Eenmalige aanmelding (SSO) voor Dropbox Business-beheerders

In dit artikel beschrijven we een functie die alleen beschikbaar is voor Dropbox-teams met een Advanced- of Enterprise-abonnement.

Meer informatie over de nieuwe Dropbox Business-abonnementen

Als je beheerder bent van een Dropbox Business-team met een Advanced- of Enterprise-abonnement, kun je teamleden toegang verlenen tot Dropbox via aanmelding bij een centrale identiteitsprovider.

Eenmalige aanmelding (SSO) maakt het leven voor iedereen een stuk gemakkelijker en veiliger. Je kunt de identiteitsprovider die je al vertrouwt belasten met de authenticatie, zodat je teamleden Dropbox kunnen openen zonder dat ze hun wachtwoorden hoeven te beheren.

Gedeelten in dit artikel:

Hoe stel ik eenmalige aanmelding (SSO) voor Dropbox in?

Je identiteitsprovider configureren

Ga allereerst naar de website van je identiteitsprovider en volg de instructies van je provider voor de configuratie van eenmalige aanmelding.

Dropbox is partner van vele identiteitsproviders zodat er een vooraf geconfigureerde app kan worden aangeboden met de juiste instellingen. Kijk welke identiteitsproviders onze partners zijn.

Neem de vereiste parameters door als je je eigen oplossing wilt configureren of een andere identiteitsprovider wilt gebruiken.

Je hebt voor Dropbox het volgende nodig:

Dropbox configureren

  1. Meld je aan bij Dropbox met je beheerdersaccount.
  2. Klik op Beheerconsole in de linkerzijbalk.
  3. Klik op Instellingen in de zijbalk.
  4. Klik onder Authenticatie-instellingen op Eenmalige aanmelding.
  5. Kies of je eenmalige aanmelding optioneel of vereist wilt maken:
Modus Optioneel of Vereist
6. Voer de aanmeldings-URL in die je eerder hebt gekregen van je identiteitsprovider.
De aanmeldings-URL invoeren
7. Voer de afmeldings-URL van de identiteitsprovider in (deze stap is optioneel).
De afmeldings-URL invoeren
8. Klik op Certificaat uploaden om het .pem-bestand met het X.509-certificaat te uploaden dat je eerder hebt gekregen van de identiteitsprovider.
Certificaat uploaden
9. Klik op Wijzigingen toepassen.
Wijzigingen toepassen

Je gebruikers voorbereiden

Als je eenmalige aanmelding vereist maakt, worden je teamleden automatisch per e-mail door Dropbox op de hoogte gesteld. Als je eenmalige aanmelding optioneel maakt, moet je ze dat zelf laten weten. Je kunt een e-mailsjabloon downloaden uit het gedeelte voor eenmalige aanmelding van de Beheerconsole.

De website openen

Zodra eenmalige aanmelding is ingeschakeld, kunnen gebruikers zich aanmelden bij Dropbox door alleen maar hun e-mailadres in te voeren. Vervolgens worden ze doorgeleid naar de aanmeldingspagina van je identiteitsprovider, waar ze hun zakelijke aanmeldgegevens kunnen invoeren.

Je krijgt van ons een aangepaste Dropbox-URL voor de instelling van eenmalige aanmelding. Met deze URL kunnen gebruikers online rechtstreeks naar hun Dropbox-account gaan nadat ze zich bij je identiteitsprovider hebben aangemeld.

Computers en mobiele apparaten koppelen

Alle computers en mobiele apparaten die momenteel zijn gekoppeld aan Dropbox-accounts, blijven gewoon werken. Als gebruikers echter een apparaat opnieuw moeten koppelen of een nieuw apparaat willen koppelen, hebben ze de nieuwste versie van de desktopapp en mobiele app nodig, anders werkt eenmalige aanmelding niet. Als ze zich niet hebben aangemeld bij je identiteitsprovider, worden ze automatisch omgeleid naar een plek waar ze dat kunnen doen. Ook wordt hen gevraagd nog een paar eenvoudige stappen uit te voeren:

  • Wanneer gebruikers een computer koppelen, leidt Dropbox hen naar een plek waar ze een speciale linkcode van de website kunnen kopiëren en in de app plakken.
  • Wanneer gebruikers een mobiel apparaat koppelen, wordt hen gevraagd een verzoek in te dienen om de app aan hun account te koppelen.

Zie onze instructies voor eindgebruikers voor meer informatie.

Terug naar het begin van het artikel

Welke identiteitsproviders worden ondersteund?

Dropbox gebruikt SAML (Security Assertion Markup Language), een veilige norm die breed in de branche wordt geaccepteerd. Dit betekent dat onze implementatie van SSO gemakkelijk kan worden geïntegreerd met elke grote identiteitsprovider die SAML ondersteunt. Heb je zelf een federatief SAML-authenticatieproces ontwikkeld? Ook daarmee is integratie mogelijk. We ondersteunen door service­providers geïnitieerde SAML en door identiteitsproviders geïnitieerde SAML.

