Como conectar o Dropbox ao AD FS 2.0 para usar SSO (logon único)?

Este artigo contém instruções detalhadas para o usuário conectar o Dropbox ao Active Directory Federation Services (AD FS) 2.0 a fim de usar o recurso SSO (logon único).

Leia mais instruções sobre como conectar o Dropbox ao Active Directory Federation Services (AD FS) 3.0.

Importante: Estas instruções só se aplicam ao recurso SSO. Você ainda precisará incluir e excluir contas manualmente pela seção de Administração do Dropbox Business. Essa etapa é especialmente importante quando usuários saem da organização, pois os aplicativos do Dropbox para desktop e para dispositivos móveis mantêm os usuários conectados por tempo indeterminado após a autenticação inicial por SSO.

Alguns clientes do Dropbox optam por desenvolver aplicativos personalizados com a API do Dropbox Business que incluem e excluem usuários automaticamente conforme alterações no AD. Entre em contato com seu gerente de contas se você tiver interesse em acessar a API.

Observe também que estas instruções ainda estão em fase beta. Agradecemos opiniões ou dúvidas que surjam à medida que você segue as instruções.

Pré-requisitos

  • AD FS 2.0 com Rollup 3 ou posterior instalado
  • Um endpoint SAML do AD FS exposto aos dispositivos que precisarão de autenticação

Encontre mais informações sobre como instalar a atualização Rollup 3 do AD FS no site de atendimento da Microsoft.

Como conectar o Dropbox ao AD FS para usar SSO

  1. No painel de controle do AD FS 2.0, em Ações, selecione Adicionar Terceira Parte Confiável...
Adicionar Terceira Parte Confiável
  1. Essa ação abrirá o Assistente para Adicionar Terceira Parte Confiável. Clique em Iniciar.
Assistente para Adicionar Terceira Parte Confiável
  1. Na seção Selecionar Fonte de Dados, escolha a opção Inserir dados sobre a terceira parte confiável manualmente e clique em Avançar.
Selecionar Fonte de Dados
  1. Na seção Especificar Nome para Exibição, digite Dropbox Business em Nome para exibição e clique em Avançar.
Especificar Nome para Exibição
  1. Na seção Escolher Perfil, escolha perfil do AD FS 2.0 e clique em Avançar.
Escolher Perfil
  1. Na seção Configurar Certificado, não especifique um certificado de criptografia com token. Basta clicar em Avançar.
Configurar Certificado
  1. Na seção Configurar URL, marque a opção Habilitar suporte para o protocolo Web SSO de SAML 2.0. Adicione o URL abaixo em URL do serviço SSO de SAML 2.0 da terceira parte confiável:
    https://www.dropbox.com/saml_login
    Clique em Próximo.
Configurar URL
  1. Na seção Configurar Identificadores, adicione Dropbox como um identificador confiável e clique em Avançar.
Configurar Identificadores
  1. Na seção Escolher Regras de Autorização de Emissão, selecione Permitir que todos os usuários acessem essa terceira parte confiável e clique em Avançar.
Escolher Regras de Autorização de Emissão
  1. Na seção Pronto para Adicionar Relação de Confiança, clique em Avançar.
Pronto para Adicionar Relação de Confiança
  1. Na seção Concluir, marque a opção Abrir a caixa de diálogo Editar Regras de Declaração para este objeto de confiança de terceiros confiáveis depois que o assistente fechar e clique em Fechar.
Abrir Editar Regras de Declaração
  1. Em seguida, você verá o painel Editar Regras de Declaração do Dropbox Business. Na guia Regras de Transformação de Emissão, clique em Adicionar regra...
Adicionar Regra
  1. Na seção Escolher Tipo de Regra, configure o menu suspenso Modelo de regra de declaração para Enviar Atributos de LDAP como Declarações e clique em Avançar.
Escolher Tipo de Regra
  1. Na seção Configurar Regra de Declaração, em Nome da regra de declaração, digite Consulta LDAP por e-mail.
    Sob Repositório de Atributos, selecione Active Directory.
    Sob Mapeamento dos atributos do LDAP para tipos de declaração de saída, em Atributos do LDAP, selecione Endereços de email e, para Tipo de Declaração de Saída, selecione Endereço de Email.
    Clique em Concluir.
Configurar Regra de Declaração
  1. Adicione outra regra pelo painel Editar Regras de Declaração do Dropbox Business. Na seção Escolher Tipo de Regra, configure o menu suspenso Modelo de regra de declaração para Transformar uma Declaração de Entrada.
Transformar uma Declaração de Entrada
  1. Na seção Configurar Regra de Declaração, digite o seguinte nome de regra de declaração:
    Transformar endereço de email como NameID
    Para Tipo de declaração de entrada, selecione Endereço de Email.
    Para Tipo de declaração de saída, selecione Name ID.
    Para Formato name ID de saída, selecione Email.
    Selecione Passar todos os valores de declaração.
    Clique em Concluir.
Transformar Endereço de Email
  1. Neste momento, você estará de volta à janela Editar Regras de Declaração do Dropbox Business. Clique em Aplicar e depois em OK.
Encerrar Edição de Regras de Declaração
  1. Na seção Assinatura de token, clique com o botão direito em CN=ADFS e clique em Ver certificado...
Assinatura de token
  1. Na guia Detalhes, verifique se Mostrar está configurado para Tudo. Clique em Copiar para arquivo...
Detalhes - Mostrar Tudo
  1. Você verá o Assistente para Exportação de Certificados. Clique em Próximo.
Assistente para Exportação de Certificados
  1. Na seção Formato do Arquivo de Exportação, em Selecione o formato que você quer usar, escolha Base-64 encoded X.509 (.CER).
Formato do Arquivo de Exportação
  1. Navegue até um local acessível, como a área de trabalho. Você usará este certificado para concluir a configuração do SSO no painel de controle de administração do Dropbox. Clique em Próximo.
Local do Arquivo de Exportação
  1. Clique em Concluir.
Encerrar Assistente para Exportação
  1. Leia as etapas finais necessárias para configurar o recurso SSO na seção de Administração do Dropbox. Você precisará enviar o certificado exportado na etapa 23, além de seu certificado X.509. Seu URL de login será seu endpoint SAML do AD FS.

Dicas para resolução de problemas

  • Recomendamos que você configure primeiro o SSO no modo Opcional para fazer testes. Tente fazer login usando o recurso SSO em www.dropbox.com/sso enquanto seu login ainda está ativo. Dessa forma, você receberá mensagens de erro detalhadas no registro de atividades da equipe. Depois que você confirmar o funcionamento correto do recurso SSO e preparar os usuários para a transição, mude a configuração do SSO para modo Obrigatório.
  • Essa configuração se baseia no endereço de e-mail informado no campo Email de usuários no Active Directory. Esse campo deve estar preenchido no Active Directory e deve coincidir com os endereços de e-mail dos Membros atuais listados na seção de Administração do Dropbox Business.
Este artigo foi útil?

Lamentamos saber disso.
Diga como podemos melhorar:

Agradecemos sua opinião!
Diga como este artigo ajudou:

Agradecemos sua opinião!