Dropbox Business 管理者向けのシングルサインオン(SSO)

この記事では、Advanced プランまたは Enterprise プランをご利用の Dropbox Business チームでのみご利用いただける機能についてご説明します。

Dropbox Business の新しいプランの詳細はこちら

Advanced プランまたは Enterprise プランに加入している Dropbox Business チームの管理者は、セントラル アイデンティティ プロバイダーでログインすることにより、他のチーム メンバーに Dropbox へのアクセスを許可することができます。

シングル サインオン(SSO)なら、すでに使用中のアイデンティティ プロバイダで認証できるので、チーム メンバーは別のパスワードを使用せずに Dropbox にアクセスできます。

この記事内のセクション:

Dropbox でシングル サインオン(SSO)を設定するには?

アイデンティティ プロバイダを設定する

まず初めに、アイデンティティ プロバイダーのサイトにアクセスし、手順に従ってシングル サインオンを設定します。

Dropbox は多数のアイデンティティ プロバイダーと提携しており、正しい設定内容を事前に設定したアプリを提供しています。Dropbox と提携しているアイデンティティ プロバイダーをご覧ください

独自のソリューションを設定する場合、または別のアイデンティティ プロバイダーをご利用になる場合は、必須のパラメーターをご確認ください。

Dropbox に次の 2 つの情報を提供してください。

Dropbox を設定する

  1. 管理者アカウントで Dropbox に ログイン します。
  2. サイドバーの[管理コンソール]をクリックします。
  3. サイドバーの[設定]をクリックします。
  4. 認証設定]で[シングル サインオン]をクリックします。
  5. シングル サインオンを[任意]または[必須]に設定します。
任意/必須モード
6. アイデンティティ プロバイダーのログイン URL を入力します。
ログイン URL を入力する
7. アイデンティティ プロバイダーのログアウト URL を入力します(省略可)。
ログアウト URL を入力する
8. [証明書をアップロード]をクリックして、先ほどアイデンティティ プロバイダから取得した X.509 証明書の .pem ファイルをアップロードします。
証明書をアップロード
9. [変更を適用]をクリックします。
変更を適用

ユーザーに通知する

シングル サインオン(SSO)を必須にする場合、Dropbox はチーム メンバーに自動的にメールで通知します。シングル サインオンを任意にする場合は、管理者がチーム メンバーに通知する必要があります。管理者コンソールの[シングル サインオン]セクションから、メール テンプレートをダウンロードできます。

ウェブサイトにアクセスする

シングル サインオンが有効になっている場合、ユーザーはメール アドレスのみを入力して Dropbox にログインできます。メール アドレスを入力すると、ユーザーはアイデンティティ プロバイダーのログイン ページにリダイレクトされ、会社の資格情報を入力できます。

シングル サインオン設定の一部として、カスタマイズされた Dropbox URL を提供します。ユーザーがアイデンティティ プロバイダにすでにログインしている場合は、この URL をご利用になると、オンラインの Dropbox アカウントに直接アクセスすることができます。

コンピュータやモバイル デバイスをリンクする

現在 Dropbox アカウントにリンクしているすべてのパソコンやモバイル デバイスは、今後も通常どおり機能します。ただし、シングル サインオンを機能させるには、デバイスを再リンクしたり新しいデバイスをリンクする際に最新バージョンのデスクトップ アプリケーションおよびモバイル アプリが必要となります。ユーザーがまだアイデンティティ プロバイダーにログインしていない場合は、自動的にリダイレクトされるので、そこでログインします。また、その他の簡単なステップも表示されます。

  • ユーザーがパソコンをリンクすると、特別なリンク コードをウェブサイトからコピーして、アプリケーションに貼り付けるように指示されます。
  • ユーザーがモバイル デバイスをリンクすると、アカウントにアプリを接続するためのリクエストを承諾するように指示されます。

詳細についてはエンドユーザー向け手順をご覧ください。

記事のトップに戻る

Dropbox がサポートしているアイデンティティ プロバイダーについて

Dropbox は、安全で広範囲に利用されている業界基準のセキュリティ アサーション マークアップ言語(SAML)を使用しています。つまり、Dropbox の SSO インプリメンテーションは、SAML をサポートする大規模なアイデンティティ プロバイダーと簡単に統合できることを意味しています。独自の SAML ベースの連合認証プロセスを構築したことがある場合は、Dropbox はそれも統合します。Dropbox ではサービス プロバイダーやアイデンティティ プロバイダーによる SAML をサポートしています。

