情報システム課の宮澤です。
今回は、OneLoginとBoxを連携させて、SAML認証を実現するための手順を紹介したいと思います。
必要な情報
BoxをOneLoginのようなSSOプロバイダと連携させる場合、Box社または、代理店経由での申請が必要になります。
申請を行う際は、以下の情報が必要になります。
- BoxのエンタープライズID
- Boxの管理者メールアドレス
- Boxのサブドメイン(https://xxxxxxx.app.box.comといった形式)
- OneLoginのメタデータ
- SSOを必須とするか、任意とするかの選択
- 必須:Box管理対象ユーザは必ずOneLogin経由でないとBoxサイトへのログインができなくなります。
- 任意:OneLogin経由しないで、Boxログイン用の外部パスワードを利用してログインすることもできます。
※FTPやWebDAV経由でBoxをご利用になる場合はSSOでは利用できないため、SSO任意とすることが推奨されます。
- AutoProvisioning設定を有効にするか、無効にするかの選択
- OneLogin経由でBoxにログイン時に、アカウントが存在しない場合にアカウントを自動作成する機能です。
- 有効にすると便利である反面、ライセンスが意図せず増加するリスクがあります。
Boxの情報を確認
BoxのエンタープライズID
BoxにOWNERアカウントでログインし"管理コンソール>歯車>Enterprise設定"の順に移動します。
移動して"アカウント情報"タブを選択すると”エンタープライズID”が記載されているので、そちらの情報を利用します。
Boxのサブドメイン
Boxのサブドメインは、先程から続き”Enterprise設定”画面の"カスタム設定"タブから確認できます。
OneLoginのメタデータ取得
OneLoginの管理者権限ユーザーでログインし、”APPS>Add Apps”に移動します。
アプリケーション検索欄に”Box”と入力して検索し、Boxのアプリケーションを押します。
画面遷移後、以下の画面に移動するので、下部の”SAML2.0”が選択されていることを確認して”SAVE”を押します。
最後に、メタデータを取得するために”MORE ACTIONS>SAML Metadata”を押して、メタデータファイルをダウンロードします。
SSO設定がされた状態で、FTPやWebDAVを利用する場合
SSO必須 + FTPやWebDAVを利用する場合、"(各個人の)アカウント設定>アカウントの一番下>外部パスワードを作成"に移動して外部パスワードを設定することで利用できます。 この外部パスワードはFTP、WebDAVのみに適用されるパスワードとなります。 ※こちらの設定は、SSOを必須とした場合のみ表示されます。
また、FTPを禁止する場合には管理コンソールの"Enterprise設定>アプリ>アプリケーションの個別管理"から禁止させることができ、WebDAVを禁止したい場合にはサポート経由でBoxに申請を行うことで、利用を禁止することができます。
まとめ
今回紹介した手順を行い、確認した情報(メタデータを含む)をBox社または、代理店に渡して申請することで、Box社でSSO設定が実施されます。
申請から三週間以内にBox側で作業が実施され、作業が完了するとOneLoginからBoxへのSSOが利用可能になります。
弊社では、OneLoginとBoxともに取り扱いしておりますので、気になることがありましたら、ぜひお問い合わせください。
https://www.serverworks.co.jp/contact