Come faccio a collegare Dropbox ad AD FS 2.0 per il Single sign-on (SSO)?

Questo articolo fornisce istruzioni dettagliate su come collegare Dropbox ad Active Directory Federation Services (ADFS) 2.0 per il Single Sign-On (SSO).

Consulta ulteriori istruzioni su come collegare Dropbox ad Active Directory Federation Services (AD FS) 3.0.

Importante: queste istruzioni si applicano solo a SSO; dovrai comunque eseguire manualmente il collegamento e lo scollegamento degli account nella console amministratore di Dropbox Business. Questo è particolarmente importante quando gli utenti lasciano l'azienda, perché le applicazioni Dropbox per desktop e dispositivi mobili mantengono l'accesso dell'utente per un tempo illimitato dopo l'autenticazione SSO iniziale.

Alcuni clienti Dropbox scelgono di creare applicazioni personalizzate con l'API di Dropbox Business per collegare e scollegare automaticamente gli utenti in risposta a modifiche dell'AD. Se sei interessato all'accesso con API, contatta il responsabile del tuo account.

Tieni presente inoltre che queste istruzioni sono ancora in versione beta. Riceveremo con piacere qualsiasi commento o domanda che dovessi avere mentre segui la procedura riportata.

Prerequisiti

  • Un'istanza di AD FS 2.0 con Rollup 3 o versione più recente installata
  • Un endopoint AD FS SAML esposto ai dispositivi che dovrà autenticare

Per ulteriori informazioni sull'installazione di AD FS Update Rollup 3, consulta il sito di assistenza di Microsoft.

