o recurso SSO na seção de Administração do Dropbox. Você precisará enviar o certificado exportado na etapa 23, além de seu certificado X.509. Seu URL de login será seu endpoint SAML do AD FS.

Dicas para resolução de problemas

• Recomendamos que você configure primeiro o SSO no modo Opcional para fazer testes. Tente fazer login usando o recurso SSO em www.dropbox.com/sso enquanto seu login ainda está ativo. Dessa forma, você receberá mensagens de erro detalhadas no registro de atividades da equipe. Depois que você confirmar o funcionamento correto do recurso SSO e preparar os usuários para a transição, mude a configuração do SSO para modo Obrigatório.
• Essa configuração se baseia no endereço de e-mail informado no campo Email de usuários no Active Directory. Esse campo deve estar preenchido no Active Directory e deve coincidir com os endereços de e-mail dos Membros atuais listados na seção de Administração do Dropbox Business.