~はじめに~
本マニュアルは、Box と Gluegent Gate の連携を、最小限の設定で行う方法をご紹介しています。
本マニュアルの通りに設定を行うことで Box へのログインが Gluegent Gate を通して行われます。
ご用意いただくものは、Gluegent Gate の管理者ID / パスワードと、連携する Box の管理者情報です。
ステップ1:Box で「アプリ」の作成
ステップ2:Gluegent Gate で「シングルサインオン」の設定
ステップ3:Box へ「シングルサインオン」の設定を依頼
ステップ4:Gluegent Gateで「ユーザー」の新規登録
ステップ5:Gluegent Gateで「操作ログ」を確認
ステップ6:Gluegent Gateで「認証」の設定
ステップ7:Gluegent Gateで「アクセス権限」の設定
ステップ8:Box で「シングルサインオン」の設定
ステップ9:シングルサインオン(SSO)でのログインの確認
重要:
Gluegent Gate との連携は Business / Business Plus / Enterprise / Enterprise Plus でご利用いただけます。Box は Box 社の販売代理店様よりご購入ください。
ステップ1:Box で「アプリ」の作成
Box でアプリの作成を行います。
Box Developers にログインします。
「メールアドレス」と「パスワード」を入力し、「サインイン」をクリックします。
「アプリの新規作成」をクリックします。
アプリを作成したことがある場合には「アプリの新規作成」は画面右上に表示されます。
「カスタムアプリ」をクリックし、「次へ」をクリックします。
「標準OAuth 2.0 (ユーザー認証)」 をクリックし、「次へ」をクリックします。
アプリの名前(例:Gluegent Gate ドメイン名)を入力し、「アプリの作成」をクリックします。
「アプリの表示」をクリックします。
左メニューから「Configuration」をクリックします。
「OAuth 2.0 リダイレクト URI」「アプリケーションの範囲」を設定し「変更を保存」をクリックします。
- OAuth 2.0 リダイレクト URI
-
https://auth.gluegent.net/seciossadmin/index.php?action_saml_refreshtoken=true
- アプリケーションの範囲
- ユーザーを管理、グループを管理
表示された情報のうち「クライアントID」「クライアント機密コード」を後ほど使用しますので控えておきます。
ステップ2:Gluegent Gate で「シングルサインオン」の設定
Gluegent Gate 側に Box との ID 同期の設定を行います。
Gluegent Gate の管理画面にアクセスします。
左メニューの「シングルサインオン」→「クラウドサービス」の順にクリックします。
画面右上の「登録」をクリックします。
一覧から「Box」の操作アイコンをクリックします。
各項目を設定し「保存」をクリックします。
ドメイン
- Boxで契約しているドメインを入力します。
- シングルログアウト
- 必要に応じてチェックをオン/オフにします。
- ID同期
- オンにします。
- Box クライアントID
- 前項で表示された「クライアントID」を入力します。
- Box クライアントシークレット
- 前項で表示された「クライアント機密コード」を入力します。
「トークン取得」をクリックします。
承認画面が表示されますので、「Boxへのアクセスを許可」をクリックします。
「閉じる」をクリックします。
ステップ3:Box へ「シングルサインオン」の設定を依頼
シングルサインオンの設定は Box の代理店担当者への依頼が必要です。(SSOセットアップリクエスト(External)
依頼時には以下の情報が必要です。
- お客様名
- お客様の Box EID
- お客様が使用している IdP 名
- SAML Metadata ファイル
- SAML「SAML_SUBJECT に設定したい属性名
「お客様が使用している IdP 名」は「Gluegent Gate」です。
「SAML Metadata ファイル」はシングルサインオン>SAML>設定にてダウンロードいただけます。
→SAML(汎用SAML for SP) - 5. 付録(メタデータのダウンロード)
なお、ダウンロードしたメタデータの中で NameID フォーマットが transient になっていますが、Box 連携では persistent ですので以下のように変更してください。
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
↓
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat>
「SAML_SUBJECTに設定したい属性名」は「mail」です。
Box 連携に際して Gluegent Gate が発行する SAML アサーションでは、<saml:Subject> 要素内の <saml:NameID> 要素の値としてメールアドレスが入ります。
<saml:Subject>
<saml:NameID SPNameQualifier="box.net"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">メールアドレス</saml:NameID>
</saml:Subject>
このメールアドレスは Gluegent Gate ユーザーのメールアドレスであり、Box のメールアドレスと紐づく値となります。
上記リンク(SSOセットアップリクエスト(External )に記載されている情報を添付・依頼してください。併せて Box の代理店担当者へご依頼ください。
重要:
