Как подсоединить Dropbox к AD FS 3.0, чтобы обеспечить единый вход (SSO)?

В этой статье подробно объясняется, как подсоединить Dropbox Business к службам федерации Active Directory 3.0 (AD FS 2012 R2) для осуществления единого входа (SSO).

Развертывание AD FS должно быть выполенено в соответствии с рекомендациями компании Microsoft по развертыванию кластеров и прокси-серверов AD FS. Данная инструкция не содержит всей информации по развертыванию служб AD DS / AD FS.

Вы можете получить информацию о том, как подсоединить Dropbox к службам федерации Active Directory (AD FS), ознакомившись с этой статьей.

Обратите внимание: эта инструкция относится только к функции единого входа (SSO). Вам все равно придется вручную удалять и устанавливать аккаунты в Dropbox Business с помощью консоли администрирования. Это необходимо учитывать, когда речь идет о сотрудниках, покидающих организацию, поскольку в компьютерной программе и мобильном приложении Dropbox пользователи бессрочно остаются в системе после того, как они первоначально осуществили аутентификацию с помощью функции единого входа (SSO).

Некоторые клиенты Dropbox предпочитают создавать настраиваемые приложения с помощью API Dropbox Business, чтобы автоматически удалять или добавлять пользователей в связи с изменениями в Active Directory. Если вам необходим доступ к API, свяжитесь, пожалуйста, со своим менеджером по работе с клиентами.

Обратите внимание: эти инструкции пока представлены в бета-версии. Если у вас во время их выполнения возникли какие-то вопросы или замечания, пожалуйста, дайте нам знать.

Необходимые условия

• AD FS 3.0 с конечной точкой AD FS SAML, открытой для устройств, которые нуждаются в аутентификации.

Как подсоединить Dropbox к AD FS 3.0 для единого входа (SSO)

1. Выберите «Добавить отношения доверия с проверяющей стороной» (Add Relying Party Trust…).

3. Выберите Вводить данные о проверяющей стороне вручную (Enter data about the relying party manually).

4. Введите «Отображаемое имя» (Display name) и «Заметки» (Notes), как показано ниже.

5. Используйте Профиль AD FS (AD FS profile).

6. Нажмите Далее (Next), не внося изменений на этой странице.

7. Выберите SAML 2.0 и введите следующий URL-адрес услуги: https://www.dropbox.com/saml_login

8. Добавьте Dropbox в поле «Идентификатор утверждающей стороны» (Relying party identifier).

9. Оставьте настройки многофакторной проверки подлинности (Multifactor Authentication), выставленные по умолчанию, без изменений.

10. Выберите кому будет разрешено входить в Dropbox с помощью функции единого входа (SSO).

11. Нажмите Далее (Next), чтобы добавить отношение доверия с проверяющей стороной.

12. Закройте мастер задач.

13. Добавьте правило, чтобы отправлять атрибуты LDAP в виде утверждений.

14. Выберите «Отправлять атрибуты LDAP в виде утверждений» (Send LDAP Attributes as Claims).

15. Добавьте правила утверждения.

16. Добавьте еще одно правило.

17. Выберите Изменение входящего утверждения (Transform Incoming Claim).

18. Выберите параметры правила утверждения.

19. Примените правила.

20. Подготовьте сертификат.

21. Скопируйте в файл.

23. Выберите опцию «Base-64 encoded X.509 (.CER)».

24. Введите название файла ниже.

27. Настройте Dropbox, чтобы начать использовать сервер AD FS для единого входа: получите подробную информацию о последних шагах, необходимых, чтобы настроить функцию единого входа (SSO) в консоли администрирования Dropbox. 

Примечания к пункту 27:

• Вы загрузите экспортированный вами сертификат в качестве сертификата X.509.
• Использованный вами для входа URL-адрес станет вашей конечной точкой AD FS SAML.
• Рекомендуется сначала сделать функцию единого входа (SSO) необязательной, а затем, после того как вы проверите, что все работает, и подготовите пользователей к изменению, сделать ее использование обязательным.

Другие полезные статьи:

• Часто задаваемые вопросы о настройке функции единого входа (SSO) для администраторов
• Как отслеживать действия в моем Бизнес аккаунте Dropbox?