~はじめに~
本マニュアルは、Box と Gluegent Gate の連携を、最小限の設定で行う方法をご紹介しています。
本マニュアルの通りに設定を行うことで Box へのログインが Gluegent Gate を通して行われます。
ご用意いただくものは、Gluegent Gate の管理者ID / パスワードと、連携する Box の管理者情報です。
情報:
連携先クラウドサービス側の定期アップデートや仕様変更により、管理者画面やログイン画面のデザインやメニュー構成等が予告なく変更される場合がございます。
本マニュアルの記載や画像が実際の画面と異なる場合がございますので、あらかじめご了承ください。
ステップ1:Box で「アプリ」の作成
ステップ2:Gluegent Gate で「シングルサインオン」の設定
ステップ3:Box へ「シングルサインオン」の設定を依頼
ステップ4:Gluegent Gateで「ユーザー」の新規登録
ステップ5:Gluegent Gateで「操作ログ」を確認
ステップ6:Gluegent Gateで「認証」の設定
ステップ7:Gluegent Gateで「アクセス権限」の設定
ステップ8:Box で「シングルサインオン」の設定
ステップ9:シングルサインオン(SSO)でのログインの確認
重要:
Gluegent Gate との連携は Business / Business Plus / Enterprise / Enterprise Plus でご利用いただけます。Box は Box 社の販売代理店様よりご購入ください。
ステップ1:Box で「アプリ」の作成
Box でアプリの作成を行います。
Box Developers にアクセスの上、画面上の「Log in」ボタンをクリックしてください。
※ご利用の環境や設定によりBoxの画面が英語で表示される場合があります。
その場合は、必要に応じて画面内の言語設定メニュー等から日本語へ切り替えてご参照ください。
「メールアドレス」を入力し、「次へ」をクリックします。
「パスワード」を入力し、「ログイン」をクリックします。
「アプリの新規作成」をクリックします。
アプリを作成したことがある場合、下記の画面に遷移します。
画面右上「新規アプリ」のボタンをクリックしてください。
アプリの新規作成の画面が表示されます。
アプリ名を入力してください。
アプリ名は作成するカスタムアプリを識別するための名前です。
設定する名称に指定はありませんが、Gluegent Gate との連携用アプリであることが判別しやすい名称を推奨いたします。
アプリタイプは、「OAuth 2.0」 を選択してください。
「アプリの作成」ボタンをクリックしてください。
下記の画面に遷移します。
「構成」のタブにある「リダイレクトURI」を入力・追加してください。
リダイレクトURIは下記の2つの値をそれぞれ設定します。
https://auth.gluegent.net/seciossadmin/index.php?action_saml_refreshtoken=true
https://auth.gluegent.net/tenantadmin/index.php?action_saml_refreshtoken=true
「リダイレクトURI」を入力後、画面上部の保存ボタンをクリックしてください。
情報:
Boxのアプリ設定画面では、保存せずに別のタブや設定画面へ移動するなど、画面遷移を行った場合、下記のようなポップアップ画面が表示されます。
設定済みの内容が消えないよう、都度「保存」ボタンをクリックしてください。
管理操作のセクションにある「ユーザーを管理する」および「グループを管理する」にチェックしてください。
画面の左側の領域に表示されている「クライアントID」と「クライアントシークレット」をコピーして、安全な方法で値を控えてください。
後述の「ステップ2:Gluegent Gate で「シングルサインオン」の設定」の手順で、Gluegent Gate管理画面の「クラウドサービス」の項目で設定する必要がございます。
ステップ2:Gluegent Gate で「シングルサインオン」の設定
Gluegent Gate 側に Box との ID 同期の設定を行います。
Gluegent Gate の管理画面にアクセスします。
左メニューの「シングルサインオン」→「クラウドサービス」の順にクリックします。
画面右上の「登録」をクリックします。
一覧から「Box」の操作アイコンをクリックします。
各項目を設定し「保存」をクリックします。
ドメイン
Boxのカスタムサブドメインを入力します。(例:xxx.box.com)
- シングルログアウト
必要に応じてチェックをオン/オフにします。
