Функция единого входа (SSO) для администраторов Dropbox Business

Эта статья о функции, доступной только пользователям Dropbox Business с тарифными планами Advanced или Enterprise.

Читайте подробнее о новых тарифных планах Dropbox Business…

Как администратор Dropbox Business (тарифный план Advanced или Enterprise) вы можете предоставить участникам своей рабочей группы возможность заходить в Dropbox с помощью функции единого входа.

Функция единого входа (SSO) сделает работу вашей группы проще и безопасней. Вы можете доверить процесс проверки удостоверения личности своему проверенному поставщику удостоверений, а участникам вашей рабочей группы не придется запоминать еще один пароль.

Разделы в этой статье:

Как настроить функцию единого входа (SSO) Dropbox?

Настройка параметров поставщика удостоверений

Для начала зайдите на сайт вашего поставщика удостоверений и выполните инструкции по настройке функции единого входа.

Dropbox сотрудничает с большим количеством поставщиков услуг и может предоставить вам приложение со всеми необходимыми настройками. Посмотрите список поставщиков удостоверений, с которыми мы сотрудничаем.

Если вы хотите использовать собственное решение или воспользоваться услугами поставщика удостоверений, не входящего в наш список, просмотрите всю необходимую информацию.

Вам будет необходимо предоставить Dropbox информацию о следующих двух параметрах:

  • Адрес URL страницы единого входа (который также называется ссылка для входа в систему)
  • Сертификат X.509

Настройка Dropbox

  1. Войдите в свой аккаунт администратора.
  2. Нажмите на Консоль администрирования на боковой панели.
  3. На боковой панели нажмите Настройки.
  4. В разделе Настройки аутентификации выберите Единый вход.
  5. Выберите, хотите ли вы, чтобы использование функции единого входа было обязательным или необязательным:
Необязательный или обязательный режим
6. Введите ссылку для входа, предоставленную вашим поставщиком удостоверений.
Введите ссылку для входа
7. Введите ссылку перенаправления после выхода поставщика удостоверений (примечание: этот шаг является необязательным).
Введите ссылку для выхода
8. Нажмите на кнопку Загрузить сертификат и загрузите сертификат X.509 в формате .pem, который вы скачали ранее с сайта вашего поставщика удостоверений.
Загрузить сертификат
9. Нажмите Применить изменения.
Применить изменения

Оповещение пользователей

Если вы сделаете использование функции единого входа обязательным, Dropbox отправит автоматическое сообщение участникам вашей группы, оповещающее их о внесенном изменении. Если вы сделаете использование функции единого входа необязательным, вам потребуется самостоятельно оповестить участников рабочей группы. На странице Консоли администрирования вы можете скачать шаблон сообщения, оповещающего пользователей о введении функции единого входа.

Как заходить на сайт

Как только заработает система единого входа, пользователям для входа в Dropbox нужно будет вводить только адрес своей электронной почты. Когда они укажут этот адрес, система перенаправит их на страницу входа вашего поставщика удостоверений, где нужно будет ввести рабочие данные.

Функция единого входа включает специальный URL-адрес Dropbox, который будет предоставлен вам при ее включении. С его помощью пользователи смогут переходить прямо в свой аккаунт Dropbox, если они уже вошли в систему через вашего поставщика удостоверений.

Подсоединение компьютеров и мобильных устройств

Все компьютеры и мобильные устройства, уже подсоединенные к аккаунтам Dropbox, будут работать в обычном режиме. Но если пользователю нужно будет подсоединить новое устройство или заново подсоединить старое, ему понадобится последняя версия программы для компьютеров и мобильного приложения, иначе функция единого входа не заработает. Если пользователь еще не вошел в систему поставщика удостоверений, то будет автоматически перенаправлен на страницу входа. Также ему будет предложено выполнить следующие действия:

  • При подсоединении компьютера пользователям будет предложено скопировать код ссылки с сайта в программу.
  • При подсоединении мобильного устройства пользователей попросят подтвердить запрос о подключении мобильного приложения к их аккаунту.

Более подробную информацию вы найдете в инструкциях для конечных пользователей.

В верхнюю часть статьи

Какие поставщики удостоверений поддерживаются в Dropbox?

