目次
AzureADを利用して、boxへのSAMLログインを設定する
トライアルでboxを触っているので、SAML設定をしてみました。
備忘録もかねて記事にします
AzureADアプリケーションギャラリーから追加
boxはAzureADのアプリケーションギャラリーに存在するため、ぽちっとするだけである程度設定しくれます
- 「すべてのアプリケーション」→【新しいアプリケーション】をクリックします
- boxを検索し、boxアイコンをクリックします(図は、AzureADギャラリー(プレビュー)を利用している画面です)
- 【作成】をクリックします
- 左ペインから「シングルサインオン」を選択し、【SAML】をクリックします
- 「基本的SAML構成」を編集し、以下のように設定し保存します
識別子(エンティティID) box.net
https://sso.services.box.net/sp/ACS.saml2応答URL https://sso.services.box.net/sp/ACS.saml2 サインオンURL https://自社サブドメイン.account.box.net/ - フェデレーションメタデータXMLをダウンロードします
- Boxを利用させたいユーザーまたはグループを割り当てておきます
box側の設定
- boxに管理者でログインします
- 「管理コンソール」をクリックします
- 「Enterprise設定」→「ユーザー設定」タブを開きます
- 少しスクロールし、SSOの設定欄にある【構成】をクリックします
- IdPプロバイダから「Azure」を選択し、ダウンロードしたXMLファイルを送信します
- Box社側での設定が必要になるため、完了メールがくるまで待ちます
今回は4時間くらいで登録が完了しました
- 設定が完了すると、ステータスが「ファイル認証済み」になります
SSOをテストする
- 上記手順と同様に、「Enterprise設定」→「ユーザー設定」タブを開きます
- SSO有効モードをONにします
- シークレットウインドウで、https://myapplications.microsoft.com/ へアクセスし、AzureAD側で割り当てたユーザーでログインします
- boxアイコンをクリックします
- 正常にboxへログインできることを確認します
SSOを必須にする
SSOが正常にできることを確認したら、SSOを必須へ変更します
- SSO必須モードを有効にします
- 警告ダイアログが表示されるので、内容をよく確認し、問題なければチェックを入れて、【すべてのユーザーに対して有効化】をクリックします
- 【保存】をクリックします
初回ログイン時のメールやパスワード設定画面を表示させないようにする
この状態で、新規ユーザーがboxへ遷移するとパスワード設定メールがユーザーに送られてしまいます
こういうメールがエンドユーザーに送信されてしまいます
SAMLなのにパスワード設定なんてしてほしくないので、この通知を抑制します
SSO必須モードの時のみ設定が表示されます
- 「Enterprise設定」→「通知」→【新規ユーザーアカウント作成メールを送信しない】を有効にします
- 【保存】をクリックします
プロビジョニング設定
AzureADからユーザーとグループをプロビジョニングする設定を追加します
- すべてのアプリケーションからboxを選び、左ペインの【プロビジョニング】をクリックします
- プロビジョニングモードを「自動」に変更します
- 「管理者資格情報」を展開し、【承認する】をクリックします
- boxの管理者アカウントでログインし、【承認】をクリックします
- ユーザーグループ共にbox側へ自動作成したい場合はマッピング設定は特にいじらず利用します
- 一度【保存】をクリックします
- プロビジョニング状態を、「オン」に変更し【保存】をクリックします
- しばらくすると現在の状態欄が変化します
エラー等が発生している場合には、監査ログを確認し問題を解決してください
関係ないけど、boxのロゴデータはここからダウンロードできます
