boxとトラスト・ログインのID連携|boxをより安全・便利に利用しよう
あらゆる情報をデータ化して扱う現代において、容量を気にせずに使えるクラウドストレージやファイル共有サービスの利用は欠かせないものとなってきています。そのなかでも「box」は知名度が高く、代表的なファイル共有サービスの一つです。
一方で、「boxに興味があるけれどセキュリティ面が心配だ」「boxを使っているけれどアカウント管理に手間がかかっている」という方もいるのではないでしょうか。
この記事では、boxをより安全・便利に活用するためのポイントや、それらのポイントを実現できるトラスト・ログインの「box連携」機能と使い方について解説します。
■ファイル共有サービス「box」とは
boxとは、ファイルの保存や共有、コンテンツ管理、電子サイン、ワークフローといった機能を兼ね備えたファイル共有サービスです。boxは世界で10万社以上、日本国内だけでも1万5,000社以上の企業に導入されており、数あるファイル共有サービスのなかでも人気のサービスといえます。
ITやデジタル情報の活用が求められる現代の企業において、資料やファイルといった業務コンテンツの共有は欠かせません。boxはおもに次の特長から企業に選ばれています。
• 保存容量の制限がない(Businessプラン以上で保存容量が無制限)
• 細かくアクセス権限を設定できる
• 高度なセキュリティ環境で安心して利用できる
• モバイルデバイスからも使いやすい
■boxをより安全・便利に活用するためには
boxは高度なセキュリティ環境を利用していますが、セキュリティ対策が十分であるとは必ずしもいえません。また、boxの導入や運用に際してはアカウント管理の工数も考えておく必要があります。
ここでは、boxをより安全・便利に利用するためのポイント3点を解説します。
・デバイス制限によるセキュリティ対策
boxの特長の一つに高度なセキュリティ環境が挙げられますが、現代の業務環境は非常に複雑であり、それぞれの企業の体制や業務内容に合わせたセキュリティ対策も必要です。
例えば、テレワークの普及により、社外ネットワークの利用や私物のデバイスを使ったアクセスが増加しています。とりわけ私物デバイスはセキュリティ対策が不十分である場合も多く、アクセスにそれを用いることでウィルス感染などのリスクが考えられます。
このようなリスクへ対処するには、デバイス証明書を活用したデバイス制限が有効です。デバイス証明書は端末に登録される電子証明書であり、その証明書を持つ端末のみにサービスのアクセスを許可できます。例えば、会社から貸与したデバイスにのみデバイス証明書を発行すれば、アカウント情報を知っていても社員が私物端末からはアクセスできないように管理できます。
・ユーザー・プロビジョニングの自動化によるアカウント管理の効率化
ユーザー・プロビジョニングとは、システムやアプリの利用時に、ユーザーのアカウント作成や権限付与、ソフトウェア設定などを割り当てることを指します。
ユーザー・プロビジョニングで管理者が一括して社員のboxの利用環境を準備することで、社員はスムーズにboxを利用開始できます。また、ユーザー・プロビジョニングを自動化することで、IT担当者は社員のアカウント管理を効率化できます。
・SSOによる利便性とセキュリティ対策の両立
現代ではさまざまな端末やソフトウェアを使うために、社員は多数のIDやパスワードを厳重に管理することを求められ、その対応は煩雑化しています。ただ、煩雑なセキュリティ対策は、パスワードの使い回しといったセキュリティ対策の形骸化にもつながりかねません。そこで、ユーザーの利便性も確保しながらセキュリティ対策を進めることが重要です。
そのためには、SSO(シングルサインオン)の導入がおすすめです。SSOとは、1度の認証でその認証に紐づく複数のシステムやサービスを利用できる仕組みを指します。サービスごとにログインする手間や複数のパスワード管理などを不要にして利便性を高めることで、パスワードの使い回しといったセキュリティリスクを回避できます。
■トラスト・ログイン「box連携」とは
トラスト・ログインは、業務で使用するアプリや社内システムのIDやパスワード管理、またその各アプリへのSSO(シングルサインオン)ができる無料のクラウドサービスです。有償のオプションを活用することで、トラスト・ログインへの多要素認証やアクセス制限もできるため、ユーザー・プロビジョニングの自動化にも活用できます。
