シングルサインオンの概要
シングルサインオン (SSO) は、単一の資格情報を使用して複数の異なるアプリケーションにログインできる、ユーザーの認証方法です。 SSOを使用すれば、1つのパスワードですべてのアプリケーションにアクセスできるため、パスワードを入力する手間やヘルプデスクに問い合わせる回数が低減します。 特に、従業員が会社の資格情報を使用してさまざまなアプリケーションにアクセスするといった企業環境で役に立ちます。BoxでのSSOのサポート
SSO認証は、BusinessアカウントおよびEnterpriseアカウントで使用できます。 BoxはSAML 2.0によるSSOをサポートし、SSOのサービスプロバイダ (SP) の役割をします。 クライアントは、IDプロバイダ (IdP) として機能するためにフェデレーションサービスを実装する必要があります。 IdPは、ユーザーストアに接続されたユーザー管理ツールであり、管理者または共同管理者はこれを使用して、企業のアプリケーションへのアクセス権限を定義できます。 フェデレーションは、組織内プロバイダまたはサードパーティ製プロバイダを使用して構築が可能です。 一般的に使用されるサードパーティIdPは以下のとおりです。- ADFS 2.0/3.0
- Google Cloud
- Okta
- OneLogin
- ユーザーが自社ブランドのサブドメイン (例: mycompany.box.com) で [続ける] をクリックします。
- BoxからIdPにリクエストが転送されます。 ユーザーはIdPログインページにリダイレクトされます。
- ユーザーが会社の資格情報を使用してログインします。
- ユーザーストアの情報をもとにユーザーを検証します。
- SAMLアサーションがBoxに返信されます。 IDプロバイダからのSAMLアサーションの応答には、少なくともユーザーのメールアドレスが含まれている必要があります。 メールアドレスは、Boxアカウントのユーザーに対応したものでなければなりません。 ユーザーの姓と名の属性も通常はパラメータとして送信されますが、これらはSSOを有効にするために必須ではありません。
- ユーザーのセッションが認証され、Boxアカウントにログインします。
注:
BoxでのSSOは認証方法であり、統合された機能ではありません。 ユーザーストアの個々のアカウントをBoxのユーザーアカウントに同期する方式はありません。
BoxでのSSOは認証方法であり、統合された機能ではありません。 ユーザーストアの個々のアカウントをBoxのユーザーアカウントに同期する方式はありません。
シングルサインオンの設定
前提条件:
- BoxのBusinessまたはEnterpriseアカウント。
- プライマリ管理者、または [レポートと設定] セクションで少なくとも以下の権限が選択されていて共同管理者の権限を持つ管理対象ユーザー。
- 会社の設定とアプリを表示する
- 会社の設定とアプリを編集する
ユーザーによるSSOの設定
管理者および共同管理者がシングルサインオンを各自で設定できるオプションがあります。 Boxのサポートなしで企業のセキュリティ設定を行う場合でも、シングルサインオンの設定および有効化は簡単にできます。 必要な3つの手順を以下に示します。- SSOを構成する
- SSOをテストする
- SSOを必須にする
注: SSO有効モードを有効にすると、ユーザーは、SSOまたは自分のBox資格情報を使用してサインインできるようになります。 SSO必須モードが有効になると、ユーザーはSSO経由でのみログイン可能になります。
- [管理コンソール] > [Enterprise設定] に移動します。
- [ユーザー設定] タブをクリックします。
- [すべてのユーザーのシングルサインオン (SSO) の構成] セクションで [構成] をクリックします。
- IDプロバイダ (IdP) を選択します。 プロバイダがリストにない場合は、SSO設定のサポートフォームからBoxにSSOの設定を依頼してください。
- SSOメタデータファイルをアップロードします。 メタデータファイルがない場合やメタデータファイルの更新が必要な場合は、SSO設定のサポートフォームからBoxにSSOの設定を依頼してください。
- [送信] をクリックします。
- [管理コンソール] > [Enterprise設定] に移動します。
- [ユーザー設定] タブをクリックします。
- [すべてのユーザーのシングルサインオン (SSO) を有効化] セクションで、[SSO有効モード] を有効にします。
- [管理コンソール] > [Enterprise設定] に移動します。
- [ユーザー設定] タブをクリックします。
- [すべてのユーザーのシングルサインオン (SSO) を有効化] セクションで、[SSO有効モード] を無効にし、[SSO必須モード] を有効にします。
- [SSO必須モードを有効化] ダイアログボックスで、両方のチェックボックスをオンにし、[すべてのユーザーに対して有効化] をクリックします。
- 管理コンソールでの重要な操作に多要素認証が必要で説明されている方法を使用して、MFAでこの変更を認証します。
シングルサインオンの無効化
シングルサインオンを無効にするには、[SSO必須モード] の切り替えを無効にします。 セキュリティ上の理由により、SSOの無効化は「重要な操作」と見なされ、完了するには多要素認証 (MFA) が必要です。技術情報
以下のリストは各IdPの設定ファイルです。Okta
- Oktaメタデータファイル (metadata.xml)
ADFS
- firstnameAttribute =
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname - lastnameAttribute =
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname - emailAttribute =
