Dropbox Business 管理員的單一登入功能

本文將討論的功能,僅供訂購 AdvancedEnterprise 方案的 Dropbox Business 工作團隊使用。

進一步瞭解新的 Dropbox Business 方案。

如果您是 Dropbox Business 的 Advanced 或 Enterprise 方案團隊管理員,您可以允許團隊成員透過登入中央身分提供者存取 Dropbox。

單一登入 (SSO) 讓生活更簡單,同時保障大家的資訊安全。您可以指派您所信任的身分提供者來負責授權,而團隊成員則可以輕易存取 Dropbox,不必再費神記另一組密碼。

這篇文章的區段:

我該如何為 Dropbox 設定單一登入 (SSO)?

身分提供者配置

首先,前往您的身分提供者網站並依照其指示設定單一登入。

Dropbox 已和許多身分提供者合作,提供已預先設定正確的應用程式。查看我們已和哪些身分提供者合作

如果您想要自行設定或使用不同的身分提供者,請檢查必備參數。

您必須找到以下兩個訊息,並提供給 Dropbox:

Dropbox 配置

  1. 以您的管理員帳戶登入 Dropbox。
  2. 按一下邊欄的 [管理員主控台]。
  3. 按一下邊欄中的 [設定]。
  4. 驗證設定中,按一下 [單一登入]。
  5. 選擇是否要將單一登入設定為 [必填]:
非必要或必填模式
6. 輸入之前身分提供者給您的身分提供者登入網址
輸入登入網址
7. 輸入身分提供者登出網址 (非必要)。
輸入登出網址
8. 按一下 [上傳憑證],上傳之前身分提供者給您的 X.509 憑證 (PEM 格式)。
上傳憑證
9. 按一下 [套用變更]。
套用變更

協助使用者就續

如果您將單一登入功能設定成強制模式,Dropbox 會自動用電子郵件通知您的團隊成員。如果單一登入功能是選擇性的,您必須自行通知他們。您可以在管理主控台裡的單一登入設定區域中,下載一份電子郵件範本。

存取網站

啟用單一登入後,使用者只輸入電子郵件便可登入 Dropbox。接著系統會將使用者導引至身分提供者的單一登入頁面,供他們輸入工作憑證。

在單一登入的設定中,我們會提供您一個自訂的 Dropbox 連結。若您已透過您的身分提供者登入,這個連結能直接將您導引至您的線上 Dropbox 帳戶。

連結電腦和行動裝置

所有已經連結到 Dropbox 帳戶的電腦和行動裝置,都會照常運作不受任何影響。不過,如果使用者需要重新連結裝置、或是新增一台裝置,他們需要使用最新版本的桌面應用程式行動應用程式,才能使用單一登入功能。如果他們還沒登入您的身分提供者,他們會被自動導向到登入頁面,以完成登入程序,並且會被提示要進行一些額外的簡易步驟:

  • 連結電腦時,Dropbox 會引導使用者在網站上複製一組特殊的連結碼,並將其貼在應用程式上。
  • 連結行動裝置時,系統會詢問使用者是否同意讓應用程式連結至自己的帳戶。

請參閱終端使用者指南以瞭解詳情。

回文章頂端

Dropbox 支援哪些身分提供者?

Dropbox 採用了所謂的「安全聲明標記語言」(SAML),因此我們的單一登入功能將可以輕易地與任何支援 SAML 的大型身分提供者進行整合。這項業界標準不但被廣泛採用,而且非常安全。如果您已經建置了以 SAML 為基礎的驗證程序,也可以與我們進行整合。我們支援了服務平台端與身分提供者端這兩種 SAML 驗證方式。

下列身分提供者為 Dropbox 提供預先定義的組態設定:

  • Auth0
  • Bitium
  • CA Siteminder
  • Centrify
  • G Suite
  • MobileIron Access
  • OneLogin
  • Okta
  • Ping Identity
  • Salesforce
  • 賽門鐵克身份識別與存取管理器
  • Symplified

回文章頂端

我想要設定單一登入,但我想選用的身分提供者不在列表中。我該如何以自選的身分提供者設定單一登入?

如果您想要自行設定或使用不同的身分提供者,您將需要以下資料:

  • Dropbox 使用的 SMAL2 中, HTTP Redirect 會將服務提供者導向至身分提供者,並要求 HTTP Post 將使用者從身分提供者導向服務提供者。
  • Dropbox 的回傳網址 (也稱為使用者認證服務連結) 為:https://www.dropbox.com/saml_login。
  • Dropbox 要求 NameID 須包含使用者的電子郵件地址。從技術面來說我們需要的是:Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
  • 您的身份提供者可能會詢問您是否要進行安全宣示標記語言 (Security Assertion Markup Language,SAML) 宣告式認證或/及回應式認證。Dropbox 必須取得 SAML 回應式認證。您可自行選擇是否進行宣告式認證。

回文章頂端

X.509 憑證是什麼?

X.509 憑證是一份用來檢驗身分的安全憑證。通常由您的身分提供者提供。這份憑證有可能是不同的檔案格式,但 Dropbox 只接受 .pem.cer.crt 格式。以下是加密憑證的範例:

加密的 X.509 憑證範例

回文章頂端

非必要模式和必填模式的差別是什麼?

