Cấu hình Single sign - on

Nếu bạn đã sử dụng một nhà cung cấp nhận diện hoặc Active Directory tại công ty của bạn, đăng nhập một lần (SSO) làm cho cuộc sống dễ dàng hơn và an toàn hơn cho doanh nghiệp của bạn.


Dropbox sử dụng bảo mật và được  áp dụng rộng rãi thông qua công nghệ tiêu chuẩn Security Assertion Markup Language 2.0 (SAML 2.0), có nghĩa là chúng tôi triển khai SSO tích hợp dễ dàng với bất kỳ nhà cung cấp nhận diện lớn hỗ trợ SAML 2.0. Chúng tôi cũng hỗ trợ AD FS.


Dropbox đã hợp tác với một số nhà cung cấp nhận diện, bao gồm Ping Identity, OneLogin, Okta, và Centrify, để cung cấp một ứng dụng được cấu hình sẵn làm cho thiết lập dễ dàng hơn.


Tất nhiên, vì Dropbox sử dụng SAML 2.0, bạn vẫn có thể sử dụng SSO với bất kỳ nhà cung cấp nhận diện nào có hỗ trợ SAML,  hoặc thậm chí bạn có thể tự triển khai SSO của riêng bạn.


Lưu ý: Chỉ có đội ngủ quản trị viên mới có thể cấu hình SSO.


Cấu hình SSO với một trong những đối tác của Dropbox


Để bắt đầu, hãy vào trang web của nhà cung cấp nhận diện của bạn và làm theo hướng dẫn để cấu hình Single sign-on.


Một khi bạn đã xem qua thiết lập của nhà cung cấp nhận diện của của bạn:

  1. Đăng nhập vào Dropbox với tài khoản quản trị của bạn và bấm vào Admin Console trong thanh bên trái.

  2. Trong Admin Console, nhấp vào Authentication trong thanh bên.

  3. Bên dưới Single sign-on, chọn ô Enable Single sign-on.

  4. Chọn để xem tùy chọn và yêu cầu của single sign-on.

  5. Nhập vào Sign in URL mà bạn đã nhận trước đó từ các nhà cung cấp nhận diện.

  6. Nhấp vào nút Choose certificate. Tải lên các tập tin chứng nhận X.509 là .pem bạn nhận được từ các nhà cung cấp nhận diện trước đó.

  7. Nhấp vào nút Save changes.


Sử dụng SSO


Dưới đây là một số thông tin quan trọng về SSO khi bạn đã cấu hình.


Chuẩn bị người dùng của bạn


Nếu bạn thực hiện yêu cầu single sign-on, Dropbox sẽ tự động thông báo cho thành viên trong nhóm bằng email. Nếu bạn thực hiện tùy chọn single sign-on, bạn sẽ cần phải thông báo cho chính mình. Bạn có thể tải về một mẫu email từ phần single sign-on của Admin Console.


Truy cập vào trang web


Khi single sign-on được bật, người dùng có thể đăng nhập vào Dropbox bằng cách nhập địa chỉ chỉ email của họ và để lại trống ô mật khẩu. Dropbox sẽ chuyển hướng họ đến trang đăng nhập của nhà cung cấp nhận diện của bạn, nơi mà họ có thể nhập thông tin đăng nhập của họ.


Là một phần của thiết lập SSO, chúng tôi sẽ cung cấp cho bạn một URL Dropbox tùy chỉnh. URL này sẽ cho phép người dùng đi trực tiếp vào tài khoản Dropbox trực tuyến của họ nếu họ đã đăng nhập vào nhà cung cấp nhận diện của bạn.


Liên kết các máy tính và các thiết bị di động


Tất cả các máy tính và các thiết bị di động hiện đang kết nối với tài khoản Dropbox sẽ tiếp tục làm việc như bình thường. Nếu họ không đăng nhập vào nhà cung cấp nhận diện của bạn, họ sẽ được tự động chuyển hướng để làm như vậy. Họ cũng sẽ được nhắc nhở để làm một vài bước đơn giản khác:

  • Khi người dùng kết nối một máy tính, Dropbox sẽ dẫn họ để sao chép mã liên kết đặc biệt từ các trang web và dán nó vào ứng dụng.

