Dropbox Business 管理员的单点登录 (SSO) 功能

本文讨论的是一项仅向使用 AdvancedEnterprise 套餐的 Dropbox Business 团队提供的功能。

详细了解新的 Dropbox Business 套餐。

如果您是使用 Advanced 或 Enterprise 套餐的 Dropbox Business 团队的管理员,可以让团队成员通过登录到中央身份提供商页面来访问 Dropbox。

单点登录 (SSO) 可让每个人的生活更简单、更安全。您可以将身份验证事宜交给信任的身份提供商处理,而团队成员则可以轻松访问 Dropbox,无需再多管理一个密码。

本文内容:

如何在 Dropbox 中设置单点登录 (SSO)?

配置您的身份提供商

首先,请转至身份提供商的网站,按照身份提供商的说明来配置单点登录。

Dropbox 已与多家身份提供商合作,提供预先正确设置的应用。查看与我们合作的身份提供商

如果您想配置自己的解决方案或使用其他身份提供商,请查看所需的参数。

您需要向 Dropbox 提供两条信息:

  • 登录页面的网址(也称为登录网址)
  • X.509 证书

配置 Dropbox

  1. 使用管理员帐户登录 Dropbox。
  2. 单击边栏中的管理员控制台
  3. 单击边栏中的设置
  4. 单击身份验证设置下的单点登录
  5. 选择将单点登录设为可选或必需

  6. 可选或必需模式
  7. 输入您前面从身份提供商处获得的身份提供商登录网址

  8. 输入登录网址
  9. 输入身份提供商注销网址(注意此为可选步骤)。

  10. 输入注销网址
  11. 单击上传证书以上传您前面从身份提供商处获得的 X.509 证书 .pem 文件。

  12. 上传证书
  13. 单击应用更改

  14. 应用更改

使用户准备就绪

如果您要求团队成员使用单点登录,Dropbox 将自动向他们发送电子邮件提醒。如果您将单点登录设为可选,则您需要自己通知他们。您可以在管理员控制台的“单点登录”部分下载电子邮件模板。

访问网站

在开启单点登录后,用户只需输入他们的电子邮件地址就能登录 Dropbox。此功能会将他们重定向到身份提供商的登录页面,在那里他们可以输入各自的工作凭据。

在单点登录设置中,我们将为您提供一个自定义的 Dropbox 网址。如果用户已登录身份提供商帐户,他们可以通过此网址直接在线转至自己的 Dropbox 帐户。

关联电脑和移动设备

当前所有已关联到您的 Dropbox 帐户的电脑和移动设备将继续正常工作。但是,如果用户要重新关联设备或关联新设备,则需要安装最新版的桌面应用移动应用才能使用单点登录功能。如果他们还未登录身份提供商帐户,系统会自动将其重定向以完成登录。系统还会提示他们完成其他几个简单的步骤:

  • 当用户关联电脑时,Dropbox 将指示他们从网站上复制一段特殊的关联代码,并粘贴到应用中。
  • 当用户关联移动设备时,系统将要求他们批准将应用关联到他们帐户的请求。

有关详细信息,请参阅我们面向最终用户提供的说明

返回页首

您支持哪个身份提供商?

Dropbox 采用的是安全而且广为接受的行业标准 - 安全断言标记语言 (SAML)。这意味着我们采用的单点登录功能可与支持 SAML 的大型身份提供商轻松融合。如果您已创建自己的、基于­ SAML 的联合身份验证过程,我们也会与其融合。我们支持服务提供方发起的­ SAML 和身份提供方发起的­ SAML。

下面的身份提供商针对 Dropbox 提供预配置的设置:

  • Auth0
  • Bitium
  • CA Siteminder
  • Centrify
  • Google Apps
  • OneLogin
  • Okta
  • Ping Identity
  • Salesforce
  • Symantec Identity:Access Manager
  • Symplified

返回页首

我想用来设置单点登录的身份提供商不在列表之中。如何配置我自己的身份提供商,以便使用单点登录?

如果您想配置自己的解决方案或使用不同的身份提供商,您需要这些参数:

  • 在 Dropbox 使用的 SMAL2 中,HTTP Redirect 会将服务提供商导向至身份提供商,并要求 HTTP Post 将身份提供商导向服务提供商。
  • Dropbox 回传网址(也称“声明消费者服务网址”)是 https://www.dropbox.com/saml_login。
  • Dropbox 要求 NameID 包含用户的电子邮件地址。从技术上讲,我们需要的是:Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"。
  • 身份提供商可能会向您确认是要签署 SAML 断言、SAML 响应,还是两者都签署。Dropbox 要求您签署 SAML 响应。您可以自由选择是否签署 SAML 断言。

返回页首

什么是 X.509 证书?

X.509 证书是用于验证您身份的安全证书,通常来自您的身份提供商。这种证书有多种格式,但 Dropbox 只接受 .pem.cer.crt 格式。以下是经过编码的证书示例:


经过编码的 X.509 证书示例

返回页首

可选模式和必需模式有何不同?