トラスト・ログインでは、boxユーザー向けに「box連携」機能を提供しています。box連携を利用すると、ユーザーはトラスト・ログインへの1回のログインでboxを含むさまざまなサービスを利用できるようになります。また、トラスト・ログインでユーザーの追加や変更、削除があった場合には、自動でboxにも情報を反映できます。
◇トラスト・ログイン「box連携」のメリット
box連携を利用すると、管理者はトラスト・ログインだけでユーザー情報を管理すれば足りるため、変更作業の手間が大きく削減されます。
また、ActiveDirectoryとトラスト・ログインを連携させることで、アカウント情報をboxに同期できます。連携と同時にSAML認証の設定も完了するため、boxを新規導入する際にもユーザー作成から認証設定まで負担が少なく簡単に設定できます。
■トラスト・ログイン「box連携」のセットアップ方法
box連携では、トラスト・ログインを情報源としたboxへのユーザー情報の同期およびSAML認証連携が可能です。ここでは、box連携の使い方について解説します。
【注意】
box連携のご利用には、トラスト・ログインのプロプラン、もしくはオプションの契約が必要です。料金はこちらからご確認ください。
トラスト・ログイン側でオプションにメンバーまたはグループを割り当てた際、boxに同期する情報は次のとおりです。
|
割り当て対象 |
同期する情報 |
|---|---|
|
メンバー |
属性(性、名、メールアドレス) |
|
ステータス(有効、停止、削除) |
|
|
グループ |
属性(グループ名、グループの説明) |
|
グループに所属するメンバーの属性(性、名、メールアドレス) |
box連携のセットアップ手順は次のとおりです。
1. トラスト・ログインとboxを接続する
2. メンバーまたはグループを割り当てる
3. 同期設定の有効化
4. 同期状況の確認
それぞれの手順を説明します。
◇手順1. トラスト・ログインとboxを接続する
2. 「IDプロビジョニング」の「サービスを追加」をクリックします。
3. 「Box」を選択し、「追加」ボタンをクリックします。
4. 「IDプロビジョニング > Box」ページにリダイレクトされるので、設定画面右上の「接続」ボタンをクリックします。
5. 確認メッセージが表示されるので、「はい」をクリックします。
6. boxのページにリダイレクトされます。
管理者のログインアカウント情報を入力し、「承認」ボタンをクリックします。
7. 引き続きboxのページが表示されるので、「Boxへのアクセスを許可」ボタンをクリックします。
8. これでトラスト・ログインとboxの接続は完了です。
「IDプロビジョニング > Box」のページで「接続済」と表示されていることを確認してください。
◇手順2. メンバーまたはグループを割り当てる
同期したいメンバーまたはグループをオプションで割り当てます。
• 2-1. メンバーの割り当て手順
• 2-2. グループの割り当て手順
それぞれの手順を説明します。
・2-1. メンバーの割り当て手順
同期したいメンバーのオプション割り当てを行ないます。
【事前確認】
boxのシステム上の設定で「アカウント作成の通知メール」をONにしている場合、メンバーの割当時にboxのシステムから初期設定を求めるメールがユーザー宛に送信されます。初期設定の依頼メールが不要な場合は、boxのシステム設定にてメール送信設定をOFFに変更してください。
1. 「IDプロビジョニング > Box」ページの右上にある「メンバー追加」ボタンをクリックします。
2. 「メンバー追加」ページにリダイレクトされ、オプションに割り当てられていないすべてのメンバーがリスト表示されます。
オプションに追加するメンバーのチェックボックスを選択し、「追加」をクリックします。
3. 追加されたメンバーが「メンバー」タブに表示されます。
【注意】
初回セットアップ時には、メンバーの割り当てのみを行なった状態だと情報の同期は行なわれません。メンバーの割り当て後に「手順3. 同期設定の有効化」を実施することで同期が開始されます。
・2-2. グループの割り当て手順
同期したいメンバーのオプション割り当てを行ないます。
オプションへのグループ割り当てにより、そのグループに所属するメンバーを一括でオプションに割り当てられます。
1. 「IDプロビジョニング > Box」ページの右上にある「グループ追加」ボタンをクリックします。
2. 「グループ追加」ページにリダイレクトされます。このページでは、オプションに割り当てられていないすべてのグループがリスト表示されます。
追加したいグループのチェックボックスを選択し、「追加」ボタンをクリックします。