非必要模式中,所有使用者都可以使用自己的 Dropbox 帳戶或單一登入的密碼進行登入。如果您正在逐步推動單一登入機制,想要先進行測試、不想干擾團隊的作業,那麼這種模式是最合適的。

  • 使用者的密碼欄必須留白,才能透過單一登入功能登入。如果使用者嘗試輸入密碼,我們會當作該使用者想以 Dropbox 憑證登入。
  • 使用者只要前往您的團隊專屬頁面,即可免用電子郵件地址登入。您可以在管理員主控台中的單一登入設定裡,找到此頁面的連結。
  • 為了避免重複設定,使用單一登入時會停用兩步驟驗證。
  • 如果您是以非必要模式啟用單一登入功能,Dropbox 並不會通知使用者。如果您想要通知一群測試使用者,可以到管理主控台裡的單一登入設定部分中,取得電子郵件範本。
  • 使用者現有的桌面及行動用戶端仍會連結至他們的帳戶。包括他們在加入 Dropbox Business 前,用來與帳戶連結的桌面及行動用戶端。所有電腦和行動裝置的新用戶端都可以 Dropbox 帳戶或單一登入密碼登入。

必填模式中,所有使用者都必須先登入到您的身分提供者,才能使用 Dropbox。他們將無法使用以前所使用的 Dropbox 密碼,Dropbox 也不會儲存他們的單一登入憑證。如果您已經準備好要完全移轉到身分提供者來進行登入驗證,才可以使用這種模式。

  • 沒有單一登入憑證的使用者無法登入 Dropbox。
  • 我們會寄送電子郵件給使用者,通知他們單一登入已啟用,並提供他們登入的操作說明。
  • 當使用者試圖登入 Dropbox 時,我們會將他重新導引至您的身分提供者。
  • 使用者只要前往您的團隊專屬頁面,即可免用電子郵件地址登入網站。
  • 為了避免重複安全政策,使用單一登入時會停用兩步驟驗證。
  • 管理員不能透過 Dropbox 重設密碼,因為現在密碼是由您的身分提供者管理的。
  • 身為管理員,您可以 Dropbox 帳戶或單一登入密碼登入網站。
  • 使用者現有的桌面及行動用戶端仍會連結至他們的帳戶。包括他們在加入 Dropbox Business 前,用來與帳戶連結的桌面及行動用戶端。所有的電腦及行動裝置的新用戶端都必須使用單一登入。

回文章頂端

如果我在 Business 帳戶中新增一名使用者會怎麼樣?

如果您使用必填模式啟用了單一登入功能,您必須確定新使用者的電子郵件地址,登錄在您的身分提供者裡。不然的話,該使用者將無法登入或使用 Dropbox。若是採用非必要模式,使用者會被要求設定一個 Dropbox 密碼,往後便可使用這個密碼照常登入系統。

回文章頂端

單一登入如何與 Dropbox 的兩步驟驗證等安全防護功能協作?

當您將單一登入功能設定成必填模式時,您的身分提供者就成了驗證使用者身分的唯一方式。您在身分提供者上所設定的任何程序、規則與安全性功能,都會套用到使用 Dropbox 的使用者身上。 Dropbox 本身所提供的安全性功能,如兩步驟驗證或重設密碼,將不再作用,因為您的身分提供者已經負責處理所有的驗證程序了。您可以透過您的身分提供者,增加更多的安全性防護功能。

如果您將單一登入設定為非必要,終端使用者仍可以使用 Dropbox 的兩步驟驗證,也可以重設密碼。

回文章頂端

如果我們的身分提供者發生問題該怎麼辦?

身為企業帳戶的管理員,您還是可以使用您的電子郵件和 Dropbox 密碼登入 Dropbox 網站。您可以視需求將單一登入功能關閉,或是設定為非必要模式。

回文章頂端

身為管理員,使用我的單一登入憑證登入跟用 Dropbox 憑證登入有什麼差別?

使用您的單一登入憑證登入 Dropbox 時,無須輸入密碼。如果您未將密碼欄位留空,Dropbox 會認為您想以 Dropbox 憑證登入。

如果您是管理員,當您使用 Dropbox 的密碼登入帳戶時,您仍然能使用兩步驟驗證。

回文章頂端

已經與 Dropbox 連結的電腦和行動裝置會怎麼樣?

所有已經連結到 Dropbox 帳戶的電腦和行動裝置,都會照常運作不受任何影響。不過,如果使用者需要重新連結裝置、或是新增一台裝置,他們需要使用最新版本的桌面應用程式行動應用程式,才能使用單一登入功能。

回文章頂端

InCommon 是什麼?

InCommon Federation (通常簡稱 InCommon) 是存取網路資源值得信賴的共享管理架構。對 Dropbox 來說,這代表我們的單一登入 (SSO) 版本符合 InCommon 標準。進一步瞭解如何設定支援 InCommon 的單一登入機制。

回文章頂端

這篇文章有回答您的問題嗎?

我們覺得很遺憾。若有什麼可以改善的地方,請告訴我們:

感謝您的意見。

社群答案
    社群答案

      其他取得協助的方式

      社群

      Twitter 支援服務

      指引協助

      其他取得協助的方式

      社群

      Twitter 支援服務

      指引協助

      其他取得協助的方式

      社群

      Twitter 支援服務

      Contact support