Collegamento di Dropbox ad AD FS per SSO

  1. Nella console di AD FS 2.0, in Actions (Azioni), seleziona Aggiungi relying party trust... (Add Relying Party Trust... )
    Aggiunta di un relying party trust
  2. Si aprirà la procedura guidata per Aggiungi relying party trust (Add Relying Party Trust). Fai clic su Avvia (Start).
    Procedura guidata per l'aggiunta di un relying party trust
  3. Nella sezione Seleziona origine dati (Select Data Source), seleziona Inserisci manualmente i dati relativi al relying party (Enter data about the relying party manually) e fai clic su Avanti (Next).
    Selezione dell'origine dati
  4. Nella sezione Specifica nome visualizzato (Specify Display Name), inserisci Dropbox Business nel campo Nome visualizzato (Display name) e fai clic su Avanti (Next).
    Specifica del nome visualizzato
  5. Nella sezione Scegli profilo (Choose Profile), scegli Profilo AD FS 2.0 (AD FS 2.0 profile) e fai clic su Avanti (Next).
    Scelta del profilo
  6. Nella sezione Configura certificato (Configure Certificate), non specificare un certificato token di crittografia, ma fai solo clic su Avanti (Next).
    Configurazione del certificato
  7. Nella sezione Configura URL (Configure URL), seleziona l'opzione Consenti supporto per protocollo SAML 2.0 Web SSO (Enable support for the SAML 2.0 Web SSO protocol). Aggiungi il seguente URL per URL del servizio SSO SAML 2.0 della parte di relying (Relying party SAML 2.0 SSO service URL):
    https://www.dropbox.com/saml_login
    Fai clic su Avanti (Next).
    Configurazione dell'URL
  8. Nella sezione Configura identificatori (Configure Identifiers), aggiungi Dropbox come identificatore attendibile, poi fai clic su Avanti (Next).
    Configurazione degli identificatori
  9. Nella sezione Scegli regole di autorizzazione per il rilascio (Choose Issuance Authorization Rules), seleziona Permetti a tutti gli utenti di accedere a questo relying party (Permit all users to access this relying party) e fai clic su Next (Avanti).
    Scegli regole di autorizzazione per il rilascio (Choose Issuance Authorization Rules)
  10. Nella sezione Pronto per aggiungere trust (Ready to Add Trust), devi solo fare clic su Next (Avanti).
    Aggiunta del trust
  11. Nella sezione Finish (Termina), attiva l'opzione Apri la finestra di dialogo modifica regole attestazioni per questo relying party trust quando si chiude la procedura guidata (Open the Edit Claim Rules dialog for this relying party trust when the wizard closes), poi fai clic su Chiudi (Close).
    Apri modifica regole attestazioni
  12. In seguito sarai indirizzato al pannello Modifica regole attestazioni per Dropbox Business (Edit Claim Rules for Dropbox Business). Nella scheda Emissione regole di trasformazione (Issuance Transform Rules), fai clic su Aggiungi regola... (Add Rule...)
    Aggiunta di regola
  13. Nella sezione Scegli tipo di regola (Choose Rule Type), imposta il menu a discesa Modello regola attestazione (Claim rule template) su Invia attributi LDAP come attestazioni (Send LDAP Attributes as Claims), poi fai clic su Avanti (Next).
    Scelta del tipo di regola
  14. Nella sezione Configura regola attestazione (Configure Claim Rule), nel campo Nome regola attestazione (Claim rule name), inserisci Invia query LDAP per email (Email LDAP query).
    In Memorizzazione attributo (Attribute store), seleziona Active Directory.
    In Mappatura attributi LDAP sui tipi di attestazioni in uscita (Mapping of LDAP attributes to outgoing claim types), mappa Attributo LDAP Indirizzi e-mail (LDAP Attribute E-Mail Addresses) su Tipo di attestazione in uscita Indirizzo email (Outgoing Claim Type E-Mail Address).
    Fai cli su Finish (Termina).
    Configurazione regola attestazione
  15. Aggiungi un'altra regola dal pannello Modifica regole attestazione per Dropbox Business (Edit Claim Rules for Dropbox Business). Nella sezione Scegli tipo regola (Choose Rule Type), imposta il menu a discesa Modello regola attestazione (Claim rule template) su Trasforma attestazione in entrata (Transform Incoming Claim).
    Trasformazione attestazione in entrata
  16. Nella sezione Configura regola attestazione (Configure Claim Rule), digita la seguente dicitura nel campo (Nome regola attestazione) Claim rule name.
    Trasforma indirizzo email come ID nome (Transform email address as NameID)
    Nel campo Tipo attestazione in arrivo (Incoming claim type), seleziona Indirizzo email (E-Mail Address).
    Nel campo Tipo attestazione in uscita (Outgoing claim type), seleziona ID nome (Name ID).
    Nel campo Formato ID nome in uscita (Outgoing name ID format), seleziona Email.
    Seleziona Pass-through per tutti i i valori attestazione (Pass through all claim values).
    Fai clic su Finish.
    Trasformazione indirizzo email
  17. A questo punto dovresti essere di nuovo nella finestra Modifica regole attestazione per Dropbox Business (Edit Claim Rules for Dropbox Business). Fai clic su Applica (Apply), poi su OK.
    Fine modifica regole attestazione
  18. In Firma token (Token-signing), fai clic con il pulsante destro del mouse su CN=ADFS, poi fai clic su Visualizza certificato (View certificate...)
    Firma del token
  19. Nella scheda Dettagli (Details), assicurati che il menu a discesa Visualizza (Show) sia impostato su Tutto (All). Fai clic su Copia nel file... (Copy to File...)
    Dettagli, visualizza, tutto
  20. A questo punto si aprirà Procedura guidata esportazione certificato (Certificate Export Wizard). Fai clic su Avanti (Next).
    Procedura guidata esportazione certificato
  21. In Formato file di esportazione (Export File Format), alla voce Seleziona il formato da utilizzare (Select the format you want to use), seleziona Codifica a base 64 X.509 (.CER) (Base-64 encoded X.509 (.CER))
    Formato file di esportazione
  22. Sfoglia per trovare una posizione accessibile come il desktop. Userai questo certificato per completare la configurazione SSO nella console amministratore di Dropbox. Fai clic su Avanti (Next).
    Percorso di esportazione del file
  23. Fai clic su Finish (Termina).
    Termina la procedura guidata di esportazione
  24. Consulta i passaggi finali necessari per configurare l'SSO nella Console amministratore di Dropbox. Come certificato X.509, caricherai il certificato che hai esportato nel passaggio 23. Il tuo URL di accesso sarà l'endpoint AD FS SAML.

    Console amministratore SSO

Consigli per la risoluzione dei problemi

  • Ti consigliamo di configurare prima l'SSO in modalità Opzionale (Optional) a scopo di test. Prova un login SSO su www.dropbox.com/sso mentre hai già eseguito l'accesso. In questo modo puoi ottenere messaggi di errore dettagliati nel registro delle attività del team. Una volta che avrai confermato che l'SSO funziona correttamente e che avrai preparato i tuoi utenti al passaggio, puoi cambiare la modalità dell'SSO su RIchiesto (Required).
  • Questa impostazione si basa sugli indirizzi email nel campo Email degli utenti presenti in Active Directory. Devi verificare che questo campo sia compilato in Active Directory e che corrisponda agli indirizzi email dei Membri attuali elencati nella tua console amministratore di Dropbox Business.

Argomenti correlati

Questo articolo risponde alla tua domanda?

Ci dispiace. Facci sapere come possiamo migliorare:

Grazie per i tuoi commenti!

Risposte della community
    Risposte della community

      Other ways to get help

      Community

      Supporto Twitter

      Assistenza guidata