Dropbox использует безопасный и широко распространенный в данной области стандарт Security Assertion Markup Language (SAML), поэтому применяемая нами функция единого входа без проблем поддерживается любым крупным поставщиком удостоверений, также использующим SAML. Если вы разработали собственный основанный на SAML процесс интегрированной аутентификации, мы сможем с ним работать. Мы поддерживаем SAML, инициируемый поставщиком услуг, и SAML, инициируемый поставщиком удостоверений.

Следующие поставщики удостоверений предоставляют предварительно заданные параметры для Dropbox:

  • Auth0
  • Bitium
  • CA Siteminder
  • Centrify
  • G Suite
  • MobileIron Access
  • OneLogin
  • Okta
  • Ping Identity
  • Salesforce
  • Symantec Identity: Access Manager
  • Symplified

В верхнюю часть статьи

Я хочу использовать функцию единого входа (SSO), но мой поставщик удостоверений не входит в список поддерживаемых. Как мне настроить собственные параметры предоставления удостоверений для выполнения функции единого входа?

Чтобы настроить функцию единого входа, указав отсутствующего в списке поставщика удостоверений, вам понадобятся следующие параметры:

  • Dropbox использует SAML2 с привязкой HTTP Redirect от поставщика услуг поставщику удостоверений и ожидает привязку HTTP Post от поставщика удостоверений поставщику услуг.
  • URL обратной отправки Dropbox (Assertion ConsumerService URL) — https://www.dropbox.com/saml_login
  • Формат идентификационных данных в Dropbox должен содержать адрес электронной почты пользователя. Наша система будет искать код такого формата: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
  • Ваш поставщик удостоверений может спросить, хотите ли вы установить утверждение SAML (SAML assertion), отзыв SAML (SAML response) или и то, и другое. Dropbox требует установки отзыва SAML. Вы можете устанавливать или не устанавливать утверждение SAML.

В верхнюю часть статьи

Что такое сертификат X.509?

Сертификат X.509 — это сертификат безопасности, который можно использовать для подтверждения личности пользователя. Обычно его предоставляет ваш поставщик удостоверений. Файлы, содержащие сертификат, бывают разных форматов, но Dropbox работает только с .pem,  .cer и .crt. Ниже приведен пример закодированного сертификата:

Пример закодированного сертификата X.509

В верхнюю часть статьи

Чем отличается необязательный режим от обязательного?

В необязательном режиме все пользователи смогут заходить в систему либо со своим паролем Dropbox, либо с паролем единого входа. Этот режим идеально подходит, если вы вводите функцию единого входа постепенно и хотите сперва протестировать ее, не затрудняя работу сотрудников.

  • Чтобы зайти в аккаунт по принципу единого входа, пользователи должны оставить поле для пароля пустым. Если они что-либо введут в это поле, наша система воспримет это как попытку входа с паролем Dropbox.
  • Пользователи могут входить в аккаунт, не вводя адрес электронной почты, со страницы своей рабочей группы. URL-адрес этой страницы можно найти в разделе с настройками единого входа в консоли администрирования.
  • При использовании единого входа функция двухэтапной проверки будет отключена. Это необходимо для того, чтобы избежать конфликта настроек.
  • Если вы включите функцию единого входа в необязательном режиме, Dropbox не станет посылать пользователям уведомления. Если вы хотите известить контрольную группу пользователей, можно воспользоваться готовой формой в разделе с настройками единого входа в консоли администрирования.
  • Программы для компьютеров и мобильные приложения, уже связанные с аккаунтами Dropbox, останутся подсоединенными к этим аккаунтам. В том числе программы и мобильные приложения, которые были подсоединены к аккаунту, перед тем как пользователь объединил его с аккаунтом Dropbox Business. Однако все новые программы и приложения смогут подсоединиться к аккаунту только с паролем Dropbox или с паролем единого входа.

В обязательном режиме всем пользователям придется, чтобы попасть в Dropbox, осуществлять вход в систему вашего центрального поставщика удостоверений. Старые пароли Dropbox перестанут работать, и Dropbox не будет сохранять логины и пароли для единого входа. Этот режим можно использовать, если вы решили сразу же полностью перейти на аутентификацию через поставщика удостоверений.

