Wie verknüpfe ich Dropbox mit AD FS 2.0, um das einmalige Anmelden (SSO) zu nutzen?

In diesem Artikel finden Sie eine detaillierte Anleitung zur Verknüpfung von Dropbox mit den AD FS 2.0, damit Sie das einmalige Anmelden nutzen können.

Weitere Informationen zur Verknüpfung von Dropbox mit den Active Directory-Verbunddiensten (AD FS) 3.0 

Wichtiger Hinweis: Diese Anleitung gilt ausschließlich für das einmalige Anmelden. Die Nutzerkonten müssen weiterhin manuell über die Verwaltungskonsole in Dropbox Business bereitgestellt bzw. zurückgezogen werden. Darauf ist besonders bei Ausscheiden eines Mitarbeiters zu achten, da Nutzer in der Desktopanwendung und der App für Mobilgeräte von Dropbox nach dem ersten einmaligen Anmelden unbegrenzt angemeldet bleiben.

Einige Dropbox-Kunden entwickeln mit der Dropbox Business-API ihre eigenen Anwendungen, um Nutzerkonten bei Änderungen in AD automatisch bereitzustellen bzw. zurückzuziehen. Wenden Sie sich an Ihren Account Manager, wenn Sie auch an der API interessiert sind.

Diese Anleitung befindet sich derzeit noch im Betastadium. Wir freuen uns daher über Feedback und stehen Ihnen auch bei Fragen gern zur Verfügung.

Voraussetzungen

  • AD FS 2.0 mit Rollup 3 oder neuer
  • Ein AD FS-SAML-Endpunkt, auf den die Geräte zugreifen können, die authentifiziert werden müssen

Weitere Informationen zur Installation des AD FS-Updates für Rollup 3 finden Sie auf der Supportseite von Microsoft.