De volgende identiteitsproviders bieden vooraf geconfigureerde instellingen voor Dropbox:

  • Auth0
  • Bitium
  • CA Siteminder
  • Centrify
  • G Suite
  • MobileIron Access
  • OneLogin
  • Okta
  • Ping Identity
  • Salesforce
  • Symantec Identity: Access Manager
  • Symplified

Terug naar het begin van het artikel

Ik wil SSO instellen bij een provider die niet op de lijst staat. Hoe kan ik de oplossing voor mijn eigen identiteitsprovider configureren voor SSO?

Als je je eigen oplossing wilt configureren of een andere identiteitsprovider wilt gebruiken, heb je de volgende parameters nodig:

  • Dropbox gebruikt SAML2 met de HTTP Redirect-binding voor SP naar IdP en verwacht de HTTP Post-binding voor IdP naar SP.
  • De Dropbox post-back-URL (ook wel de Assertion Consumer Service URL genoemd) is https://www.dropbox.com/saml_login
  • Dropbox vereist dat de NameID het e-mailadres van de gebruiker bevat. Technisch ziet dat er als volgt uit: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
  • Je identiteitsprovider kan je vragen de SAML-bevestiging, de SAML-respons of beide te ondertekenen. Dropbox vereist dat de SAML-respons wordt ondertekend. Voor de SAML-bevestiging kun je kiezen uit ondertekend of niet-ondertekend.

Terug naar het begin van het artikel

Wat is een X.509-certificaat?

Een X.509-certificaat is een beveiligingscertificaat waarmee je identiteit wordt geverifieerd. Doorgaans is het afkomstig van je identiteitsprovider. Het certificaat is beschikbaar in meerdere indelingen, maar Dropbox accepteert alleen de indelingen .pem, .cer en .crt. Hieronder staat een voorbeeld van een gecodeerd certificaat:

Een voorbeeld van een gecodeerd X.509-certificaat

Terug naar het begin van het artikel

Wat is het verschil tussen de optionele modus en de verplichte modus?

In de optionele modus kunnen alle gebruikers zich aanmelden met hun Dropbox-wachtwoord of met een wachtwoord voor eenmalige aanmelding. Deze modus is ideaal als je eenmalige aanmelding (SSO) geleidelijk uitrolt en eerst wilt testen zonder de activiteiten van het team te verstoren.

  • Gebruikers die zich met eenmalige aanmelding willen aanmelden, moeten het veld voor het wachtwoord leeg laten. Als gebruikers proberen een wachtwoord in te voeren, wordt dit beschouwd als een poging tot aanmelding met de Dropbox-aanmeldgegevens.
  • Gebruikers kunnen zich aanmelden zonder een e-mailadres in te voeren door naar de speciale teampagina te gaan. Je vindt de URL voor deze pagina onder de SSO-instellingen in de Beheerconsole.
  • Om te voorkomen dat instellingen elkaar overlappen, wordt de tweestapsverificatie van Dropbox tijdens het gebruik van eenmalige aanmelding uitgeschakeld.
  • Dropbox informeert gebruikers niet wanneer je eenmalige aanmelding in de optionele modus inschakelt. Als je een testgebruikersgroep op de hoogte wilt stellen, is er een e-mailsjabloon beschikbaar in het gedeelte voor eenmalige aanmelding in de Beheerconsole.
  • De bestaande desktopclients en mobiele clients van gebruikers blijven gekoppeld aan hun account. Dit geldt voor alle desktopclients of mobiele apps die aan hun account zijn gekoppeld voordat ze lid zijn geworden van Dropbox Business. Alle nieuwe desktopclients en mobiele apps kunnen zich aanmelden met het Dropbox-wachtwoord of een wachtwoord voor eenmalige aanmelding.

In de verplichte modus moeten alle gebruikers zich bij je centrale identiteitsprovider aanmelden om toegang te krijgen tot Dropbox. Het eerder gebruikte Dropbox-wachtwoord werkt niet meer en Dropbox slaat de gegevens voor eenmalige aanmelding niet op. Gebruik deze optie als je er klaar voor bent om de authenticatie volledig over te dragen aan je identiteitsprovider.