- ID同期
オンにします。
- Box クライアントID
前項で表示された「クライアントID」を入力します。
- Box クライアントシークレット
前項で表示された「クライアントシークレット」を入力します。
「トークン取得」をクリックします。
Boxの認証画面が表示されます。
Boxの管理アカウントのメールアドレス、パスワードを入力の上、「承認」ボタンをクリックします。
承認画面が表示されますので、「Boxへのアクセスを許可」をクリックします。
「閉じる」をクリックします。
注意:
「シングルサインオン」→「クラウドサービス」→「Box」の設定保存後、システム内で30分間のキャッシュ保持期間が発生します。
この間は、再度編集(鉛筆アイコンからの修正・保存)を行っても設定が反映されません。
修正が必要な場合は、前回の保存から30分以上経過したあとに改めて操作をお願いします。
ステップ3:Box へ「シングルサインオン」の設定を依頼
シングルサインオンの設定は Box の代理店担当者への依頼が必要です。(SSOセットアップリクエスト(External)
依頼時には以下の情報が必要です。
--------
①お客様名
②お客様の Box EID
③お客様が使用している IdP 名
④SAML Metadata ファイル
⑤SAML SAML_SUBJECT に設定したい属性名
--------
③「お客様が使用している IdP 名」は「Gluegent Gate」です。
④「SAML Metadata ファイル」はシングルサインオン>SAML>設定にてダウンロードいただけます。
→SAML(汎用SAML for SP) - 5. 付録(メタデータのダウンロード)
SAML設定画面から NameIDFormat を「urn:oasis:names:tc:SAML:2.0:nameid-format:persistent」を選択し、「保存」をした上でダウンロードを行ってください。
⑤「SAML_SUBJECTに設定したい属性名」は「mail」です。
Box 連携に際して Gluegent Gate が発行する SAML アサーションでは、<saml:Subject> 要素内の <saml:NameID> 要素の値としてメールアドレスが入ります。
<saml:Subject>
<saml:NameID SPNameQualifier="box.net"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">メールアドレス</saml:NameID>
</saml:Subject>このメールアドレスは Gluegent Gate ユーザーのメールアドレスであり、Box のメールアドレスと紐づく値となります。
上記リンク(SSOセットアップリクエスト(External )に記載されている情報を添付・依頼してください。併せて Box の代理店担当者へご依頼ください。
重要:
シングルサインオンの依頼後お客様環境の Box に適用されるのは 5 営業日程度かかります。設定に不備があり、再設定やシングルサインオンの解除を行う場合も同様に 5 営業日程度かかりますので、ご注意ください。
ステップ4:Gluegent Gateで「ユーザー」の新規登録
Gluegent Gate でユーザーを作成します。Box にもユーザーが作成されます。
Gluegent Gate の管理画面にアクセスします。
左メニューの「ユーザー」→「新規登録」の順にクリックします。
ユーザーの新規登録画面に遷移します。必要事項を入力します。
- ユーザーID
Gluegent Gateのログイン画面で使用するIDです。(Boxに反映されません)
- 氏名
名前に反映されます。
- メールアドレス
メールアドレスを入力します。
- パスワード
ログインのためのパスワードを入力します。
- ユーザー状態
-
「有効」を選択します。
注意:
Boxとのクラウドサービス連携設定において「ID同期」が有効になっている場合、Gluegent Gate側で対象ユーザーの「ユーザー状態」を「無効」に変更すると、
Box側の対象ユーザーのステータスが「非アクティブ」として伝播されます。
「無効」を選択するとそのユーザーは Gluegent Gate にログインできなくなり、
連携先であるBoxでもログインもできなくなります。
運用開始後、対象ユーザーの利用を一時停止させる場合は、Gluegent Gate側で「ユーザー状態」を「無効」に変更してください。
- 許可するサービス
「Box」のチェックをONにします。
「登録」をクリックします。
ステップ5:Gluegent Gateで「操作ログ」を確認
