シングル サインオン(SSO)の使用時に Dropbox を AD FS 2.0 に接続するには

この記事では、シングル サインオン(SSO)の使用時に Dropbox を Active Directory フェデレーション サービス(AD FS)2.0 に接続する方法をご説明します。

Dropbox を Active Directory フェデレーション サービス(AD FS)3.0 に接続する方法についての記事をご覧ください。

重要: 次の手順は SSO のみに適用することができるので、管理者はDropbox Business の管理コンソールでアカウントを手動で準備または準備解除する必要があります。Dropbox デスクトップやモバイル アプリは最初の SSO 認証後、そのユーザーのログイン状態を半永久的に維持するため、この操作は特にユーザーが企業を退職した場合に重要です。

一部の Dropbox ユーザーは Dropbox Business API を使用してカスタム アプリケーションを構築し、AD で行った変更に伴いユーザーを自動的に準備または準備解除しています。API アクセスの利用をご希望の場合は、お客様のアカウント マネージャーにお問い合わせください。

この手順はまだベータ段階ですのでご了承ください。また、手順をすすめる上でフィードバックやご質問がある場合は、ぜひ Dropbox へお知らせください。

システム要件

  • Rollup 3 以降をインストール済みの AD FS 2.0 インスタンス
  • 認証が必要なデバイスにエクスポーズしている AD FS SAML エンドポイント