可选模式下,全部用户登录时既能用他们的 Dropbox 密码,又能用他们的单点登录密码。如果您想逐步推出单点登录,并且想在不影响团队活动的情况下对它进行测试,那么此模式是您的最理想的选择。

  • 为使用单点登录,用户需将密码字段留空。如果用户输入密码,我们会将此视作使用 Dropbox 凭据登录。
  • 用户可以在您的团队专属页面无需输入电子邮件地址即可登录。您可以在管理员控制台的单点登录设置中找到此页面的网址。
  • 为避免设置相互重叠,在启用单点登录时,Dropbox 的两步验证功能将会关闭。
  • 当您开启单点登录可选模式时,Dropbox 将不会通知用户。如果您想通知一个测试组用户,您可以在管理员控制台的单点登录部分找到电子邮件模板。
  • 用户现有的桌面客户端和移动客户端将与他们的帐户保持关联。这包括在他们加入 Dropbox Business 之前关联到他们帐户的所有桌面或移动客户端。所有新的桌面客户端和移动客户端将能使用 Dropbox 或单点登录密码登录。

必需模式下,全部用户必须先登录中央身份提供商,然后才可以访问 Dropbox。他们曾经使用的 Dropbox 密码将不再有效,而且 Dropbox 将不会存储他们的单点登录凭证。如果您已准备好完全切换到使用身份提供商进行身份验证,请使用此选项。

  • 没有单点登录凭据的成员将无法登录 Dropbox。
  • 我们将以电子邮件的形式通知全部用户,向他们告知已启用单点登录,并附上登录方法说明。
  • 若用户尝试登录 Dropbox,我们会将其重定向至您的身份提供商处。
  • 在您的团队专属页面,用户不用输入电子邮件即可登录。
  • 为避免重复的安全政策,在使用单点登录时,Dropbox 的两步验证功能会被禁用。
  • 管理员无法在 Dropbox 上重置密码,因为密码现在由身份提供商控制。
  • 作为管理员,您可以使用 Dropbox 或单点登录密码在网站上登录。
  • 用户现有的桌面客户端和移动客户端将与他们的帐户保持关联。这包括在他们加入 Dropbox Business 之前关联到他们帐户的所有桌面或移动客户端。所有新的桌面客户端和移动客户端则必须使用单点登录。

返回页首

如果我在 Business 帐户中添加新用户会出现什么情况?

如果您将单点登录设为必需模式,您需要确保新用户的电子邮件地址已在您的身份提供商处注册。否则,该用户将无法登录和访问 Dropbox。在可选模式下,系统会要求用户创建 Dropbox 密码,然后像往常一样使用此密码登录。

返回页首

单点登录和 Dropbox 的安全功能(例如两步验证功能)是如何配合工作的?

当您将单点登录设置为必需模式时,您的身份提供商将成为终端用户身份验证的基础。您和身份提供商设置的一切流程、政策和安全功能都将适用于访问 Dropbox 的用户。Dropbox 自己提供的安全功能(例如,两步验证功能或重置密码功能)将不再有效,因为您的身份提供商现在控制着身份验证的方方面面。这让您能够通过身份提供商添加多层安全保护伞。

如果您将单点登录设为可选模式,终端用户将仍可使用 Dropbox 的两步验证功能,并且仍可重置他们的 Dropbox 密码。

返回页首

如果身份提供商出现问题怎么办?

作为企业版帐户的管理员,您将能够使用您的电子邮件地址和 Dropbox 密码登录 Dropbox 网站。根据需要,您可以关闭单点登录或将其设为可选模式。

返回页首

作为管理员,使用我的单点登录凭据登录与使用我的 Dropbox 凭据登录有何不同?

若要使用单点登录凭据登录 Dropbox,请将密码字段留空。如果您未将密码字段留空, Dropbox 将认为您在尝试使用 Dropbox 凭据登录。

如果您是管理员而且您使用自己的 Dropbox 密码登录,那么您仍可在 Dropbox 帐户中使用两步验证功能。

返回页首

对我已经关联到 Dropbox 的电脑和移动设备会有什么影响?

在您启用单点登录后,所有已和 Dropbox 帐户关联的电脑和移动设备仍可正常工作。但是,如果用户需要重新关联设备或关联新设备,他们需要使用最新版本的桌面应用程序移动应用,只有这样单点登录才可以工作。

返回页首

什么是 InCommon?

InCommon Federation(常简称为 InCommon)是一个针对在线资源访问提供的可信共享管理框架。Dropbox 的单点登录版本遵守 InCommon 标准。详细了解如何设置单点登录以支持 InCommon。

返回页首

相关主题:

这篇文章是否回答了您的问题?

很抱歉听到这个消息。请告诉我们应该如何改进:

谢谢您的意见!

社区答案
    社区答案

      Other ways to get help

      社区

      Twitter 支持

      指导帮助