Box APIとSSO

多くのBox Enterpriseでは、シングルサインオン (SSO) を使用して、Boxにログインしている管理対象ユーザーを認証します。Box Platformに作成されたアプリケーションとSSOプロバイダの対話方法は、作成されるアプリケーションの種類によって異なります。

クライアント側認証を使用するPlatformアプリ

OAuth 2.0を使用するよう構成されたPlatformアプリでユーザーが認証されると、Boxは、企業でSSOを使用するよう構成されているかどうかを検出します。SSOを使用するよう構成されている場合、ユーザーはブラウザにリダイレクトされ、企業の構成済みのSSOログイン画面が表示されます。

SSOの有効化とSSO必須モード

企業は、SSO必須モードとSSOの有効化の2つの方法のいずれかで、SSOを構成できます。

SSOが有効化されていても必須ではない場合、管理対象ユーザーは次のいずれかを選択できます。

• Boxのユーザー名とパスワードを使用してログインする
• SSOプロバイダを使用してログインする

SSOが有効化され、必須になっている場合、すべての管理対象ユーザーは、企業の構成済みSSOプロバイダでログインするよう強制されます。この場合、ログインを試みるユーザーは、SAMLを介して渡されるメールアドレスと一致するBoxアカウントを持っているだけでなく、SSO側で構成されている必要があります。

サーバー側認証を使用するPlatformアプリ

JWTまたはクライアント資格情報許可を使用するPlatformアプリおよびアプリトークン認証を使用するアクセス制限付きアプリでは、Boxでの認証にSSOは使用されません。

サーバー側認証を使用するPlatformアプリは、Boxとの通信にサーバー間のAPIコールのみを使用します。このシナリオでのエンドユーザーの認証方法は、Boxではなくアプリケーションが決定します。

つまり、アプリケーションによるエンドユーザーの認証はそのアプリケーションによって決まりますが、アプリケーションによるBoxの承認とはまったく異なります。

これらのユースケースでは、アプリケーションは通常の管理対象ユーザーとしてではなく、サービスアカウントまたはApp Userとして認証します。このようなユーザータイプには、デフォルトでは管理対象ユーザーのデータへのアクセス権限がありません。これらのアプリケーションから他の管理対象ユーザーのデータにアクセスできるようにするには、明示的な管理者の承認が必要です。

カスタムスキル

カスタムスキルは、独自の方法で認証されます。この方法では、スキルイベントごとに固有のアクセストークンセットがアプリケーションに提供されます。

この場合、アプリケーションはユーザーと直接やり取りしないため、SSOは関与しません。