SSO (logon único) para administradores do Dropbox Business

Se você for administrador de uma equipe do Dropbox Business em um plano Advanced ou Enterprise, pode permitir que os membros da equipe acessem o Dropbox usando um provedor central de identidade.

Com o logon único (SSO), você pode delegar a autenticação a um provedor de identidade que já seja de sua confiança, e os membros da equipe podem acessar o Dropbox sem precisar gerenciar mais uma senha.

Como configurar o SSO (logon único) com o Dropbox?

Configurar seu provedor de identidade

Para começar, vá para o site do seu provedor de identidade e siga as instruções do provedor para configurar o logon único (SSO).

O Dropbox tem parcerias com diversos provedores de identidade para oferecer aplicativos pré-configurados com as configurações corretas. Veja com quais provedores de identidade nós temos parceria.

Se você quiser configurar sua própria solução ou usar um provedor de identidade diferente, reveja os parâmetros exigidos.

Você vai precisar encontrar duas informações para fornecer ao Dropbox:

• Uma página de URL de acesso à conta (também chamada de URL de login)
• Um certificado X.509

Configurar o Dropbox

1. Faça login no Dropbox com sua conta de administrador.
2. Clique na seção de Administração na barra lateral.
3. Clique em Configurações na barra lateral.
4. Em Configurações de autenticação, clique em SSO (logon único).
5. Escolha se vai tornar o SSO (logon único) opcional ou obrigatório:

Prepare seus usuários

Se você optar por exigir o uso do SSO (logon único), o Dropbox notificará os membros da equipe por e-mail automaticamente. Se deixar o SSO como recurso opcional, você é quem deve notificá-los. Para isso, pode baixar um modelo de e-mail na seção do SSO na seção de Administração.

Acessando o site

Quando o SSO (logon único) estiver habilitado, os usuários podem digitar apenas seus respectivos endereços de e-mail para acessar o Dropbox. Eles serão redirecionados para a página de login do provedor de identidade, onde devem digitar suas credenciais do trabalho.

Como parte da configuração do SSO, você receberá uma URL personalizada do Dropbox. Com essa URL, os usuários que já tiverem feito login no provedor de identidade têm acesso direto à conta do Dropbox.

Vincular computadores e dispositivos móveis

Todos os computadores e dispositivos móveis que no momento estiverem vinculados a contas do Dropbox continuam funcionando normalmente. No entanto, se os usuários precisarem revincular um dispositivo antigo ou vincular um novo, devem ter as versões mais recentes do aplicativo para desktop e do aplicativo para dispositivos móveis para que o SSO (logon único) funcione. Se eles não tiverem feito login no provedor de identidade, serão redirecionados automaticamente. Também precisarão tomar outras providências simples:

• Quando os usuários vinculam um computador, o Dropbox os direciona para copiar um código de link especial do site e colá-lo no aplicativo.
• Quando os usuários vinculam um dispositivo móvel, eles são solicitados a conectar o aplicativo às suas contas.

Para detalhes, veja nossas instruções para o usuário final.

Voltar ao início do artigo

Quais provedores de identidade vocês comportam?

O Dropbox usa o padrão seguro e amplamente adotado pela indústria chamado SAML (Security Assertion Markup Language), o que significa que a nossa implementação de SSO se integra facilmente a qualquer provedor de identidade grande que comporte o padrão SAML. Se você construiu o seu próprio processo de autenticação combinado baseado em SAML, também pode integrá-lo ao Dropbox. O Dropbox é compatível com SAML iniciado por prestador de serviço e SAML iniciado por provedor de identidade.

Estes provedores de identidade oferecem configurações preestabelecidas para o Dropbox:

• Auth0
• Bitium
• CA Siteminder
• Centrify
• G Suite
• MobileIron Access
• OneLogin
• Okta
• Ping Identity
• Salesforce
• Symantec Identity: Access Manager
• Symplified

Voltar ao início do artigo

Quero configurar o SSO (logon único) com um provedor que não está na lista. Como configurar minha própria solução de provedor de identidade para SSO?