AD FS アップデート Rollup 3 のインストール詳細については、Microsoft のサポート サイトをご覧ください。

SSO の使用時に Dropbox を AD FS に接続するには

  1. AD SF 2.0 コンソールの[操作(Actions)]で、[証明書利用者信頼の追加...(Add Relying Party Trust...)]を選択します。
  2. 証明書利用者信頼ウィザードの追加(Add Relying Party Trust Wizard)]にリダイレクトします。[開始(Start)]をクリックします。
  3. データソースの選択(Select Data Source)]で[証明書利用者についてのデータを手動で入力する(Enter data about the relying party manually)]を選択し、[次へ]をクリックします。
  4. 表示名の指定(Specify Display Name)]で[表示名(Display Name)]に「Dropbox Business」と入力し、[次へ]をクリックします。
  5. プロフィールの選択(Choose Profile)]で[AD FS 2.0 profile]を選択し、[次へ]をクリックします。
  6. 証明書の構成(Configure Certificate)]でトークン暗号の証明書を特定しないで、[次へ]をクリックします。
  7. URL の構成(Configure URL)]で[SAML 2.0 Web SSO プロトコルのサポートを有効にする(Enable supportfor the SAML 2.0 Web SSO protocol)]オプションをオンにします。[証明書利用者 SAML 2.0 SSO サービスの URL(Relying party SAML 2.0 SSO serviceURL)]に次の URL を追加します。
    https://www.dropbox.com/saml_login
    次へ]をクリックします。
  8. 識別子の構成(Configure Identifiers)]で「Dropbox」を信頼する識別子として追加し、[次へ]をクリックします。
  9. 発行承認規則の選択(Choose Issuance Authorization Rules)]で[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する(Permit all users to access this relying party)]を選択し、[次へ]をクリックします。
  10. 信頼追加の準備完了(Ready to Add Trust)]で[次へ]をクリックします。
  11. 完了(Finish)]で[ウィザードの終了時にこの証明書利用者信頼の[要求規則の編集]ダイアログを開く(Open the Edit Claim Rules dialog for this relying party trust when the wizard closes)]オプションをオンにし、[閉じる(close)]をクリックします。
  12. Dropbox Business の[要求規則の編集(Edit Claim Rules)]パネルにリダイレクトします。[発行変換規則(Issuance Transform Rules)]タブで[規則の追加...(Add Rule...)]をクリックします。
  13. 規則の種類の選択(Choose Rule Type)]で、[要求規則テンプレート(Claim rule template)]プルダウン メニューを[LDAP 属性を要求として送信(Send LDAP Attributes as Claims)]に設定し、[次へ]をクリックします。
  14. 要求規則の構成(Configure Claim Rule)]で、[要求規則名(Claim rule name)]に「Email LDAP query」と入力します。
    属性ストア(Attribute store)]で[Active Directory]を選択します。
    LDAP 属性の出力方向の要求の種類への関連付け(mapping of LDAP attributes to outgoing claim types)]で、[出力方向の要求の種類(Outgoing Claim Type)]に[E-Mail Address]、[LDAP 属性(LDAP Attribute)]に[E-Mail Addresses]を選択します。
    完了]をクリックします。
  15. Dropbox Business の[要求規則の編集(Edit Claim Rules )]パネルで別の規則を追加します。 [規則の種類の選択(Choose Rule Type)]で、プルダウン メニューの[要求規則テンプレート(Claim rule template)]を[入力方向の要求の変換(Transform Incoming Claim)]に設定します。
  16. 要求規則の構成(Configure Claim Rule)]で次の要求規則名を入力します。
    Transform email address as NameID
    [入力方向の要求の種類(Incoming claim type)]には[E-Mail Address]を選択します。
    出力方向の要求の種類(Outgoing claim type)]には[名前 ID(Name ID)]を選択します。
    出力方向の名前 ID 形式(Outgoing name ID format)]には[Email]を選択します。
    すべての要求値をパス スルーする(Pass through all claim values)]を選択します。
    完了(Finish)]をクリックします。
  17. この時点で、Dropbox Business の[要求規則の編集(Edit Claim Rules)]ウィンドウが表示されているはずです。[適用(Apply)]をクリックしてから[OK]をクリックします。
  18. トークン署名(Token Signing)]で、[CN=ADFS]を右クリックして[証明書の表示...(Viewcertificate...)]をクリックします。
  19. 詳細(Details)]タブで、[表示(Show)]が[すべて(All)]に設定されていることを確認します。[ファイルにコピー...(Copy to File...)]をクリックします。
  20. 証明書のエクスポート ウィザード(Certificate Export Wizard)]にリダイレクトします。[次へ]をクリックします。
  21. ファイルのエクスポート形式(Export File Format)]の[使用したい形式の選択(Select the format you want to use)]で、[Base-64 encoded X.509 (.CER)]を選択します。
  22. デスクトップなどアクセス可能な場所を指定します。この証明書は Dropbox の管理コンソールで SSO 設定を完了する場合に使用します。[次へ]をクリックします。
  23. 完了(Finish)]をクリックします。
  24. Dropbox 管理コンソールで SSO の設定を完了する手順については、こちらの記事をご覧ください。ステップ 23 で、X.509 証明書としてエクスポートした証明書をアップロードします。ログイン用の URL が、お客様の AD FS SAML エンドポイントになります。

    SSO 管理コンソール

トラブルシューティングのヒント

  • 最初は、テスト用として SSO をオプション モードに設定することをおすすめします。エラー メッセージの詳細をチームのアクティビティ ログで確認するため、すでにログインしている状態で www.dropbox.com/sso から SSO ログインをお試しください。SSO が適切に機能していることを確認し、ユーザーを切り替える準備ができたら、SSO モードを必須モードに変更できます。
  • この設定は、Active Directory にあるユーザーの[メール(Email)]フィールドに表示されているメール アドレスに依存します。このフィールドが Active Directory で事前設定されており、ビジネス向けDropbox 管理コンソールの[メンバー]の[現在のメンバー]タブにリストされているメール アドレスと一致していることを確認する必要があります。

関連トピック

この記事は参考になりましたか?

Dropbox のサービス改善のために、ご意見やご感想をお聞かせください。

フィードバックありがとうございます。

コミュニティの回答
    コミュニティの回答

      Other ways to get help

      コミュニティ

      Twitter サポート

      ガイド付きヘルプ