フォローする

Box - BoxでSSO(シングルサインオン)を利用する

BoxでSSO(シングルサインオン)を利用する

Boxで実装可能なシングルサインオンの方法はいくつか存在します。その中で最も安全な方法はフェデレーションを使用しIdP(アイデンティティプロバイダ)とサービスプロバイダ間で通信する方法です。
企業のWeb環境で最も一般的に実装されているフェデレーションは、SAML(Security Assertion Markup Language) です。

BoxはSAML 2.0の認証に対応したシングルサインオンをサポートしています。BoxでSSOを使用可能にするためには、SAML 2.0 またはそれ以上のバージョンをサポートするIdP(アイデンティティプロバイダ)が必要になります。

Box はIdP(アイデンティティプロバイダ)と通信して情報を取得し、その情報はBox へアクセスするために利用されます。Webブラウザからの接続やモバイルアプリからのアクセス、Box Sync と同期する場合など全ての Box へのアクセスで利用されます。

ユーザが SSO を使用してBoxと接続するには下記の2つの方法があります。

  • IdPからセッションを開始する方法 (IdP-initiated)
  • Box ログイン画面を使用する方法 (Box-initiated)

アイデンティティプロバイダから Box への接続
IdP-initiated SSO は、企業用にカスタマイズしたポータルを使用することです。ユーザはポータルから全ての認証済みアプリケーションへアクセスできます。ポータルで認証し、 リンクやアイコンを単にクリックするだけで、再認証することなくアプリケーションへアクセスできます。

• IdP は 256 ビットSSL を使用して SAML アサーションを Box と交換し、Box アプリケーションでユーザーを認証します。
• Box はユーザーを認証し、それぞれのアカウントへアクセスさせます。
このすべてが、Box アカウントでユーザー認証することなく透過的に行われます。

Boxログイン画面でSSOを開始
このモデルではユーザーは Box ログインページヘ移動し、パスワードの入力をするのではなく、IdP の情報を使用して接続オプションを選択します。
ユーザが IdP で認証されていない場合は、IdP ログインページヘリダイレクトされ、そこでパスワードを入力します。認証されると Box アプリケーションへリダイレクトされます。
ユーザーが既に IdP で認証されている場合は、Box と IdP は SAML アサーションをバックグラウンドでSSLを介して交換し、Box がユーザーを認証してアカウントを開始します。

実装方法

  • 自社による実装。社内LDAPやActive Directoryなどと SAML フェデレーションソフトウェアを使用して、企業内にIdPを実装できます。Windows や Unix、Linux ツールを使用してインテグレーションを行う場合は企業内の統合作業や専門知識、サポートなどが必要になります。
  • IdPとしてサードパーティSSOプロバイダを利用する。この方法の利点は、迅速かつ堅牢なSSO が利用できる点にあります。また、Box などの Web アプリケーションでプロビジョニング機能が使用できる点も大きな利点です。ほとんどのサードパーティSSOソリューションには、一般的に利用される Active Directory (AD) などが統合されています。

Box と親和性の高いさまざまなサードパーティ SSO ソリューションについてはお問い合わせください

パートナーアプリケーションからBoxへのSSO
Box は、API やフェデレーションプロトコルを介して多くのパートナークラウドアプリケーションと SSO に
よる統合がなされています。これにより、Salesforce や Google Apps を利用中のユーザは、2度ログインすることなくBoxアカウントへアクセスすることができます。

 

 

コメント