Okta

Box用SAML 2.0の構成方法

目次


対応機能

Okta/BoxのSAML統合では現在、次の機能をサポートしています。

記載されている機能の詳細についてはOkta Glossary(Okta用語集)をご覧ください。


構成手順

構成の詳細については、Boxのエンタープライズ向けのシングルサインオン(SSO)の設定を参照してください。

  1. プライマリ管理者としてBoxアカウントにログインします。

  2. [Admin Console(管理コンソール)]をクリックします。

    ログインし、[Admin Console(管理コンソール)]をクリックします

  3. [Enterprise Settings(エンタープライズ設定)] > [User Settings(ユーザー設定)] > [Configure Single Sign On (SSO) for All Users(すべてのユーザーのシングルサインオン(SSO)の構成)]に移動し、[Configure(構成)]をクリックします。

    [Enterprise Settings(エンタープライズ設定)] > [User Settings(ユーザー設定)] > [Configure Single Sign On (SSO) for All Users(すべてのユーザーのシングルサインオン(SSO)の構成)]に移動し、[Configure(構成)]をクリックします

  4. 次を入力します。

    • Identity Provider(IDプロバイダー)Oktaを選択します。

    • SSO Metadata File(SSOメタデータファイル):次のファイルをmetadata.xmlとして保存し、[Choose File(ファイルを選択)]をクリックしてファイルを見つけます。

      Okta管理者ダッシュボードにサインインして、この値を生成します。

    • [Submit(送信)]をクリックします。

    SAMLの構成で各値を入力します

  5. Boxがメタデータファイルを処理します。これには最大24時間かかる場合があります。

    Boxがメタデータファイルを処理します

  6. SSO接続が正常に作成されたという通知を受信したら、貴社のSSOを有効にできます。[SSO Test Mode(SSOテストモード)]の有効化から始めます。テストモードでは、SSO認証情報またはBox認証情報を使用してログインできます。続行する前に、SSO認証情報を使用してログアウトした後、再度ログインできることを確認してください。

    SSOテストモードを有効にしてSSO認証情報をテストします

  7. (任意)SSOを使用してBoxに正常にサインインおよびサインアウトできることを確認したら、アカウントを完全に保護するための準備は完了です。SSOをすべてのユーザーで必須にして、SSOの有効化を完了します。ユーザーは、Boxの認証情報でログインできなくなります。

    :この設定を有効にする前に、必ずSSOのログインフローをテストして確認してください。SSO認証情報が正しく機能していることをテストしないと、Boxアカウントからロックアウトされる可能性があります。

  8. 完了!


備考


SPが起点となるSSO

  1. https://[your-subdomain].box.comに移動します

  2. [Continue(続行)]をクリックします:

    https://[your-subdomain].box.comに移動し、[Continue(続行)]をクリックします


SAMLグループプッシュ

  1. Boxの連絡先でSSOグループ機能を有効にすると、[Admin Console(管理コンソール)] > [Enterprise Settings(エンタープライズ設定) ] > [User Settings(ユーザー設定)]で次の設定を使用できるようになります。以下は各設定の簡単な説明です。

    • Add new groups upon SSO user login(SSOユーザーログイン時に新しいグループを追加):グループがユーザーとともに送信された際にBox内のグループと完全に一致する名前が存在しない場合、そのグループは新しいBoxグループとして追加されます。Admin Console(管理コンソール)で、このグループにアクセス許可を手動で割り当てる必要があります。この設定を使用すると、1つの管理者アカウントに複数のグループの正確な名前を含めることができます。

    • Add user to groups upon SSO user login(SSOユーザーのログイン時にユーザーをグループに追加): 既存のBoxグループの名前と一致するグループがログインSAMLアサーションで送信されると、ユーザーはそのBoxグループに追加されます。この設定と次の設定(「Remove User(ユーザーの削除)」)を有効にすると、ユーザーストアのグループ メンバーシップは、ログインするたびにBoxユーザーのグループメンバーシップを更新します。

    • Remove user from groups upon SSO user login(SSOユーザーのログイン時にグループからユーザーを削除):ユーザーがその時点で既存のBoxグループに属していて、ログインSAMLアサーションでグループが送信されない場合、ユーザーはそのBoxグループから削除されます。この設定と前の設定(Add User(ユーザーの追加))が有効になっている場合、ユーザーストアのグループメンバーシップは、ログインするたびにBoxユーザーのグループメンバーシップを更新します。

    :SSOグループの3つのオプションをすべて有効にすると、ユーザーストアがBoxでのグループ作成とメンバーシップの信頼できるシステムになります。

    SSOグループ機能オプション

  2. OktaでBoxアプリの[Sign On(サインオン)]タブを選択し、[Edit(編集)]をクリックします。

    • Push Groups via SAML?(SAMLを介してグループをプッシュしますか?):このオプションをチェックします。

    • Group Filter(グループフィルター):グループのフィルタリングに使用される式を入力します。

    • [Save(保存)]をクリックします。

    Oktaでプッシュグループとグループフィルターを指定します

  3. これで、ユーザーのグループがSAMLアサーションの一部としてBoxに送信されます。