¿Cómo vinculo Dropbox con AD FS 2.0 para el inicio de sesión único (SSO)?

Este artículo brinda instrucciones detalladas acerca de cómo vincular Dropbox a los Servicios de federación de Active Directory (AD FS) 2.0 para el inicio de sesión único (SSO).

Obtén más instrucciones para vincular Dropbox con Active Directory Federation Services (AD FS) 3.0.

Importante: Estas instrucciones se aplican únicamente al inicio de sesión único; debes aprovisionar y anular manualmente el aprovisionamiento de las cuentas en la Consola de administración de Dropbox Business. Esto es especialmente importante cuando los usuarios abandonan la empresa debido a que las aplicaciones de Dropbox para escritorio y para dispositivos móviles mantienen a los usuarios vinculados indefinidamente después de su autenticación inicial para el inicio de sesión único.

Algunos clientes de Dropbox eligen desarrollar aplicaciones personalizadas con la API de Dropbox Business a find e aprovisionar y anular automáticamente el aprovisionamiento de los usuarios en respuesta a los cambios en AD. Comunícate con tu Gerente de cuentas si estás interesado en el acceso a la API.

Ten en cuenta que estas instrucciones todavía están en versión beta. Nos encantaría recibir tus comentarios o consultas mientras sigues estos pasos.

Requisitos previos

  • Una instancia de AD FS 2.0 con paquete acumulativo 3 o superior instalado
  • Un extremo SAML de AD FS que esté expuesto a los dispositivos que necesitan autenticarse

Puedes obtener más información acerca de la instalación de un paquete acumulativo de actualizaciones 3 de AS FD en el sitio de soporte de Microsoft.