登録後、ログで正しく Box にユーザーが作成されたかを確認します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「ログ」→「システムログ」の順にクリックします。
ログ一覧で「操作ログ」を選択し、「適用」をクリックします。
その他の検索項目は必要に応じて設定します。
Gluegent Gateへの追加ログと Box への追加ログが表示されます。
「(Box)」が付いているものが Box への追加ログです。
成功した処理は黒いテキスト、失敗した処理は赤いテキストで表示されます。
ステップ6:Gluegent Gateで「認証」の設定
認証ルール(本人確認のための処理)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「認証」→「新規登録」の順にクリックします。
認証ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
任意の値を入力します。(例:rule_web)
- 認証方式
「ID/パスワード認証」のチェックをオンにします。
- クライアント
-
以下の 3 つのチェックをオンにします。
- ブラウザー PC
- ブラウザー スマートフォン
- ブラウザー タブレット
「登録」をクリックします。
ステップ7:Gluegent Gateで「アクセス権限」の設定
アクセス権限ルール(各種サービスへの認可の付与)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「アクセス権限」→「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
任意の値を入力します。(例:for_web)
- アクセス先のサービス
「Box」のチェックをオンにします。
- 要求される認証方式
「ID/パスワード認証」のチェックをオンにします。
- クライアント
-
以下 3 つのチェックをオンにします。
- ブラウザー PC
- ブラウザー スマートフォン
- ブラウザー タブレット
「登録」をクリックします。
ステップ8:Box で「シングルサインオン」の設定
ステップ3 のシングルサインオンの設定依頼が完了すると、ログイン時に Gluegent Gate を経由したログインが可能となります。
Box の管理者権限を持つユーザーで Box にログインし、「管理コンソール」にアクセスします。
「管理コンソール」にて Enterprise設定>ユーザー設定 をクリックします。
「シングルサインオン(SSO)の設定」にて「SSO有効モード」のチェックをオンにします。また、シングルサインオンの設定に問題があった場合でもBoxのID/パスワードを使ったログインも可能です。
Gluegent Gate 経由のログインを必須にするには Box の管理コンソールにて「SSO必須モード」への切り替えが必要です。
注意:
「SSO必須モード」のチェックをオンにすると Gluegent Gate を経由したログインが必須となります。「SSO有効モード」で問題がないことを確認した上でチェックをオンにしてください。
ステップ9:シングルサインオン(SSO)でのログインの確認
作成したユーザーにて、Gluegent Gate を経由したログインができることを確認します。
Box へのログインは通常通り http://app.box.com/login で可能です。
通常のログイン画面でメールアドレスを入力し、「次へ」をクリックします。
パスワード入力画面下部の「SSOでサインイン」をクリックすると Gluegent Gate のログイン画面に遷移します。
アカウント設定の際に「ログインアドレス」を使用すると Box のメールアドレスの入力不要で Gluegent Gate のログイン画面からログインが可能です。
例) https://example.app.box.com/login
「続行」をクリックすると Gluegent Gate のログイン画面に遷移します。
以下を入力して「ログイン」をクリックします。
- ユーザー名
「ステップ4」 Gluegent Gate の「ユーザー」の新規登録で指定したユーザー名(ユーザーID の @ より前の部分)
- パスワード
新規登録時に設定したパスワード
初回ログイン時のみパスワードの変更画面が表示されます。
新しいパスワードを入力し、「更新」をクリックします。
パスワード変更後、Box に自動的に遷移します。遷移しない場合は画面上の「次へ」をクリックしてください。
Gluegent Gate が Box にアクセス可能かを確認し、アクセス可能と判断されれば、Box へのログインに成功します。