Se você quiser configurar sua própria solução ou usar um provedor de identidade diferente, aqui estão alguns parâmetros que vai precisar seguir:

• O Dropbox usa SAML2 com o HTTP Redirect vinculando os provedores de serviço (SP) aos provedores de identidade (IdP) e espera que o HTTP Post vincule o IdP com o SP.
• A URL postback do Dropbox (também chamada de URL de Declaração de serviço ao consumidor) é https://www.dropbox.com/saml_login
• O Dropbox requer que o NameID contenha o endereço de e-mail do usuário. Tecnicamente estamos procurando por: Format=""urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
• Seu provedor de identidade pode perguntar se você deseja assinar a declaração SAML, a resposta SAML ou ambas. O Dropbox precisa que a resposta SAML seja assinada. Você pode escolher entre a declaração SAML assinada ou não assinada.

Voltar ao início do artigo

O que é um certificado X.509?

Um certificado X.509 é um certificado de segurança usado para verificar a identidade do usuário e costuma ser fornecido pelo provedor de identidade. Pode existir em vários formatos, mas o Dropbox só aceita os formatos .pem, .cer ou .crt . Aqui está um exemplo de um certificado codificado:

Se os membros de sua equipe estiverem vendo um erro ao tentar usar o SSO para acessar, talvez seja necessário atualizar seu certificado X.509. Para fazer isso, localize e baixe o certificado mais recente com seu provedor de identidade e envie o novo certificado na seção de Administração.

Voltar ao início do artigo

Qual a diferença entre o modo opcional e o modo obrigatório?

No modo opcional, todos os usuários podem acessar suas contas usando a senha do Dropbox ou SSO (logon único). É ideal se você quiser fazer um lançamento gradual do SSO e testá-lo primeiro sem interromper as atividades da equipe.

• Para acessarem suas contas usando o SSO, os usuários devem deixar o campo de senha em branco. Se alguém tentar digitar uma senha, entenderemos como uma tentativa de acessar a conta com as credenciais do Dropbox.
• Na página específica da equipe, os usuários podem acessar a conta sem precisar digitar seus e-mails. A URL para essa página está disponível nas suas configurações de SSO, na seção de Administração.
• Para evitar configurações conflitantes, a verificação em dois passos será desabilitada quando o usuário optar pelo sistema SSO (logon único).
• O Dropbox não notificará os usuários se você habilitar o SSO em modo opcional. Se você quiser notificar um grupo de usuários para fazer testes, pode baixar um modelo de e-mail na seção do SSO, na seção de Administração.
• Os clientes para desktop e dispositivos móveis existentes permanecerão vinculados às contas dos usuários. Isso inclui qualquer cliente para desktop ou dispositivo móvel que tenha sido conectado à conta antes de o usuário entrar no Dropbox Business. Todos os novos clientes para desktop e dispositivos móveis poderão fazer login usando a senha do Dropbox ou o SSO (logon único).

No modo obrigatório, todos os usuários devem fazer login no provedor central de identidade para acessar o Dropbox. A senha do Dropbox que os membros da equipe usavam antes deixará de funcionar. O Dropbox não armazena credenciais de SSO de usuários. Use esta opção se você estiver pronto para mudar completamente para a autenticação por meio de seu provedor de identidade.