Vincular Dropbox a AD FS para el inicio de sesión único

  1. En la Consola AD FS 2.0, en Acciones (Actions), selecciona Agregar relación de confianza para usuario autenticado... (https://dl.dropboxusercontent.com/u/1656836/business/step1-add-relying-party-trust.png…).
    Agregar relación de confianza para usuario autenticado
  2. Esto te permite acceder al asistente Agregar relación de confianza para usuario autenticado (https://dl.dropboxusercontent.com/u/1656836/business/step2-add-relying-party-trust-wizard.png). Haz clic en Inicio (Start).
    Agregar relación de confianza para usuario autenticado
  3. En la sección Seleccionar fuente de datos (https://dl.dropboxusercontent.com/u/1656836/business/step3-select-data-source.png), selecciona Introducir datos acerca del usuario de confianza manualmente (Enter data about the relying party manually) y, a continuación, haz clic en Siguiente (Next).
    Seleccionar fuente de datos (Select Data Source)
  4. En la sección Especificar nombre que se muestra (https://dl.dropboxusercontent.com/u/1656836/business/step4-specify-display-name.png), ingresa Droppox para empresas en Nombre que se muestra (Display name) y haz clic en Siguiente (Next).
    Especificar nombre que se muestra (Specify Display Name)
  5. En la sección Seleccionar perfil (https://dl.dropboxusercontent.com/u/1656836/business/step5-choose-profile.png), selecciona perfil AD FS 2.0 (AD FS 2.0 profile) y haz clic en Siguiente (Next).
    Seleccionar perfil (Choose Profile)
  6. En la sección Configurar certificado (https://dl.dropboxusercontent.com/u/1656836/business/step6-configure-certificate.png), no especifiques un certificado de cifrado de token; simplemente haz clic en Siguiente (Next).
    Configurar certificado (Configure Certificate)
  7. En la sección Configurar URL (https://dl.dropboxusercontent.com/u/1656836/business/step7-configure-url.png), marca la opción Habilitar soporte para el protocolo de inicio de sesión único de SAML 2.0 Web ( Enable supportfor the SAML 2.0 Web SSO protocol). Agrega la siguiente URL para la URL de servicio para usuario de confianza SAML 2.0 SSO (Relying party SAML 2.0 SSO service URL):
    https://www.dropbox.com/saml_login
    Haz clic en Siguiente (Next).
    Configurar URL (Configure URL)
  8. En la sección Configurar identificadores (https://dl.dropboxusercontent.com/u/1656836/business/step8-configure-identifiers.png), agrega Dropbox como identificador de confianza y, a continuación, haz clic en Siguiente (Next).
    Configurar identificadores (Configure Identifiers)
  9. En la sección Seleccionar reglas de autorización de emisión (https://dl.dropboxusercontent.com/u/1656836/business/step9-choose-issuance-authorization-rules.png), selecciona Permitir que todos los usuarios accedan a este usuario de confianza (Permit all users to access this relying party) y haz clic en Siguiente (Next).
    Seleccionar reglas de autorización de emisión (Choose Issuance Authorization Rules)
  10. En la sección Listo para agregar relación de confianza (https://dl.dropboxusercontent.com/u/1656836/business/step10-ready-to-add-trust.png), simplemente haz clic en Siguiente (Next).
    Listo para agregar usuario de confianza (Ready to Add Trust)
  11. En la sección Finalizar (Finish), marca la opción Abrir el diálogo Editar reglas de notificaciones para esta relación de confianza para usuario autenticado cuando se cierra el asistente (Open the Edit ClaimRules dialog for this relying party trust when the wizard closes) y, a continuación, haz clic en Cerrar (Close).
    Abrir Editar reglas de notificaciones (Open Edit Claim Rules)
  12. Ahora accederás al panel Editar reglas de notificación (Edit Claim Rules) para Dropbox Business. En la pestaña Reglas de transformación de emisión (Issuance Transform Rules), haz clic en Agregar regla... (https://dl.dropboxusercontent.com/u/1656836/business/step12-add-rule.png...)
    Agregar regla
  13. En la sección Seleccionar tipo de regla (https://dl.dropboxusercontent.com/u/1656836/business/step13-choose-rule-type.png), establece el menú desplegable de la plantilla de reglas de notificación (Claim rule template) en Enviar atributos de LAP (Send LDAP Attributes as Claims) y, a continuación, haz clic en Siguiente (Next).
    Seleccionar tipo de regla (Choose Rule Type)
  14. En la sección Configurar regla de notificación (https://dl.dropboxusercontent.com/u/1656836/business/step14-configure-claim-rule.png), en Nombre de regla de notificación (Claim rule name), escribe Email LDAP query.
    En Almacén de atributos (Attribute store), selecciona Active Directory.
    EnAsignar atributos LDAP a tipos de notificación saliente (LDAP attributes to outgoing claim types), asigna al atributo LDAP (LDAP Attribute) y Direcciones de correo electrónico (E-Mail Addresses) a Tipo de notificación saliente (Outgoing Claim Type).
    Haz clic en Finalizar (Finish).
    Configurar regla de notificación (Configure Claim Rule)
  15. Agrega otra regla en el panel Editar reglas de notificación para Dropbox Business (Edit Claim Rules for Dropbox Business). En la sección Seleccionar tipo de regla (Choose Rule Type), establece el menú desplegable de la plantilla de reglas de notificación (Claim rule template)
    en Transformar notificación entrante ( https://dl.dropboxusercontent.com/u/1656836/business/step15-transform-incoming-claim.png).
    Transformar notificación entrante (Transform Incoming Claim)
  16. En la sección Configurar regla de notificación (Configure Claim Rule), escribe el siguiente nombre de regla de notificación:
    Transform email address as NameID
    En el tipo de notificación entrante (Incoming claim type), selecciona Direcciones de correo electrónico (E-Mail Address).
    En Tipo de notificación saliente (Outgoing claim type), selecciona Id. de nombre (Name ID).
    En Formato de Id. de nombre saliente (Outgoing name ID format), selecciona Correo electrónico (Email).
    Selecciona Canalizar todos los valores de notificaciones (Pass through all claim values).
    Haz clic en Finalizar (Finish).
    Transformar dirección de correo electrónico (Transform Email Address)
  17. Ahora, volverás a la ventana Editar reglas de notificación para Dropbox Business (Edit Claim Rules forDropbox Business). Haz clic en Aplicar (Apply) y, a continuación, en Aceptar (OK).
    Finalizar editar reglas de notificación
  18. En Firma de token (Token-signing), haz clic con el botón secundario en CN=ADFS y haz clic en Ver certificado... (View certificate…).
    Firma de token
  19. En la pestaña Detalles (Details), asegúrate de que Mostrar (Show) está configurado en Todos (All). Haz clic en Copiar a archivo... (Copy to File...).
    Mostrar todos los detalles
  20. Ahora accederás al Asistente de exportación de certificados (https://dl.dropboxusercontent.com/u/1656836/business/step20-certificate-export-wizard.png). Haz clic en Siguiente (Next).
    Asistente de exportación de certificados
  21. En Exportar formato de archivo (https://dl.dropboxusercontent.com/u/1656836/business/step21-export-file-format.png), en Seleccionar el formato que deseas usar (Select the format you want to use), selecciona X.509 codificado en Base 64 (.CER) (Base-64 encoded X.509 (.CER).
    Exportar formato de archivo
  22. Desplázate hasta una ubicación accesible, por ejemplo, el escritorio. Usarás este certificado para completar la configuración del inicio de sesión único en la Consola de administración de Dropbox. Haz clic en Siguiente (Next).
    Exportar ubicación de archivo
  23. Haz clic en Finalizar (Finish).
    Finalizar el asistente de exportación
  24. Consulta este artículo para obtener información acerca de los pasos finales requeridos para configurar el inicio de sesión único (SSO) en la Consola de administración de Dropbox. Cargarás el certificado que exportaste en el paso 23 como tu certificado X.509. Tu URL de inicio de sesión será tu extremo SAML de AD FS.

    Consola de administración del inicio de sesión único

Sugerencias de resolución de problemas

  • Te recomendamos que primero configures el inicio de sesión único en el modo Opcional (Optional) a los fines de la prueba. Prueba un inicio de sesión para el inicio de sesión único en www.dropbox.com/sso cuando ya hayas iniciado sesión. De este modo, puedes recibir un mensaje de error detallado en el registro de actividad del equipo. Una vez que hayas confirmado que el inicio de sesión funciona correctamente y que hayas preparado a tus usuarios para el cambio, puedes cambiar el inicio de sesión único al modo Obligatorio (Required).
  • Esta configuración se basa en la dirección de correo electrónico en el campo Correo electrónico (Email) de los usuarios en Active Directory. Debes asegurarte de que este campo esté completo en Active Directory y que coincida con las direcciones de correo electrónico de los miembros actuales indicados en la Consola de administración de tu Dropbox Business.

Temas relacionados

¿Este artículo respondió tu pregunta?

Lo lamentamos. Dinos cómo podríamos mejorar.

¡Gracias por tus comentarios!

Respuestas de la comunidad
    Respuestas de la comunidad

      Otras formas de obtener ayuda

      Comunidad

      Soporte en Twitter

      Ayuda guiada