米国OneLogin社は、2020年9月にOneLoginのカタログコネクタ Box に関して User Provisioning 機能のアップデートを行いました。このお知らせでは、アップデート内容についてペンティオからご契約のみなさまへご案内いたします。
目次
最終更新日:2020年11月11日(水)
更新内容:
- 記事を公開しました
# OneLoginカタログコネクタ "Box" のアップデート内容
OneLoginはカタログコネクタ Box の User Provisioning 機能に、下記2つの機能追加または仕様変更を行いました。対象のコネクタは上記画像のものとなります。
- User Provisioningにより削除しようとしたユーザーが、Box上でコンテンツオーナーの場合でも強制的にBoxユーザーアカウントを削除するオプション
- User Provisioningにより削除しようとしたユーザーが、Box上でコンテンツオーナーの場合にユーザー削除に失敗すると、OneLoginのProvisioning Taskが Failed となる
## 従来発生していた課題
- Box上でコンテンツオーナーだった場合、Boxのユーザーアカウントを削除することができない
- Box上でコンテンツオーナーだった場合、Boxのユーザーアカウントを削除するプロビジョニングをOneLoginから実行しても、OneLogin上はプロビジョニング失敗とならず正常に削除されたかのような挙動となる
いずれの課題についても現在は解消しております。
## 1. コンテンツオーナーの強制削除に対応
❒ コンテンツ(例: bizportal.png)を所有しているユーザー(例: 吉川 くみ)のBox画面
❒ コンテンツオーナーをOneLoginから強制削除したOneLoginのイベントログ
Boxでは、OneLoginのようなIDaaSによりユーザーを管理している場合、なにかしらコンテンツを所有しているユーザー(コンテンツオーナー)を削除する場合に 強制削除する または 削除しない という2つの選択肢が用意されています。
OneLoginは従来、コンテンツオーナーを誤って削除することを防止するため、OneLoginが削除しようとしたユーザーがコンテンツオーナーだった場合にはBoxのユーザーアカウントを削除せず、そのままOneLogin上はプロビジョニングを完了扱いする特別な仕様をBox向けに定義しておりました。
しかしながら、昨今ではこのコンテンツ保護のためのこの特別な仕様がかえってBox利用者さまにおける諸課題、例えばユーザーがBoxで削除されたかどうかがわからない、完全な削除を実施したい、という別の課題となることが多くございました。
そこで多数のご要望の声を製品に反映するべく、このたびBox向けのコネクタについてコンテンツオーナーを強制削除するオプションを設定できる機能を実装し、OneLoginご利用企業のみなさまにコンテンツオーナーの強制削除を実施するか、実施しないかの選択権をご提供できるようになりました。
BoxとのUser Provisioningをご利用のお客様には、今後はより一層Boxとスムーズな連携をご利用いただければと存じます。
## 2. コンテンツオーナーの削除に失敗した場合にタスクが失敗する
❒ コンテンツオーナーをOneLoginから削除しようとして失敗した画面(強制削除を無効とする場合)
前述のとおり、OneLoginはこのたびBoxのコンテンツオーナーを無条件で強制削除する機能をオプションとして実装いたしました。そのためOneLoginの管理者は、OneLoginユーザーを削除した場合やOneLoginユーザーからBoxの利用権限を削除した場合にBoxのユーザーアカウントを強制削除するか、削除しないかを選択できるようになりました。
これとは別に、従来のOneLoginの仕様ではコンテンツオーナーが削除できないことはエラーではなく、Box APIの仕様に従えば正常な挙動であるため、コンテンツオーナーであることが原因でユーザープロビジョニングに失敗した(=Boxユーザーアカウントの削除に失敗した)場合には、OneLoginでは "(ユーザー名) could not be deleted in box." というログが記録され、プロビジョニング再実行の案内などは出さない挙動となっておりました。
今回のアップデートにより強制削除が実行できるようになりましたため、強制削除をしないケースではコンテンツオーナーの削除に失敗した際はOneLoginのユーザープロビジョニングを失敗として扱い、他のアプリケーションと同様に Retry 操作を管理者に促す挙動となりました。