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Entra ID
- firstnameAttribute =
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname - lastnameAttribute =
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname - emailAttribute =
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name - oidAttribute =
http://schemas.microsoft.com/identity/claims/objectidentifier - tenantidAttribute =
http://schemas.microsoft.com/identity/claims/tenantid
Google Cloud
- firstnameAttribute =
firstName - lastnameAttribute =
lastName - emailAttribute =
SAML_SUBJECT
OneLogin
- firstnameAttribute =
firstName - lastnameAttribute =
lastName - emailAttribute =
SAML_SUBJECT
BoxでのSSOの設定
注:
- FTPアプリケーションはSSOをサポートしません。 これらのアプリケーションを使用する必要がある場合、ユーザーは外部パスワードを任意で作成することができます。
- 一定の日数が経過すると管理者および共同管理者がパスワードのリセットを強制できる管理コンソール設定は、ユーザーの外部パスワードにのみ適用されます。 この設定は、SSOの資格情報には影響しません。
IdPの要件
- SPが開始したSSOをサポートすること
- SAML 2.0に対応すること
接続の設定に必要なBoxの情報
- エンティティID: box.net
- セキュリティトークンコンシューマURL: https://sso.services.box.net/sp/ACS.saml2
- 公開証明書
Boxへの提出が必要なIDプロバイダの情報
- エンティティID、接続ID、または外部キー
- リダイレクトURL
- 公開証明書
- 上記のすべての情報を含むメタデータファイル
ADFS 2.0/3.0 | SSOの設定にはメタデータxmlファイルが必要です。 ADFSメタデータファイルの入手方法:
| ヘルプ記事 |
Entra ID | SSOの設定にはメタデータxmlファイルが必要です。 Entra IDメタデータファイルの入手方法:
| ヘルプリンク |
Bitium | SSOの設定にはメタデータxmlファイルが必要です。 Bitiumメタデータファイルの入手方法:
| |
Entrust Identity | SSOの設定にはメタデータxmlファイルが必要です。 Entrust Identityメタデータファイルの入手方法:
| ヘルプリンク |
Google Cloud | SSOの設定にはメタデータxmlファイルが必要です。 Google Cloudメタデータファイルの入手方法:
| ヘルプリンク |
Nopassword (WiActs) | SSOの設定にはメタデータxmlファイルが必要です。 NoPasswordメタデータファイルの入手方法:
| |
MobileIron | SSOの設定にはメタデータxmlファイルが必要です。 MobileIron Accessメタデータファイルの入手方法:
| |
Okta | SSOの設定には、外部キー、リダイレクトURL、および公開証明書が必要です。 情報の入手方法:
| 設定ガイド |
OneLogin | SSOの設定にはメタデータxmlファイルが必要です。 OneLoginメタデータファイルの入手方法:
| 設定ガイド |
PingIdentity | SSOの設定にはメタデータxmlファイルが必要です。 このxmlファイルには、以下のメタデータが含まれている必要があります。
PingIdentityメタデータファイルの入手方法:
詳細については、PingIdentityドキュメントのPingFederateからのSAMLメタデータのエクスポートに関するトピックを参照してください。 | |
その他/カスタムIdP | ご利用のIdPに直接お問い合わせいただき、メタデータファイルまたはエンティティID、リダイレクトURLおよび署名証明書を入手してください。 この情報をもとにSSO設定のサポートフォームに入力します。 |
をクリックします。情報:
SSOは、Box Driveアプリにも有効です。詳細については、Box Driveの基本的な使用方法を参照してください。
SSOは、Box Driveアプリにも有効です。詳細については、Box Driveの基本的な使用方法を参照してください。
SSOアカウントの設定
アカウント作成の通知メール
SSO必須モードが有効になると、アカウント作成の通知メールも抑制できるようになります。 [管理コンソール] > [Enterprise設定] > [通知] タブで設定できます。
SSOログアウトURL
デフォルトで、Boxからログアウトしたユーザーは自社のBoxログインページに戻ります。 ただし、Boxはシングルログアウト (SLO) をサポートしていないので、ユーザーは会社のIdPで認証されます。このため、ユーザーが [続ける] ボタンをクリックすると自動でBoxアカウントにリダイレクトされ、メールアドレスとパスワードを入力する必要はありません。 BoxからログアウトしてもIdPセッションからログアウトしないことをユーザーに知らせるため、BoxをログアウトするときのリダイレクトURLを変更できます。 例として、IdPのホームページやIdPのログアウトページをURLに使用できます。カスタムログアウトURLの設定