次のアイデンティティ プロバイダーでは、Dropbox 向けに事前設定されている場合があります。

  • Auth0
  • Bitium
  • CA Siteminder
  • Centrify
  • G Suite
  • MobileIron Access
  • OneLogin
  • Okta
  • Ping Identity
  • Salesforce
  • Symantec Identity: Access Manager
  • Symplified

記事のトップに戻る

希望する SSO の設定プロバイダがリストに含まれていない場合に独自のアイデンティティ プロバイダ ソリューションで SSO を構成する方法

独自のソリューションを構成する場合、または別のアイデンティティ プロバイダーをご利用になる場合は、こちらのパラメータが必要になります。

  • Dropbox は、 SAML2 を SP から IdP への HTTP Redirect バインディングとともに使用し、IdP から SP への HTTP Post バインディングを要求します。
  • Dropbox ポストバック URL(またはアサーション コンスーマー サービス URL)の URL: https://www.dropbox.com/saml_login
  • Dropbox は、ユーザーのメール アドレスを含む NameID を必要とします。実際は次のようになります。 Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
  • アイデンティティ プロバイダーにより、SAML アサーション、SAML レスポンスまたはその両方に署名するかを尋ねられる場合があります。Dropbox では、SAML レスポンスの署名は必須です。SAML アサーションの署名の設定はどちらでも構いません。

記事のトップに戻る

X.509 証明書について

X.509 証明書とは、ユーザーの身元確認に使われるセキュリティ証明書で、通常はユーザーの ID プロバイダが提供します。その形式はさまざまですが、Dropbox は .pem.cer.crt にのみ対応しています。エンコード済みの証明書の例は、次をご覧ください。

エンコード済みの X.509 証明書の例

チーム メンバーが SSO でログインしようとしたときにエラー メッセージが表示される場合は、X.509 証明書の更新が必要になる場合があります。更新するには、アイデンティティ プロバイダの最新の証明書をダウンロードし、管理コンソールに新しい証明書をアップロードします。

記事のトップに戻る

任意モードと必須モードの違い

任意モードでは、ユーザーは各自の Dropbox パスワードまたはシングル サインオンのパスワードを使ってログインすることができます。SSO の導入を徐々に行う場合や、チームのアクティビティを中断させずに最初にテストする場合は、このモードをおすすめします。

  • シングル サインオンでログインするには、ユーザーはパスワード フィールドを空白のままにする必要があります。ユーザーがパスワード フィールドに入力を試みると、Dropbox の資格情報を使用してログインしているとみなされます。
  • チーム専用ページにアクセスすると、ユーザーはメール アドレスを入力せずにログインできます。このページの URL は、管理者コンソールの SSO 設定に含まれています。
  • 設定の重複を回避するため、シングル サインオンをご利用になると、Dropbox の 2 段階認証は無効になります。
  • シングル サインオンを任意モードで導入する場合、Dropbox はユーザーに通知を送信しません。ユーザーのテスト グループに通知する場合は、管理者コンソールの[シングル サインオン]セクションにあるメール テンプレートをご利用になれます。
  • 既存のデスクトップやモバイル版クライアントは、通常どおりアカウントにリンクされます。これには、Dropbox Business へのお申し込み前にアカウントにリンクされていたデスクトップやモバイル版クライアントも含まれます。新しいデスクトップやモバイル版クライアントには、Dropbox パスワードまたはシングル サインオンのパスワードを使用してログインすることができます。

必須モードでは、Dropbox にアクセスする場合にすべてのユーザーがセントラル ID プロバイダーにログインする必要があります。それまで使用していた Dropbox パスワードは無効になり、Dropbox はユーザーのシングル サインオンのクレデンシャルを保管しません。このオプションは ID プロバイダを使用した認証に完全に移行する準備が整っている場合にご利用ください。

