SSOとApp User

ガイド SSOとApp User

SSOとApp User

シングルサインオン (SSO) サービスは、会社の**Identity and Access Management (IAM) **ソリューションの一環として使用されることがよくあります。SSOサービスが展開されると、ユーザーは、1つの資格情報セット (ユーザー名とパスワード) だけを使用して1回ログインすれば、複数のアプリケーションの認証を安全に行うことができます。

Boxは、会社のSSOサービスに接続可能なアプリケーションの1つです。こうしたアプリケーションをカスタムアプリに統合すれば、いずれのエンドユーザーに対しても即座にBoxユーザーがプロビジョニングされます。その際、このエンドユーザーにはBoxアカウントが用意されたことが知らされません。

一般的なSSOサービスにはOktaAuth0Microsoft Azure ADOneLoginG SuitePing Identityなどがありますが、これ以外にも展開可能なサービスは多数あります。

SSOをアプリに接続する

プログラムによってSSOサービスをBoxアプリケーションに統合する際のフローは以下のとおりです。

  1. ユーザーはログアウトした状態でウェブアプリケーションやモバイルアプリケーションにアクセスします。
  2. ユーザーは、通常OAuth 2OpenID Connectを介して、ログインのためにSSOプロバイダにリダイレクトされます。
  3. ログイン後、ユーザーはSSO ID資格情報と共にアプリケーションに再度リダイレクトされます。
  4. アプリケーションでは、このユーザーに関連付けられたBoxアカウントがすでに存在するかどうかを確認します。
  5. このユーザーに既存のBoxアカウントがある場合、アプリケーションはSSO IDを使用して、Boxでそのユーザーに代わってAPI呼び出しを実行します。
  6. このユーザーに関連付けられたBoxアカウントがまだない場合は、SSO IDに基づいて新しいBoxユーザーアカウントが作成されます。SSOサービスの一意のユーザーIDが新しいBoxユーザーにリンクされ、2つのアカウントの間に関連付けが作成されます。その後、この新しいBoxユーザーがBoxでそのユーザーに代わってAPI呼び出しを実行します。

BoxウェブアプリとSSO

SSOサービスをBoxアプリケーションではなくBoxウェブサイトに接続したい方のために、Boxでは、SAML 2.0を通じてBoxウェブアプリケーションのSSO統合をサポートするための統合オプションを多数用意しています。