本記事では、OneLoginからBoxへのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Boxのライセンスが Business, Business Plus, Enterprise のいずれかであること
- Boxにおける管理者権限をお持ちであること *1
*1 Boxにおける管理者権限は、共同管理者を含みません。シングルサインオン設定を行う際には"管理者"権限を持つユーザーで実施してください。
注意事項
Box側でシングルサインオンの設定を申請してから完了するまでに最大24時間かかります。設定を実施される前にあらかじめご注意ください
1. OneLoginの設定
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
アプリケーションを検索 の検索欄に、 Box を入力しSAML2.0コネクタを選択します
- [Save]をクリックします
-
More Actions >[SAML Metadata] を選択します
-
Access タブへ移動し、Roles よりBoxへのアクセス権限を付与するロールを割り当てます
- [Save]をクリックして保存します
以上でOneLogin側の設定は完了です。
2. BoxのSAML連携の設定
- Boxに管理者としてログインし[管理コンソール]を開きます
- [Enterprise設定]をクリックします
- [ユーザー設定]をクリックします
-
すべてのユーザーのシングルサインオン (SSO) の設定 > [構成]をクリックし、SSO設定を行います
-
IDプロバイダ、SSOメタデータファイル に以下の値を設定します
Boxの項目 設定値 IDプロバイダ OneLogin SSOメタデータファイル OneLoginでダウンロードした SAMLメタデータファイル
- [送信]をクリックします
- [完了]をクリックします
- 管理者のメール宛にSSO設定完了通知が届きましたら次のステップに進んでください。SSO設定完了通知まで最大24時間かかります
-
すべてのユーザーのシングルサインオン(SSO)を有効化 > 手順1: 接続をテスト にある[SSO有効モード]のトグルボタンをクリックします
- [すべてのユーザーに対して有効化]をクリックします
以上の手順でSAML連携設定は完了です。
3. シングルサイオンの動作確認
- Boxのログインセッションがないプライベートブラウザを開き、Boxにアクセスできるロールを持つテストユーザーでOneLoginにログインしBoxのコネクタをクリックします
- 正しくサインオンされていることを確認します
以上でシングルサインオンの動作確認は完了です。
4. SAML連携の強制化
- シングルサインオンをすべてのユーザーに強制化するためには[SSO必須モード]のトグルボタンをクリックします。シングルサインオンが正常に動作しない状態で有効化してしまうと、管理者権限ユーザーもログインすることができなくなりますので十分にご注意ください
- 有効化する際は2つのチェックボックスにチェックを入れます
- [すべてのユーザーに対して有効化]をクリックします
以上でSAML認証の強制化は完了です。
5. SAML シングルサインオンの無効化
- Boxに管理者としてログインし[管理コンソール]を開きます
- [Enterprise設定]をクリックします
- [ユーザー設定]タブをクリックします
-
すべてのユーザーのシングルサインオン(SSO)を有効化 より[SSO必須モード]を無効化します
- 同様に[SSO有効モード]を無効化します
以上でSAML連携の解除は完了です。
6. トラブルシュート
-
管理者も含めすべてのユーザーがログインできなくなった場合
現状、Box側の仕様でSAML連携中にログインできなくなった場合の緊急ログイン方法はありません。万が一、ログインできない状態に陥った場合はBoxのサポートにお問い合わせください。