  • シングル サインオンの資格情報を持たないユーザーは、Dropbox にログインすることができません。
  • シングル サインオンが有効にされていることと、ログイン方法の手順を知らせるメールをユーザー全員に送信します。
  • ユーザーが Dropbox へのログインを試みると、Dropbox はユーザーをアイデンティティ プロバイダにリダイレクトします。
  • チーム専用ページにアクセスすると、ユーザーはメール アドレスを入力せずにウェブ上でログインできます。
  • セキュリティ ポリシーの重複を回避するため、シングル サインオンをご利用になると、Dropbox の 2 段階認証は無効になります。
  • パスワードはアイデンティティ プロバイダーにより管理されているため、管理者が Dropbox でパスワードをリセットすることはできません。
  • 管理者は、個人用の Dropbox パスワードまたはシングル サインオンのパスワードを使用してウェブ上でログインすることができます。
  • 既存のデスクトップやモバイル版クライアントは、通常どおりアカウントにリンクされます。これには、Dropbox Business へのお申し込み前にアカウントにリンクされていたデスクトップやモバイル版クライアントも含まれます。新しいデスクトップやモバイル版クライアントは、シングル サインオンを使用する必要があります。

記事のトップに戻る

Business アカウントに新しいユーザーを追加した場合

SSO を必須モードで有効にした場合は、新規ユーザーのメール アドレスがアイデンティティ プロバイダーで登録されていることをご確認ください。未確認の場合、そのユーザーは Dropbox にログインしアクセスすることができません。任意モードでは、ユーザーは Dropbox パスワードを作成するように指示され、その後は通常どおりログインすることができます。

記事のトップに戻る

2 段階認証などの SSO と Dropbox のセキュリティ機能の併用

必須モードで SSO を設定すると、アイデンティティ プロバイダーはエンドユーザー認証の基盤になります。アイデンティティ プロバイダーで設定したあらゆるプロセス、ポリシー、セキュリティ機能はユーザーが Dropbox にアクセスする際に適用されます。アイデンティティ プロバイダーが認証すべてを処理するようになるため、2 段階認証やパスワード リセットなど Dropbox が提供するセキュリティ機能は無効になります。今後はアイデンティティ プロバイダーを通じてセキュリティ レイヤを追加することが可能になります。

SSO を任意モードで設定しても、エンドユーザーは Dropbox の 2 段階認証を使用したり、Dropbox のパスワードをリセットしたりできます。

記事のトップに戻る

アイデンティティ プロバイダにエラーが発生した場合

ビジネス アカウントの管理者は、メールアドレスと Dropbox パスワードを使用して Dropbox ウェブサイトにログインできます。その後、SSO を無効にするか、必要に応じて任意モードに設定できます。

記事のトップに戻る

管理者が SSO の資格情報でログインすることと個人用 Dropbox の資格情報でログインする違いについて

SSO の資格情報を使用して Dropbox にログインするには、パスワード フィールドを空白のままにしてください。パスワード フィールドに入力を試みると、Dropbox の資格情報を使用してログインしているとみなされます。

Dropbox のパスワードを使用してログインしている管理者は、Dropbox アカウントで 2 段階認証も使用できます。

記事のトップに戻る

Dropbox に接続された既存のコンピュータ/モバイル デバイスについて

現在 Dropbox アカウントにリンクさせているすべてのパソコンやモバイル デバイスはシングル サインオンが有効になった後も通常どおり機能します。ただし、シングル サインオンを機能させるには、デバイスを再リンクしたり新しいデバイスをリンクする際に最新バージョンのデスクトップ アプリケーションおよびモバイル アプリが必要となります。

記事のトップに戻る

InCommon とは?

一般的に「InCommon」と短縮形で呼ばれる InCommon Federation は、オンライン リソースへのアクセスを共有管理するための信頼性の高いフレームワークです。Dropbox の場合、これはシングル サインオン(SSO)が InCommon の基準を遵守していることを意味します。InCommon に対応するように SSO を設定する方法をご覧ください。

記事のトップに戻る

この度はフィードバックをお寄せいただきありがとうございました。よろしければ、Dropbox をどのように改善すべきかご指摘ください。

フィードバックをお寄せいただきありがとうございます。この記事がどれほど役に立ったかをお知らせください。

フィードバックをお寄せいただきありがとうございます。

コミュニティの回答

    その他のサポート

    コミュニティ

    Twitter サポート

    ガイド付きヘルプ

    その他のサポート

    コミュニティ

    Twitter サポート

    ガイド付きヘルプ

    その他のサポート

    コミュニティ

    Twitter サポート

    サポートへのお問い合わせ