追加されたグループが「グループ」タブに表示されます。
3. グループ割り当ての操作のみではグループに所属するメンバー割り当てが実施されるだけで、グループ同期は有効になりません。
グループの作成または更新を有効にするには、対象グループを選択し、「同期対象にする」をクリックしてください。
「同期対象」欄が「はい」になり、グループ同期が有効になります。
◇手順3. 同期設定の有効化
メンバー・グループの割り当て完了後、同期設定を有効化して同期を開始します。
・同期する情報の範囲
トラスト・ログインからboxに同期する情報の範囲は、設定ページの以下の項目で任意に設定できます。なお、それぞれの設定は、特定のユーザーまたはグループに対して個別に制御することも可能です。
各項目で設定できる内容は次のとおりです。
• デフォルトでメンバーを作成/更新する:割り当てたメンバーをデフォルトで同期するかどうかを指定します。
• デフォルトでグループを作成/更新する:
割り当てたグループをデフォルトで同期するかどうかを指定します。
• デフォルトでメンバーを削除する:
割り当て解除したメンバーをデフォルトで削除するかどうかを指定します。
• デフォルトでグループを削除する:
割り当て解除したグループをデフォルトで削除するかどうかを指定します。
・同期設定の有効化手順
1. 「IDプロビジョニング > Box」ページで「編集」をクリックします。
2. 「同期をオンにする」トグルをオンに変更し、「保存」をクリックします。これにより、同期が開始されます。
【参考】
以下の箇所で名前を入力して「保存」することで、「IDプロビジョニング > Box」の名前を任意に変更できます。
・同期を個別に制御する場合の手順
1. 対象のユーザー・グループを選択し「同期の挙動をオンにする」ボタンをクリックします。
「同期の挙動」項目が「個別同期オン」に変更されます。
・boxの「アカウント作成の通知メール」をONにしている場合について
boxのシステム設定で「アカウント作成の通知メール」をONにしている場合、同期の有効化後に対象のメンバーにboxからメールが送信されます。受信したメンバーは、メールの内容にしたがって次の手順でboxの初期設定を実施します。
【注意】
メールの件名や初期設定の手順は、boxの仕様変更などにより以下の手順とは異なる場合があります。
1. boxからのメールを開き、「マイアカウントに移動」をクリックします。
「Box パスワードの作成」ページにリダイレクトされます。
2. 「Box パスワードの作成」ページでパスワードを入力し、「作成」をクリックします。
パスワードの作成後、ログイン画面に遷移します。
3. 手順2で作成したパスワードを入力して「ログイン」をクリックします。
これで初期設定は完了です。ログインに成功すると、次のマイアカウントのページが表示されます。
◇手順4. 同期状況の確認
同期設定の有効化後、正常に同期が行なわれたかを確認します。
トラスト・ログインでの確認方法
• メンバー同期状況(全体)の確認
• 特定メンバーの同期状況詳細の確認
• グループ同期状況(全体)の確認
• 特定グループの同期状況詳細の確認
boxでの確認方法
• boxでの同期状況の確認
それぞれの手順について説明します。
・メンバー同期状況(全体)の確認
1. 「メンバーの同期状況」タブページで同期状況を確認します。
「同期の状況」の各ステータスの内容は次のとおりです。
|
ステータス |
説明 |
|---|---|
|
同期待ち |
同期がまだ開始されていない状態 |
|
処理中 |
同期処理中の状態 |
|
同期完了 |
同期が終了し、box側で正常に同期された状態 ※同一メールアドレスのユーザーがbox側にすでに存在している場合でも、「完了」ステータスが表示されます。 |
|
同期失敗 |
予期しない理由により同期結果が失敗した状態 |
2. 「同期の状況」が「同期完了」、または「同期失敗」となっている場合、ボタンクリックで詳細を確認できます。必要に応じて、詳細な同期の状況を確認しましょう。
例1)同期完了時の詳細画面
例2)同期エラー時の詳細画面
・特定メンバーの同期状況詳細の確認
「メンバーの同期状況」タブページでメンバー名をクリックします。
メンバーの同期状況詳細が表示されます。
・グループ同期状況(全体)の確認
1. 「グループの同期状況」タブページを開き、グループの同期状況を確認します。
なお、対象グループに所属するメンバーは自動的に同期対象となるため、「メンバーの同期状況」タブに表示されます。