Dropbox mit AD FS verknüpfen, um SSO zu nutzen

  1. Wählen Sie in der AD FS 2.0-Konsole im Bereich Aktionen die Option Vertrauensstellung für vertrauende Seite hinzufügen aus. Vertrauensstellung für vertrauende Seite hinzufügen
  2. Anschließend wird der Assistent zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite geöffnet. Klicken Sie auf Start.
    Assistent zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite
  3. Wählen Sie im Bereich Datenquelle auswählen die Option Daten über die vertrauende Seite manuell eingeben und klicken Sie dann auf Weiter.
    Datenquelle auswählen
  4. Geben Sie im Bereich Anzeigename angeben unter Anzeigename Dropbox Business ein und klicken Sie auf Weiter.
    Anzeigename angeben
  5. Wählen Sie im Bereich Profil wählen das AD FS 2.0-Profil aus und klicken Sie auf Weiter.
    Profil wählen
  6. Fahren Sie im Bereich Zertifikat konfigurieren fort, ohne ein Tokenverschlüsselungszertifikat zu wählen. Klicken Sie einfach auf Weiter.
    Zertifikat konfigurieren
  7. Aktivieren Sie im Bereich URL konfigurieren die Option Unterstützung für das SAML 2.0-Web-SSO-Protokoll aktivieren. Geben Sie unter URL des SAML 2.0-SSO-Diensts die folgende URL ein:
    https://www.dropbox.com/saml_login
    Klicken Sie dann auf Weiter.
    URL konfigurieren
  8. Geben Sie im Bereich Bezeichner konfigurieren als Bezeichner für die Vertrauensstellung der vertrauenden Seite Dropbox an. Klicken Sie anschließend auf Weiter.
    Bezeichner konfigurieren
  9. Wählen Sie im Bereich Ausstellungsautorisierungsregeln wählen die Option Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben und klicken Sie auf Weiter.
    Ausstellungsautorisierungsregeln wählen
  10. Klicken Sie im Bereich Bereit zum Hinzufügen der Vertrauensstellung einfach auf Weiter.
    Bereit zum Hinzufügen der Vertrauensstellung
  11. Aktivieren Sie im Bereich Fertig stellen die Option Dialog zum Bearbeiten der Anspruchsregeln für diese Vertrauensstellung öffnen, wenn der Assistent geschlossen wird. Klicken Sie dann auf Schließen.
    Dialogfeld Anspruchsregeln bearbeiten öffnen
  12. Dann wird das Dialogfeld Anspruchsregeln für Dropbox Business bearbeiten geöffnet. Klicken Sie in der Registerkarte Ausstellungstransformationsregeln auf Regel hinzufügen.
    Regel hinzufügen
  13. Wählen Sie auf der Seite Regelvorlage auswählen aus dem Dropdown-Menü Anspruchsregelvorlage die Option LDAP-Attribute als Ansprüche senden aus und klicken Sie dann auf Weiter.
    Auswählen einer Regelvorlage
  14. Geben Sie im Bereich Regel konfigurieren in das Feld Anspruchsregelname als Namen Email LDAP query ein.
    Wählen Sie Active Directory als Attributspeicher aus.
    Wählen Sie unter Zuordnung von LDAP-Attributen zu Typen des ausgehenden Anspruchs für LDAP-Attribute E-Mail-Adressen aus und ordnen Sie die Attribute dem Typ des ausgehenden Anspruchs E-Mail-Adressen zu. Klicken Sie dann auf Fertig stellen.
    Anspruchsregel konfigurieren
  15. Fügen Sie im Dialogfeld Anspruchsregeln für Dropbox Business bearbeiten eine weitere Regel hinzu. Wählen Sie auf der Seite Regelvorlage auswählen aus dem Dropdown-Menü Anspruchsregelvorlage die Option Eingehenden Anspruch transformieren aus.
    Transformieren eines eingehenden Anspruchs
  16. Geben Sie auf der Seite Regel konfigurieren den folgenden Anspruchsregelnamen ein:
    E-Mail-Adresse zu Namens-ID transformieren
    Bei Eingehender Anspruchstyp wählen Sie E-Mail-Adresse aus.
    Bei Ausgehender Anspruchstyp wählen Sie Namens-ID aus.
    Bei Ausgehendes ID-Format des Namens wählen Sie E-Mail aus.
    Wählen Sie Alle Anspruchswerte zulassen aus.
    Klicken Sie dann auf Fertig stellen.
    E-Mail-Adresse konfigurieren
  17. Dann wird wieder das Dialogfeld Anspruchsregeln für Dropbox Business bearbeiten geöffnet. Klicken Sie auf Übernehmen und dann auf OK.
    Anspruchsregeln bearbeiten, Fertig stellen
  18. Klicken Sie unter Tokensignatur mit der rechten Maustaste auf CN=ADFS und dann auf Zertifikat anzeigen.
    Tokensignatur
  19. Wählen Sie in der Registerkarte Details für Anzeigen die Option Alle aus. Klicken Sie dann auf In Datei kopieren.
    Details, Alles anzeigen
  20. Dann wird der Zertifikatexport-Assistent geöffnet. Klicken Sie auf Weiter.
    Zertifikatexport-Assistent
  21. Wählen Sie auf der Seite Exportdateiformat unter Wählen Sie das gewünschte Format die Option Base-64-codiertes X.509 (*.CER) aus.
    Exportdateiformat
  22. Navigieren Sie zu einem leicht zugänglichen Speicherort, wie z. B. dem Desktop. Mit diesem Zertifikat werden Sie das einmalige Anmelden in der Verwaltungskonsole von Dropbox abschließen. Klicken Sie auf Weiter.
    Speicherort der zu exportierenden Datei
  23. Klicken Sie auf Fertig stellen.
    Export-Assistent, Fertig stellen
  24. Die letzten erforderlichen Schritte zur Konfiguration des einmaligen Anmeldens in Dropbox sind in diesem Artikel beschrieben. Dazu laden Sie das Zertifikat hoch, das Sie in Schritt 23 als X.509-Zertifikat exportiert haben. Ihre Anmelde-URL ist Ihr AD FS-SAML-Endpunkt.

    Einmaliges Anmelden, Verwaltungskonsole

Tipps zur Problembehebung

  • Am besten legen Sie für das einmalige Anmelden zu Testzwecken zunächst den Modus Optional fest. Versuchen Sie, sich nach der ersten Anmeldung über SSO bei www.dropbox.com/sso anzumelden. So erhalten Sie gegebenenfalls detaillierte Fehlermeldungen im Aktivitätsprotokoll Ihres Teams. Nachdem Sie das einmalige Anmelden erfolgreich getestet und Ihre Nutzer auf die Umstellung vorbereitet haben, können Sie den Modus Erforderlich dafür festlegen.
  • Für diese Konfiguration wird die E-Mail-Adresse aus dem Feld E-Mail in Active Directory verwendet. Stellen Sie daher sicher, dass die Angaben in diesem Feld in Active Directory mit den E-Mail-Adressen der Aktuellen Nutzer übereinstimmen, die in der Verwaltungskonsole Ihres Dropbox Business-Kontos aufgelistet sind.

Verwandte Themen:

Hat Ihnen dieser Artikel weitergeholfen?

Das tut uns leid. Lassen Sie uns wissen, was wir besser machen können:

Vielen Dank für Ihr Feedback!

Antworten der Community
    Antworten der Community

      Other ways to get help

      Community

      Twitter-Support

      Moderierte Hilfe