在 Dropbox Sign 上启用 SAML SSO
Premium 方案的管理员可以在帐户设置或管理员控制台中启用 SAML SSO。
为了完成设置,您需要从 IDP 获取以下信息:
- 身份提供商单点登录网址
- 身份提供商颁发者
- X.509 证书
如何启用 SAML 单点登录
在帐户设置中:
- 登录您的帐户。
- 将光标悬停在右上角的电子邮件地址上。
- 从下拉菜单中选择我的设置。
- 点击左侧边栏中的团队,然后滚动至 SAML SSO。
- 输入 IDP 的信息,然后点击保存。
在管理员控制台中:
- 登录您的管理员帐户。
- 将光标悬停在右上角的电子邮件地址上。
- 从下拉菜单中选择管理员控制台。
- 点击左侧边栏中的安全,然后找到 SSO。
- 输入 IDP 的信息,然后点击保存。
注意:
- 首次设置 SAML 时,请勾选允许管理员使用标准方式登录选项,以便在设置失败时使用用户名和密码登录。如果不这样做,您可能无法访问帐户。
- Dropbox Sign 目前不支持 SCIM。
可选设置
允许管理员使用标准方式登录(建议在测试时使用)。
即使启用了 SAML SSO 登录,管理员也可以继续使用用户名和密码登录 Dropbox Sign。建议在测试期间使用。在确认 SAML SSO 连接能够正常运行后,您可以禁用此功能,以获得最佳安全性。
IDP 端设置
IDP 设置流程和默认值各不相同。请参阅以下使用 Okta 的示例。
1. 创建新的 SAML 2.0 Web 应用程序,并将其命名为“Dropbox Sign”。
2. 您需要为 IDP 提供以下信息,请按原样输入这些信息(区分大小写)。
- 登录 URL(ACS URL):https://app.hellosign.com/account/ssoLogIn
- 受众 URI(SP 实体 ID):https://app.hellosign.com
- 名称 ID 格式:EmailAddress
- 应用程序用户名:电子邮箱
- 属性声明:
- - 名字 --> user.firstName
- - 姓氏 -> user.LastName
3.(可选)加密 SAML 断言并上传 PEM 证书文件。PEM 证书文件位于本文底部的 附件部分。您可以保留截图中显示的标准默认值。
OneLogin
如果 OneLogin 是您组织的 SAML SSO 提供商,请注意以下几点:
- ACS 消费者 URL 和接收者字段
- ACS(消费者)URL 验证器字段
- ^https:\/\/app\.hellosign\.com\/account\/ssoLogIn$
Microsoft Azure AD
Dropbox Sign 设置
- 身份提供商单点登录 URL:
-
https://login.microsoftonline.com/xxxxxxx-xxxx-xxxx-xxxx-xxxxxx/saml2
- 在 AzureAD 中称为 "Login URL"
- 身份提供商发行方:
-
https://sts.windows.net/xxxxxxx-xxxx-xxxx-xxxx-xxxxxx/
- 在 AzureAD 中称为 "Azure AD Identifier"
- X. 509 证书:
- 使用 "Certificate (Base64)"
- 不包含 "-----BEGIN CERTIFICATE-----" 和 "-----END CERTIFICATE-----" ,为单行字符串(无换行符)
Azure AD 设置
- 标识符(实体 ID):
- https://app.hellosign.com
- 回复 URL(断言消费者服务 URL):
- https://app.hellosign.com/account/ssoLogIn
- 登录 URL:[空]
- 中继状态:[空]
- 用户属性和声明:
测试
完成两项设置后,找到您的 IDP,将新创建的 Dropbox Sign 应用程序分配给最初设置 SAML 的 Dropbox Sign 管理员。在新标签页中打开 Dropbox Sign 应用,确保您已退出登录。然后返回 IDP,点击 Dropbox Sign 的 SSO 链接。您将以该管理员帐户自动登录 Dropbox Sign。
您可以使用其他测试“成员”帐户重复此过程。测试完成且准备好切换后,您可以取消勾选允许管理员使用标准方式登录选项,并保存 SSO 设置。
附件
重要提示:此证书将于 2025 年 6 月 17 日过期。请做好计划,在此日期之前更新 2025 SAML 加密证书,以免服务中断。
评论
0 条评论
文章评论已关闭。