「同期の状況」の各ステータスの内容は次のとおりです。
|
ステータス |
説明 |
|---|---|
|
同期待ち |
同期がまだ開始されていない状態 |
|
処理中 |
同期処理中の状態 |
|
同期完了 |
同期が終了し、box側で正常に同期された状態 ※同一メールアドレスのユーザーがbox側にすでに存在している場合でも、「完了」ステータスが表示されます。 |
|
同期失敗 |
予期しない理由により同期結果が失敗した状態 |
2. 「同期の状況」が「同期完了」、または「同期失敗」となっている場合、ボタンクリックで詳細を確認できます。必要に応じて、詳細な同期の状況を確認しましょう。
例)同期エラー時の詳細画面
・特定グループの同期状況詳細の確認
「グループの同期状況」タブページでグループ名をクリックします。
グループおよびグループに所属するメンバーの情報が表示されます。
・boxでの同期状況の確認
管理コンソールの「ユーザーとグループ」で、同期されたグループを確認できます。
■トラスト・ログイン「box連携」の仕様および使い方
box連携でのメンバー・グループの情報更新における仕様、また削除の手順について説明します。
• メンバー・グループの情報更新に関する仕様
• メンバーの削除手順
• グループの削除手順
◇メンバー・グループの情報更新に関する仕様
メンバー同期の動作と、メンバーおよびグループの情報更新に関する仕様について説明します。
• メンバー同期時のboxの動作
• メンバー情報の更新に関する仕様
• グループ情報の更新に関する仕様
・メンバー同期時のboxの動作
トラスト・ログインでメンバー同期に関する操作を行なった際のboxの挙動は次のとおりです。
|
トラスト・ログイン側操作 |
box側挙動 |
備考 |
|---|---|---|
|
メンバー属性情報変更 |
ユーザー情報が更新される |
同期項目:性、名、メールアドレス、ステータス |
|
メンバーステータスを停止 |
ユーザーステータスが非アクティブ化される |
|
|
メンバーステータスを有効化 |
ユーザーステータスがアクティブ化される |
― |
・メンバー情報の更新に関する仕様
トラスト・ログイン側でメンバー情報の更新を行なった場合、以下の2か所で「最終同期日時」の時刻が更新されます。
①「メンバーの同期状況」タブページ
②「メンバーの同期状況」ページの「最終同期日時」の時刻
・グループ情報の更新に関する仕様
①「グループの同期状況」タブページ
②「グループの同期状況」ページの「最終同期⽇時」の時刻
◇メンバーの削除手順
同期したboxユーザーを削除する場合の手順を説明します。
1. 「メンバー」タブで対象のメンバーを選択し、「選択したメンバーを外す」ボタンをクリックします。
2. 確認メッセージが表示されるので、「はい」をクリックします。
3. メンバーが同期対象から外れ、「メンバーの同期状況」タブ上でのステータスが更新されます。同期の種類が「削除」、同期の状況が「同期完了」となっていれば削除は成功です。
box側でも対象のユーザーが削除されていることを確認してください。
◇グループの削除手順
同期したグループを削除する手順には、以下の2とおりあります。
方法①トラスト・ログインおよびboxの両方でグループを削除する方法
方法②box側のグループのみを削除する方法
方法②の場合、グループのみが削除され、グループ内のメンバーステータスに影響はありません。それぞれの手順について説明します。
・方法①トラスト・ログインおよびboxの両方でグループを削除する方法
1. 「グループ」タブで対象グループを選択し、「選択したグループを外す」をクリックします。
2. 確認メッセージが表示されるので、「はい」をクリックします。
3. グループが同期対象から外れ、「グループの同期状況」タブ上でのステータスが更新されます。同期の種類が「削除」、同期の状況が「同期完了」となると削除は成功です。
・方法②box側のグループのみを削除する方法
1. 「グループ」タブで対象グループを選択し、「同期対象から外す」をクリックします。
2. 対象グループの「同期対象」が「いいえ」となると、boxへの同期が停止します。
◇参考:同期設定のオン/オフによる挙動
|
項目 |
トグル |
トラスト・ログイン側操作 |
box側挙動 |
||
|---|---|---|---|---|---|
|
グループ |
ユーザー |
||||
|
①同期をオンにする |
ON |
プロビジョニングを有効にする |
②~⑤の設定に準じて同期 |
②~⑤の設定に準じて同期 |
|
|
OFF |