  • Пользователи, у которых нет идентификационных данных единого входа, не смогут войти в Dropbox.
  • Мы сообщим всем пользователям по электронной почте о том, что функция единого входа включена, и предоставим инструкции по входу в систему.
  • При входе в систему мы будем перенаправлять пользователей к поставщику удостоверений.
  • Пользователи могут входить в Dropbox в Интернете со страницы своей рабочей группы, не вводя адрес электронной почты.
  • При использовании единого входа функция двухэтапной проверки будет отключена. Это необходимо для того, чтобы избежать конфликта правил безопасности.
  • Администраторы не смогут сбрасывать пароли через Dropbox, поскольку управлять паролями будет поставщик удостоверений.
  • Администраторы смогут входить в систему на сайте с помощью своего пароля Dropbox или пароля единого входа.
  • Программы для компьютеров и мобильные приложения, уже связанные с аккаунтами Dropbox, останутся подсоединенными к этим аккаунтам. В том числе программы и мобильные приложения, которые были подсоединены к аккаунту, перед тем как пользователь объединил его с Dropbox Business. Однако во всех новых программах и приложениях будет использоваться функция единого входа.

В верхнюю часть статьи

Что происходит, когда я добавляю нового пользователя в аккаунт Dropbox Business?

Если вы включили функцию единого входа в обязательном режиме, необходимо удостовериться, что адреса электронной почты новых пользователей зарегистрированы у вашего поставщика удостоверений. Если адрес не зарегистрирован, пользователь не сможет войти в аккаунт. В необязательном же режиме пользователя попросят создать пароль для Dropbox, и с этим паролем можно будет, как обычно, заходить в аккаунт.

В верхнюю часть статьи

Как функция единого входа сочетается с функциями безопасности Dropbox, например с двухэтапной проверкой?

Если вы включаете функцию единого входа в обязательном режиме, аутентификация полностью переходит под контроль вашего поставщика удостоверений. Для входа в аккаунт Dropbox пользователю придется следовать всем тем процедурам безопасности и соблюдать все те договоренности, о которых вы условились с поставщиком удостоверений. Дополнительные меры безопасности, которые предоставляет сам Dropbox (например, двухэтапная проверка или возможность сбросить пароль), отныне не будут действовать, потому что всеми аспектами аутентификации станет заведовать ваш поставщик удостоверений. И он же сможет задействовать для вас дополнительные меры безопасности.

Если включить систему единого входа в необязательном режиме, конечные пользователи смогут продолжать использовать функцию двухэтапной проверки. Кроме того, у них будет возможность сбросить пароль Dropbox.

В верхнюю часть статьи

Что делать, если возникнет проблема с поставщиком удостоверений?

Администратор Бизнес аккаунта может зайти на сайт Dropbox с адресом своей электронной почты и паролем Dropbox и отключить функцию единого входа или включить ее в необязательном режиме.

В верхнюю часть статьи

Чем отличается для администратора вход в систему с учетными данными функции единого входа и с учетными данными Dropbox?

Чтобы войти в аккаунт Dropbox с логином и паролем единого входа, просто оставьте поле для пароля пустым. Если вы что-нибудь в него введете, наша система воспримет это как попытку входа с паролем Dropbox.

Если вы являетесь администратором и используете для входа в аккаунт свой пароль Dropbox, вы по-прежнему сможете использовать функцию двухэтапной проверки.

В верхнюю часть статьи

Что произойдет с моими компьютерами и мобильными устройствами, подключенными к Dropbox?

После подключения функции единого входа все компьютеры и мобильные устройства, уже подсоединенные к аккаунтам Dropbox, будут работать в обычном режиме. Но если пользователю нужно будет подсоединить новое устройство или заново подсоединить старое, ему понадобится последняя версия программы для компьютеров и мобильного приложения, иначе функция единого входа не заработает.

В верхнюю часть статьи

Что такое InCommon?

Федерация InCommon, которую обычно называют просто InCommon — это правила и стандарты надежного общего управления доступом к онлайн-ресурсам. Если речь идет о Dropbox, то имеется в виду, что наша версия функции единого входа (SSO) соответствует стандартам InCommon. Читайте подробнее о том, как настроить функцию единого входа (SSO), чтобы она соответствовала стандартам InCommon.

В верхнюю часть статьи

Вы нашли в этой статье ответ на свой вопрос?

Мы очень сожалеем. Пожалуйста, напишите, как мы можем улучшить ситуацию:

Благодарим за отзыв!

Ответы сообщества
    Ответы сообщества

      Как еще можно получить помощь

      Сообщество

      Поддержка в Twitter

      Интерактивная справка

      Как еще можно получить помощь

      Сообщество

      Поддержка в Twitter

      Интерактивная справка

      Как еще можно получить помощь

      Сообщество

      Поддержка в Twitter

      Contact support