• Os usuários que não tiverem credenciais de SSO (logon único) não poderão acessar suas contas do Dropbox.
• Vamos enviar a todos os usuários um e-mail informando que o SSO (logon único) está ativado, com instruções de como acessar suas contas.
• Quando um usuário tentar acessar a conta do Dropbox, nós o redirecionaremos para o seu provedor de identidade.
• Na página específica da equipe, os usuários podem acessar a conta na web sem precisar digitar seus e-mails.
• Para evitar políticas de segurança duplicadas, a verificação em dois passos será desabilitada quando o usuário optar pelo sistema SSO (logon único).
• Os administradores não conseguirão redefinir senhas por meio do Dropbox, já que as senhas agora são controladas pelo seu provedor de identidade.
• Como administrador, você poderá acessar sua conta na web usando tanto a sua senha do Dropbox quanto o SSO (logon único).
• Os clientes para desktop e dispositivos móveis existentes permanecerão vinculados às contas dos usuários. Isso inclui qualquer cliente para desktop ou dispositivo móvel que tenha sido conectado à conta antes de o usuário entrar no Dropbox Business. Todos os novos clientes para desktop e dispositivos móveis devem usar o SSO (logon único).

Voltar ao início do artigo

O que acontece quando adiciono um novo usuário à conta do Dropbox Business?

Se você habilitar o SSO no modo obrigatório, precisa verificar se o endereço de e-mail de novos usuários está registrado junto ao seu provedor de identidade. Caso contrário, os usuários não poderão fazer login e acessar o Dropbox. No modo opcional, será solicitado que o usuário crie uma senha do Dropbox para poder fazer login como de costume.

Voltar ao início do artigo

Como o SSO (logon único) funciona em conjunto com recursos de segurança do Dropbox, como a verificação em dois passos?

Quando você configura o SSO no modo obrigatório, toda a autenticação de usuários finais passa a ser baseada no provedor de identidade. Quaisquer processos, políticas e recursos de segurança que você tenha configurado com o provedor de identidade serão empregados quando um usuário tentar acessar o Dropbox. Os recursos de segurança que o próprio Dropbox oferece, tais como a verificação em dois passos e a possibilidade de redefinir senhas, deixarão de funcionar, porque agora quem lida com todos os aspectos da autenticação é o provedor de identidade. Isso permite que você adicione mais camadas de segurança através do provedor de identidade.

Se você configurar o SSO (logon único) em modo opcional, os usuários finais ainda vão poder utilizar a verificação em dois passos e redefinir suas senhas do Dropbox.

Voltar ao início do artigo

O que acontece se houver um problema com nosso provedor de identidade?

Como administrador de uma conta do Dropbox para Empresas, você pode acessar o site do Dropbox com o seu endereço de e-mail e senha do Dropbox. Você pode então desabilitar o SSO ou configurá-lo no modo opcional, conforme necessário.

Voltar ao início do artigo

Como administrador, qual a diferença entre acessar minha conta usando minhas credenciais de SSO (logon único) e usando minhas credenciais do Dropbox?

Para acessar o Dropbox com suas credenciais do SSO, basta deixar o campo de senha em branco. Se você digitar qualquer coisa no campo de senha, o Dropbox entenderá como tentativa de acesso com as credenciais do Dropbox.

Se você é um administrador e usa sua senha do Dropbox para acessar sua conta você ainda conseguirá utilizar a verificação em dois passos com sua conta do Dropbox.

Voltar ao início do artigo

O que acontece aos meus computadores e dispositivos móveis existentes que estão conectados ao Dropbox?

Todos os computadores e dispositivos móveis que já estiverem vinculados a contas do Dropbox continuam funcionando normalmente quando o SSO está habilitado. No entanto, se os usuários precisarem revincular um dispositivo antigo ou vincular um novo, devem ter as versões mais recentes do aplicativo para desktop e do aplicativo para dispositivos móveis para que o SSO (logon único) funcione.

Voltar ao início do artigo

O que é o InCommon?

A InCommon Federation, normalmente abreviada como InCommon, é uma estrutura de gerenciamento compartilhado confiável de acesso a recursos on-line. No Dropbox, isso significa que a nossa versão do logon único (SSO) segue o padrão InCommon. Saiba mais sobre como configurar o logon único (SSO) para ter suporte ao InCommon.

Voltar ao início do artigo