プロビジョニングを行なわない |
― |
― |
||
|
②デフォルトでメンバーを作成/更新する |
ON |
メンバーを割り当てる |
― |
ユーザーが同期される |
|
|
OFF |
メンバーを割り当てる |
― |
個別同期オンのユーザーのみ同期される |
||
|
③デフォルトでグループを作成/更新する |
ON |
グループを割り当てる |
グループが同期される |
グループユーザーが同期される |
|
|
OFF |
グループを割り当てる
|
個別同期のグループが同期される |
グループユーザーが同期される |
||
|
④デフォルトでメンバーを削除する |
ON |
メンバー削除/割り当て解除する |
― |
ユーザーが削除される |
|
|
メンバーステータスを停止にする |
― |
ユーザーが非アクティブ化される |
|||
|
OFF |
メンバー削除/割り当て解除する |
― |
ユーザーステータスの変更なし(メンバーは削除されない) |
||
|
⑤デフォルトでグループを削除する |
ON |
④がON |
グループ割り当て解除 |
グループが削除される |
グループユーザーが削除される |
|
同期対象から外す |
グループが削除される |
グループユーザーへの影響なし ※ユーザーはグループ所属を 外れる |
|||
|
グループ削除 |
グループが削除される |
グループユーザーが削除される |
|||
|
グループからメンバーを外す |
グループへの影響なし |
外したユーザーが削除される |
|||
|
ON |
④がOFF |
グループ割り当て解除 |
グループが削除される |
グループユーザーへの影響な し ※ユーザーはグループ所属を 外れる |
|
|
同期対象から外す |
グループが削除される |
グループユーザーへの影響な し ※ユーザーはグループ所属を 外れる |
|||
|
グループ削除 |
グループが削除される |
グループユーザーへの影響な し ※ユーザーはグループ所属を 外れる |
|||
|
グループからメンバーを外す |
グループへの影響なし |
グループユーザーへの影響な し ※ユーザーはグループ所属を 外れる |
|||
|
OFF |
④がON |
グループ割り当て解除 |
グループへの影響なし |
グループユーザーへの影響な し ※ユーザーはグループ所属を 外れる |
|
|
同期対象から外す |
グループへの影響なし |
グループユーザーが削除される |
|||
|
グループ削除 |
グループへの影響なし |
グループユーザーへの影響な し |
|||
|
グループからメンバーを外す |
グループへの影響なし |
グループユーザーが削除される |
|||
|
OFF |
④がOFF |
グループ割り当て解除 |
グループへの影響なし |
グループユーザーへの影響な し |
|
|
同期対象から外す |
グループへの影響なし |
グループユーザーへの影響な し |
|||
|
グループ削除 |
グループへの影響なし |
グループユーザーへの影響な し ※ユーザーはグループ所属を 外れる |
|||
|
グループからメンバーを外す |
グループへの影響なし |
グループユーザーへの影響な し ※ユーザーはグループ所属を 外れる |
|||
■まとめ
クラウドストレージ「box」は、保存容量の制限がなく、細かいアクセス制限を設定できる便利で使い勝手の良いサービスです。boxでは強度なセキュリティ環境が用意されていますが、リモートワークやBYODでさまざまな場所や端末からサービスを利用する現代においては、より強固なセキュリティ対策が欠かせません。
一方で、煩雑なセキュリティ対策はユーザーの利便性を低下させるため、対策方法はセキュリティ強化と利便性の両面から検討することが重要です。
トラスト・ログインは、SSOでセキュリティ強化と利便性の両立を実現します。また、「box連携」によって、boxとのユーザー情報を同期できるため、アカウント管理の工数削減にもつながります。
boxの導入をご検討中の方、boxをご利用の方は、ぜひトラスト・ログインの導入も併せてご検討ください。
この記事を書いた人
GMOグローバルサイン株式会社
トラスト・ログイン事業部
プロダクトオーナー
森 智史
国内シェアNo.1のSSL認証局GMOグローバルサインで10年間サポート部門に従事。抜群の知識量と分かり易い説明で多くのお客さまからご支持いただく。
現在は自社IDaaSのプロダクトオーナーとしてお客さまの意見を伺いながら使いやすくセキュリティの高いサービスを開発者たちと共に作成中。