  • Gebruikers zonder aanmeldgegevens voor eenmalige aanmelding kunnen zich niet bij Dropbox aanmelden.
  • Alle gebruikers ontvangen een e-mail ter informatie dat eenmalige aanmelding is ingeschakeld en met instructies voor aanmelding.
  • Een gebruiker die zich bij Dropbox probeert aan te melden, wordt doorgestuurd naar je identiteitsprovider.
  • Gebruikers kunnen zich op het web aanmelden zonder een e-mailadres in te voeren door naar de speciale teampagina te gaan.
  • Om te verhinderen dat er een dubbel beveiligingsbeleid wordt gehanteerd, wordt de tweestapsverificatie van Dropbox tijdens het gebruik van eenmalige aanmelding uitgeschakeld.
  • Beheerders kunnen wachtwoorden niet meer opnieuw instellen via Dropbox, omdat de wachtwoorden nu door je identiteitsprovider worden beheerd.
  • Als beheerder kun je je op het web aanmelden met je Dropbox-wachtwoord of je wachtwoord voor eenmalige aanmelding.
  • De bestaande desktopclients en mobiele clients van gebruikers blijven gekoppeld aan hun account. Dit geldt voor alle desktopclients of mobiele clients die aan hun account zijn gekoppeld voordat ze lid zijn geworden van Dropbox Business. Alle nieuwe desktopclients en mobiele clients moeten gebruikmaken van eenmalige aanmelding.

Terug naar het begin van het artikel

Wat gebeurt er wanneer ik een nieuwe gebruiker toevoeg aan het Dropbox Business-account?

Als je SSO hebt ingeschakeld in de verplichte modus, moet je nagaan of het e-mailadres van de nieuwe gebruiker bij je identiteitsprovider is geregistreerd. Anders kan de gebruiker zich niet aanmelden en toegang krijgen tot Dropbox. In de optionele modus wordt de gebruiker gevraagd een Dropbox-wachtwoord te maken, waarna aanmelding met dit wachtwoord op de gebruikelijke manier mogelijk is.

Terug naar het begin van het artikel

Hoe werkt eenmalige aanmelding met de beveiligingsfuncties van Dropbox, zoals tweestapsverificatie?

Wanneer je SSO in de verplichte modus instelt, wordt alle authenticatie van eindgebruikers door je identiteitsprovider uitgevoerd. Alle processen, beleidsregels en beveiligingsfuncties die je bij je identiteitsprovider hebt ingesteld, zijn van toepassing op gebruikers die zich bij Dropbox willen aanmelden. Beveiligingsfuncties die Dropbox zelf biedt, zoals tweestapsverificatie of de mogelijkheid om wachtwoorden opnieuw in te stellen, werken niet meer, omdat je identiteitsprovider nu alle aspecten van de authenticatie regelt. Zo kun jij meer beveiligingslagen toevoegen via je identiteitsprovider.

Als je SSO instelt in de optionele modus, kunnen eindgebruikers de tweestapsverificatie van Dropbox blijven gebruiken en hun Dropbox-wachtwoord opnieuw instellen.

Terug naar het begin van het artikel

Wat gebeurt er bij problemen met onze identiteitsprovider?

Als beheerder van het account bij Dropbox voor bedrijven, kun je je bij de Dropbox-website aanmelden met je e-mailadres en Dropbox-wachtwoord. Je kunt SSO vervolgens uitschakelen of de optionele modus inschakelen.

Terug naar het begin van het artikel

Wat is voor mij als beheerder het verschil tussen aanmelden met mijn SSO-aanmeldgegevens en aanmelden met mijn Dropbox-aanmeldgegevens?

Als je je bij Dropbox met je SSO-aanmeldgegevens aanmeldt, laat je gewoon het veld voor het wachtwoord leeg. Als je iets in het veld voor het wachtwoord invoert, gaat Dropbox ervan uit dat je je probeert aan te melden met je Dropbox-aanmeldgegevens.

Als je je als beheerder met je Dropbox-wachtwoord aanmeldt, kun je tweestapsverificatie blijven gebruiken bij je Dropbox-account.

Terug naar het begin van het artikel

Wat gebeurt er met mijn bestaande computers en mobiele apparaten die aan Dropbox zijn gekoppeld?

Alle computers en mobiele apparaten die al zijn gekoppeld aan Dropbox-accounts, blijven gewoon werken wanneer je eenmalige aanmelding inschakelt. Als gebruikers echter een apparaat opnieuw moeten koppelen of een nieuw apparaat willen koppelen, hebben ze de nieuwste versie van de desktopapp en mobiele app nodig, anders werkt eenmalige aanmelding niet.

Terug naar het begin van het artikel

Wat is InCommon?

InCommon Federation, vaak afgekort als InCommon, is een structuur voor betrouwbaar gezamenlijk beheer van toegang tot online hulpbronnen. Dat betekent in het geval van Dropbox dat onze versie van eenmalige aanmelding (SSO) de InCommon-standaard volgt. Meer informatie over het instellen van eenmalige aanmelding (SSO) voor InCommon

Terug naar het begin van het artikel

Is je vraag beantwoord in dit artikel?

Het spijt ons dat te horen. Laat ons weten hoe wij het volgende kunnen verbeteren:

Bedankt voor je feedback.

Antwoorden uit de community
    Antwoorden uit de community

      Other ways to get help

      Community

      Ondersteuning via Twitter

      Hulp via vragen