  • Khi người dùng kết nối một thiết bị di động, họ sẽ được yêu cầu chấp thuận yêu cầu để kết nối các ứng dụng vào tài khoản của họ.


Cấu hình SSO với một nhà cung cấp nhận diện thay thế


Nếu bạn muốn cấu hình giải pháp của riêng bạn hoặc sử dụng một nhà cung cấp nhận diện khác nhau, đây là các thông số bạn sẽ cần:

  • Dropbox sử dụng SAML2 với HTTP chuyển hướng liên kết  SP với IdP và chờ HTTP bổ sung liên kết IdP với SP.

  • Dropbox URL post-back (còn gọi là Assertion Consumer Service URL) là https://www.dropbox.com/saml_login

  • Dropbox đòi hỏi NameID chứa địa chỉ email của người dùng. Về mặt kỹ thuật, chúng tôi mong đợi:  Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"

  • Nhà cung cấp nhận diện của bạn có thể yêu cầu nếu bạn muốn đăng nhập xác định SAML, phản hồi SAML, hoặc cả hai. Dropbox đòi hỏi sự phản hồi từ SAML được đánh dấu. Bạn có thể chọn đánh dấu hoặc không đánh dấu để xác định SAML.


Bạn sẽ cần phải tìm hai mẩu thông tin để cung cấp cho Dropbox:


  • Một URL trang đăng nhập (còn gọi là URL đăng nhập).

  • Một giấy chứng nhận X.509. Đây là một chứng chỉ bảo mật mà bạn thường nhận được từ nhà cung cấp nhận diện của bạn và phải ở định dạng .pem.


Sử dụng Directory Connector Active để giữ cho đội ngũ của bạn được đồng bộ với Business Dropbox

Tiết kiệm thời gian với những kết nối Active Directory (AD nối). Kết nối AD có thể xử lý cả việc cung cấp và ngừng cung cấp các giấy phép cho đội ngũ Dropbox doanh nghiệp của bạn, và có thể quản lý sự đồng bộ hóa tự động này.


Những điểm chính:

  • Kết nối AD có thể (tùy chọn) đồng bộ các nhóm Active Directory và các thành viên trong nhóm với nhóm Dropbox doanh nghiệp của bạn

  • Tất cả các thành viên trong nhóm phải là thành viên hoạt động trong một môi trường AD đơn và rừng để sử dụng kết nối AD

  • Yêu cầu PowerShell 4.0 hoặc cao hơn

  • Windows Server 2008 (hoặc sau này) là bắt buộc

  • Yêu cầu Remote Server Administrative Tools

  • Chúng tôi khuyên bạn nên tạo một nhóm duy nhất được gọi là "Dropbox" có chứa tất cả các thành viên mà bạn muốn cung cấp. Bạn có thể đặt cả người dùng và các nhóm trong các nhóm Dropbox

  • Kết nối AD chỉ đồng bộ những thay đổi bắt nguồn từ AD; chúng tôi khuyên bạn nên cài đặt kết nối AD trên một máy chủ với quyền truy cập chỉ đọc

  • Kết nối AD hiện chỉ đang có sẵn bằng tiếng Anh


Hãy bắt đầu sử dụng kết nối AD


Đầu tiên, tải về kết nối AD. Sau đó:

  1. Xác định vị trí và chạy cài đặt Dropbox-AD-Connector.msi.

  2. Bấm Next để tiếp tục thông qua  các wizard cài đặt.

  3. Đánh dấu vào ô chấp nhận các điều khoản, và nhấp vào Next.

  4. Bấm Next để cài đặt đường dẫn mặc định.

  5. Nhấp vào Install, và sau đó chọn Yes nếu User Account Control (UAC) sẽ nhắc bạn.

  6. Getting Started được chọn mặc định — nếu bạn đã có hướng dẫn này, thì bỏ chọn nó.

  7. Chọn Finish để hoàn tất việc cài đặt.

  8. Nhấp vào Done để gửi lời mời email và để trở về màn hình Files requests.


Lưu ý: Nhấp vào đây để xem hướng dẫn cài đặt chi tiết cho các công cụ cấu hình AD Connector.