シングルサインオンの依頼後お客様環境の Box に適用されるのは 5 営業日程度かかります。設定に不備があり、再設定やシングルサインオンの解除を行う場合も同様に 5 営業日程度かかりますので、ご注意ください。
ステップ4:Gluegent Gateで「ユーザー」の新規登録
Gluegent Gate でユーザーを作成します。Box にもユーザーが作成されます。
Gluegent Gate の管理画面にアクセスします。
左メニューの「ユーザー」→「新規登録」の順にクリックします。
ユーザーの新規登録画面に遷移します。必要事項を入力します。
- ユーザーID
- Gluegent Gateのログイン画面で使用するIDです。(Boxに反映されません)
- 氏名
- 名前に反映されます。
- メールアドレス
- メールアドレスを入力します。
- パスワード
- ログインのためのパスワードを入力します。
- ユーザ状態
- 「有効」を選択します。
- 許可するサービス
- 「Box」のチェックをONにします。
「登録」をクリックします。
ステップ5:Gluegent Gateで「操作ログ」を確認
登録後、ログで正しく Box にユーザーが作成されたかを確認します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「ログ」→「システムログ」の順にクリックします。
ログ一覧で「操作ログ」を選択し、「適用」をクリックします。
その他の検索項目は必要に応じて設定します。
Gluegent Gateへの追加ログと Box への追加ログが表示されます。
「(Box)」が付いているものが Box への追加ログです。
成功した処理は黒いテキスト、失敗した処理は赤いテキストで表示されます。
ステップ6:Gluegent Gateで「認証」の設定
認証ルール(本人確認のための処理)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「認証」→「新規登録」の順にクリックします。
認証ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
- 任意の値を入力します。(例:rule_web)
- 認証方式
- 「ID/パスワード認証」のチェックをオンにします。
- クライアント
- 以下の 3 つのチェックをオンにします。
- ブラウザー PC
- ブラウザー スマートフォン
- ブラウザー タブレット
「登録」をクリックします。
ステップ7:Gluegent Gateで「アクセス権限」の設定
アクセス権限ルール(各種サービスへの認可の付与)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「アクセス権限」→「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
- 任意の値を入力します。(例:for_web)
- アクセス先のサービス
- 「Box」のチェックをオンにします。
- 要求される認証方式
- 「ID/パスワード認証」のチェックをオンにします。
- クライアント
- 以下 3 つのチェックをオンにします。
- ブラウザー PC
- ブラウザー スマートフォン
- ブラウザー タブレット
「登録」をクリックします。
ステップ8:Box で「シングルサインオン」の設定
ステップ3 のシングルサインオンの設定依頼が完了すると、ログイン時に Gluegent Gate を経由したログインが可能となります。
Box の管理者権限を持つユーザーで Box にログインし、「管理コンソール」にアクセスします。
「管理コンソール」にて Enterprise設定>ユーザー設定 をクリックします。
「シングルサインオン(SSO)の設定」にて「SSO有効モード」のチェックをオンにします。また、シングルサインオンの設定に問題があった場合でもBoxのID/パスワードを使ったログインも可能です。
Gluegent Gate 経由のログインを必須にするには Box の管理コンソールにて「SSO必須モード」への切り替えが必要です。
注意:
「SSO必須モード」のチェックをオンにすると Gluegent Gate を経由したログインが必須となります。「SSO有効モード」で問題がないことを確認した上でチェックをオンにしてください。
ステップ9:シングルサインオン(SSO)でのログインの確認
作成したユーザーにて、Gluegent Gate を経由したログインができることを確認します。
Box へのログインは通常通り http://app.box.com/login で可能です。
通常のログイン画面でメールアドレスを入力し、「次へ」をクリックします。
パスワード入力画面下部の「SSOでサインイン」をクリックすると Gluegent Gate のログイン画面に遷移します。
アカウント設定の際に「ログインアドレス」を使用すると Box のメールアドレスの入力不要で Gluegent Gate のログイン画面からログインが可能です。
例) https://example.app.box.com/login
「続行」をクリックすると Gluegent Gate のログイン画面に遷移します。
以下を入力して「ログイン」をクリックします。
- ユーザー名
- 「ステップ4」 Gluegent Gate の「ユーザー」の新規登録で指定したユーザー名(ユーザーID の @ より前の部分)
- パスワード
- 新規登録時に設定したパスワード
初回ログイン時のみパスワードの変更画面が表示されます。
新しいパスワードを入力し、「更新」をクリックします。
パスワード変更後、Box に自動的に遷移します。遷移しない場合は画面上の「次へ」をクリックしてください。
Gluegent Gate が Box にアクセス可能かを確認し、アクセス可能と判断されれば、Box へのログインに成功します。