# アップデートに関する設定変更手順
次に上記2つのアップデートに関連した設定変更手順をご案内いたします。なお、2. についてはお客様側での設定変更等はございません。
## 強制削除したい場合の設定変更手順
既にOneLoginからBoxへユーザープロビジョニングを実施されているお客様にご案内いたします。
本機能追加が行われたあとも、そのままの設定ではコンテンツオーナーの強制削除は行われません。下記手順を実施して以降、コンテンツオーナーであってもOneLoginのユーザーアカウントが削除された場合、あるいはRoleの割り当てが解除された場合にユーザーが強制削除されれるようになります。
*本設定はBox上のコンテンツを強制削除する設定になりますので、事前に社内のBox管理者の方への周知や影響範囲についてご確認をお願いいたします。
下記手順によりコンテンツオーナーの削除が可能になります。
- OneLogin 管理コンソールから Applications > Applications を開き、ユーザープロビジョニングを実施している Box コネクタを見つけて選択します
- Box コネクタを開き、Parameters タブを開きます
デフォルトのユーザープロビジョニング設定のままであれば、下記のような画面になります - 次に今回追加された下記2つの Optional Parameters について有効化します
(1) Force Content Delete ・・・ コンテンツを強制削除してユーザーも削除します
(2) Notify Owner on Delete ・・・ 削除に関するメール通知を行う(Box側の機能です)
この2つの設定は boolean 型になりますので、Value をチェックして強制削除を True とします
このときUser Provisioningの対象とするため ☑ Include in User Provisioning もチェックします - 強制削除の有効化と削除通知の設定が完了すると、下記のように Optional Parameters の表示が変化します。Status が ✔ Enabled となり、Value が True となっていることを確認します
- 最後にコネクタ設定を[Save]をクリックして保存します
以上で設定変更は完了です。この設定を行ったあとにBox利用者のOneLoginユーザーアカウントが削除されたり、Roleの割り当てが解除されるとBox側のコンテンツオーナーであった場合でもユーザーは強制的に削除されます。
# このお知らせを掲載した目的
弊社ペンティオからOneLoginに関するマイナーアップデートをお知らせする場合、毎月弊社からOneLoginをご契約頂いているみなさまに配信しておりますOneLoginご利用状況のお知らせ、最新ニュースのメルマガでご案内することがほとんどでございます。
このたびペンティオヘルプセンターに正式なお知らせとして詳細を公表させていただいたのは、皆様からのご要望を長らく頂いていた機能追加要望に関するアップデートであるため、広く本機能アップデートについて周知し、OneLoginをより一層ご活用いただきたい思いによるものです。
ペンティオならびに米国OneLoginは、今後もOneLoginをご利用いただくみなさまが簡単かつ確実に IAM、SSO、MFA の各機能をご利用いただけるよう継続してサービス改善に努めて参ります。
# 機能改善リクエストについて
OneLoginのサービスについて機能改善要望のあるお客様は、下記弊社テックブログ記事などをご参考にIDEASポータルから機能改善要望の投稿をお願いいたします。IDEASポータルは、日本のお客様に限らず世界中のOneLogin 管理者ユーザーが投稿・投票できる機能改善要望のコミュニティサイトです。
OneLoginにフィードバックや要望を伝えたいときはIDEAS Portalを活用しよう | ペンティオ Engineer's Blog
また新しいIDEAをご投稿いただきましたら、ぜひ弊社サポートにその旨ご連絡ください。
弊社担当者からも当該IDEAへ投票、コメントをさせていただくほか、弊社からOneLoginをご利用頂いている多数のお客様に毎月配信しております月例メールマガジンにて、ご紹介させていただく場合がございます。
日本のみなさまからのご要望について、これからもOneLoginゴールドパートナーとして米国OneLoginへしっかりと伝えてまいります。
最後にこの場をお借りして、本機能改善のきっかけを頂きましたお客様にお礼申し上げます。