ご希望のログアウトURLをBox担当者にご連絡ください。SSOのオンザフライ登録 (自動プロビジョニング)
ユーザーがはじめてBoxにログインするとき、アカウントのプロビジョニングが自動で行えます。 IdPはユーザーを検証して、アカウントの取得を許可することをBoxに通知します。 ユーザーにアカウントを許可しない場合は、IdPを通じてセキュリティグループなどの制約を課して、BoxにSAMLアサーションを送らないようにしてください。 これらのアカウントの作成は、管理コンソールでアカウント管理者または共同管理者が定義した新規ユーザー設定 ([管理コンソール] > [Enterprise設定] > [ユーザー設定] > [新規ユーザーの初期設定]) を使用して行います。 これらのアカウントを作成するためには、SAMLアサーションの中にユーザーの姓名およびメールアドレスが含まれている必要があります。 SAMLアサーションの姓名属性が使用されるのはアカウントの作成プロセスのみとなります。SSO自動プロビジョニングの設定:
SAMLアサーションで使用する姓名属性をBox担当者にご連絡ください。自動登録
自動登録を有効にすると、ユーザーは会社メールアドレスを使用して無料のBoxアカウントを作成できなくなります。
SSOを使用したBoxのグループ登録
SSO有効またはSSO必須のアカウントに対して管理者または共同管理者は、Boxに配置したユーザーストアにグループを設定することができます。 これは、SAMLアサーションを使用したユーザーストアからBoxへの1方向の通信となります。 SSOを使用してBoxにログインしたユーザーは、ユーザーストア内のグループとBox管理者または共同管理者が選択した設定に応じて、グループに追加またはグループから削除することができます。 SAMLアサーションには、グループ情報を伝えるための属性が必要です。 既存のSSO接続については、変更が必要になる場合があります。 グループ情報は、複数値の属性を使用して送信されます。
- SSOにOktaまたはGoogle Cloudを使用している場合、このいずれかのIdPに対してSSOを有効にし、メタデータファイルをアップロードすると、[ユーザーグループ設定] セクションが表示されます。
- SSOにOneLogin、ADFS (Active Directory)、またはSAMLグループに対応するその他のIdPを使用している場合は、サポート担当者に問い合わせて、[ユーザーグループ設定] セクションを有効にしてください。
- SSOユーザーのログイン時に新規グループを追加 – ユーザーを含むグループが送信されて、Boxのグループに完全一致する名前がない場合、このグループは新しいBoxグループとして追加されます。 このグループには管理コンソールで権限を手動で割り当てる必要があります。 この設定を使用すると、複数のグループの正確な名前を管理者アカウントの元に集約できます。
- SSOユーザーのログイン時にグループにユーザーを追加 – ログインSAMLアサーションでグループが送信され、そのグループが既存のBoxグループの名前と一致した場合、ユーザーはそのBoxグループに追加されます。 この設定と次の設定 (「ユーザーを削除」) が有効になっている場合は、毎回のログイン時に、ユーザーストアのグループメンバーシップによってBoxユーザーのグループメンバーシップが更新されます。
- SSOユーザーのログイン時にグループからユーザーを削除 – 現在ユーザーが既存のBoxグループに含まれ、ログインSAMLアサーションでグループが送信されない場合、ユーザーはそのBoxグループから削除されます。 この設定と前の設定 (「ユーザーを追加」) が有効になっている場合は、毎回のログイン時に、ユーザーストアのグループメンバーシップによってBoxユーザーのグループメンバーシップが更新されます。
制限事項
- ネストグループはサポートされません。 グループ階層は折りたたんだ状態である必要があります。 必要に応じてグループ階層の折りたたみが可能であるか、ご利用のIdPにお問い合わせください。
- この方式は (SAMLによる) 1方向の通信です。 Boxのグループに対する変更は、ユーザーストアには反映されません。 ユーザーストアに変更が適用されないと、ユーザーのグループメンバーシップは次回のログイン時に元の設定に戻ります。
- グループメンバーシップはユーザーのログイン時に同期されます。 ユーザーがログアウトしないと、新しいSAMLアサーションが送られず、ユーザーのグループメンバーシップが最新でなくなる場合があります。
- SSOでは、ユーザーのグループメンバーシップの作成と更新が可能です。
- グループ権限は、BoxウェブアプリまたはAPIを使用して手動で割り当てる必要があります。
SSOを使用したユーザーアカウントのメールエイリアスの追加
SSOを有効にしたEnterpriseアカウントでは、管理者または共同管理者がSSOを使用してメールエイリアスを設定できます。 SAMLアサーションは、メールアドレス情報を伝えるため2つの個別の属性を必要とします。 ユーザーがログインするアカウントを判別するための識別子として単一値の属性が使用されます。 この属性は、すべてのメール通知を受信するプライマリメールアドレスの判別にも使用されます。 メールエイリアスは、2番目の複数値属性で送信されます。制限事項:
- 追加できるのは、管理対象ドメイン内のメールアドレスのみです。 Boxアカウントにさらにドメインを登録する場合は、Box担当者までお問い合わせください。
- メールアドレスを関連付けられるのは、1つのBoxアカウントのみです。
- SSOを使用して最初に追加したエイリアスのみをSSOを使用して削除できます。