Okta Cloud ConnectでBox導入時の課題を解決

こんにちは。セキュリティソリューション統括部の阿久津です。

私は普段Box製品を扱っています。最近、Okta Cloud ConnectとBoxを連携することで、お客様のある課題を解決しました。その際の構成や実装の手順、やってみて困ったことを具体的にご紹介しますので、ぜひご参考いただけると幸いです。

連携することになった背景

お客様向けにBoxを導入する中でアカウントを登録しようとしたところ、一部の社員に対してメールアドレスが付与されていないケースがありました。本来はBoxアカウント作成時に、登録したメールアドレスの有効性を確認するフローが発生するため、アカウント利用者が受信できるメールアドレスが必要です。しかし、直近でメールアドレスの発行ができない状況だったため、回避策としてシングルサインオン（SSO）サービスであるOkta Cloud Connectと連携させることで、メール受信によるアクティベーションの課題を解決しました。

Okta Cloud Connectについては、無償で利用できることとダミーのメールアドレスでもアカウント登録できることが、サービス選定の決め手となりました。Okta Cloud Connectは、多くのアプリケーションと連携可能なIDaaS製品「Okta」の無償版です。1つのアプリケーションしか登録できないといった制約がありますが、基本的に通常のOktaと遜色なく使用できます。

なお、Boxは容量無制限のコンテンツ管理基盤であり、社内外のコラボレーションを前提とした各種機能や万全なセキュリティ機能が強みです。

今回実装した構成

今回のシングルサインオンの流れは以下の通りとなります。

• ①エンドユーザーがBoxにアクセス
• ②BoxからOktaにリダイレクト
• ③Oktaのログイン画面を表示
• ④Oktaの認証情報を入力し、ログイン
• ⑤Oktaからエンドユーザーに認証情報を返却
• ⑥エンドユーザーからBoxに認証情報を送信
• ⑦Box上で認証が完了し、Boxの画面を表示

実際の構築手順

今回はOkta Help Centerの「BoxをOktaと統合する」^※をベースに、以下の流れで構築しました。

※ BoxをOktaと統合する | Okta
2023年2月時点の手順であり、今後変更される可能性があります。

• ①Oktaにログインし、[Applications]→[Browse App Catalog]を選択
• ②入力欄に[Box]を入力し、[Add]を選択
• ③[General settings]画面で必要情報を入力し、[Next]を選択
• ④[Sign-On Options]画面で[Sign on methods]を[SAML2.0]を選択し、BoxのURL（例：https://xxxxx.app.box.com）を入力
• ⑤[View Setup Instructions]の記載内容を基にOktaのメタデータを取得
• ⑥[Credentials Details]を適宜変更し、[Done]を選択
• ⑦Boxにログインし、管理コンソールから[Enterprise設定]→[ユーザー設定]から⑤で取得したメタデータを登録の上、[SSO検証モード]を有効化
• ⑧Oktaの設定画面に戻り[Applications]→[Box]→[Provisioning]タブに移動し、[Configure API Integration]を選択
• ⑨[Enable API integration]にチェックを入れ[Authenticate with Box]を選択し、Boxとの紐づけを実施
• ⑩[Provisioning to App]にて[Create Users][Update User Attributes][Deactivate Users]にチェックを入れ、[Save]を選択（お客様要件に応じて各項目の設定値も変更）
• ⑪[Assign]タブに移動し、[Assign]からBoxに登録したいアカウントをアサイン（事前にOkta上に対象アカウントの作成が必須となります）
• ⑫アサインしたアカウントについて[Box上にアカウントが登録されていること][Okta経由でBoxにログインできること]を確認

実装の中で困ったこと

ライセンス数の管理が疎かになりがち

OktaからBox上にアカウントを作成する中で、アカウントを登録できないエラーが発生しました。エラーの内容を確認したところ、Boxのライセンス数を超過しようとしたことによるエラーでした。Box上でアカウント作成している場合はライセンス数も把握しやすいですが、Oktaから作成している場合はライセンス数を意識せずに作成しがちになるので、別途ライセンス数を管理する必要があると感じました。

アカウント作成時にメールが通知される

OktaからBoxにアカウントを作成できたのですが、初回ログインを促すメールが通知されることに悩みました。Box側の設定を確認したら、「SSO必須モード」を有効にすることでアクティベーションメールが通知されなくなることが分かり、ダミーのメールアドレスでもBoxアカウントを作成できました。

注意事項としては、この設定を有効にするとSSOでのログインを強制されるため、事前にSSOでログインできることを必ず確認してください。誤って確認前に有効にしてしまい誰もログインできなくなった場合、Boxサポートによる作業が必要となり時間がかかってしまいます。

おわりに

Okta Cloud Connectを用いた、BoxとSSOの連携をご紹介しました。Okta Cloud Connectは1アプリケーション限定のOktaのため、SSO連携やプロビジョニング機能の他に、ID管理や多要素認証によるセキュリティ強化にも対応可能です。

また、Okta Cloud Connectは無償・無期限で利用できる正規製品で、本番環境で利用できることも魅力です。Boxを利用するには通知できるメールアドレスが必要であるため、通知可能なメールアドレスを利用者分発行できないお客様にはBox導入の敷居が高いものの、Okta Cloud Connectを用いることでダミーのメールアドレスでもBoxを利用することが可能となり、導入時の課題解決につながります。Okta Cloud ConnectとBoxを組み合わせることで、幅広いお客様に対してBoxの魅力を体感してもらえると確信しております。

ラックではお客様の要件に応じたセキュリティ及び利便性を両立させたOktaやBoxの導入支援を行っております。導入を検討されているお客様がいらっしゃいましたら、お気軽にご相談ください。OktaとBoxで快適なコラボレーションを実感していただけると嬉しいです。