> ## Documentation Index
> Fetch the complete documentation index at: https://docs.box.com/llms.txt
> Use this file to discover all available pages before exploring further.

# 組織のシングルサインオン (SSO) の設定

<div className="article_labels_list" style={{display: 'none'}} dangerouslySetInnerHTML={{__html: "Security , has_image , Single Sign On , SSO , Admin , Article , New , Instruction , Secure"}} />

このトピックでは、Boxで組織のシングルサインオン (SSO) を設定して構成する方法について説明します。

## シングルサインオンの概要

シングルサインオン (SSO) は、単一の資格情報を使用して複数の異なるアプリケーションにログインできる、ユーザーの認証方法です。 SSOを使用すれば、1つのパスワードですべてのアプリケーションにアクセスできるため、パスワードを入力する手間やヘルプデスクに問い合わせる回数が低減します。 特に、従業員が会社の資格情報を使用してさまざまなアプリケーションにアクセスするといった企業環境で役に立ちます。

### BoxでのSSOのサポート

SSO認証は、BusinessアカウントおよびEnterpriseアカウントで使用できます。 BoxはSAML 2.0によるSSOをサポートし、SSOのサービスプロバイダ (SP) の役割をします。 クライアントは、IDプロバイダ (IdP) として機能するためにフェデレーションサービスを実装する必要があります。 IdPは、ユーザーストアに接続されたユーザー管理ツールであり、管理者または共同管理者はこれを使用して、企業のアプリケーションへのアクセス権限を定義できます。 フェデレーションは、組織内プロバイダまたはサードパーティ製プロバイダを使用して構築が可能です。

一般的に使用されるサードパーティIdPは以下のとおりです。

* ADFS 2.0/3.0
* Google Cloud
* Okta
* OneLogin

一部のIdP (Okta、OneLoginなど) では、Box APIを通じてBoxとさまざまなレベルで統合ができ、ユーザーストアやBoxアカウントの同期性を高めるための追加機能が使用できます。 この機能の例として、IdPに追加したときの自動のアカウントプロビジョニング (事前プロビジョニング)、IdPから削除したときの自動のアカウントプロビジョニング解除、ユーザーストアとBox間でのグループの定期的な同期 (グループのプッシュ) などがあります。 この機能が提供されているかは、ご利用のIdPにお問い合わせください。

SSOサインインプロセスの概略図を次に示します。

<Frame>
  <img src="https://mintcdn.com/product-docs/ilKI74y7wF4GX9CM/images/box-admin-tools/sso.png?fit=max&auto=format&n=ilKI74y7wF4GX9CM&q=85&s=4dc7bbec306bd76fc700b640f37eee77" alt="sso" width="720" height="338" data-path="images/box-admin-tools/sso.png" />
</Frame>

1. ユーザーが自社ブランドのサブドメイン (例: mycompany.box.com) で \[**続ける**] をクリックします。
2. BoxからIdPにリクエストが転送されます。 ユーザーはIdPログインページにリダイレクトされます。
3. ユーザーが会社の資格情報を使用してログインします。
4. ユーザーストアの情報をもとにユーザーを検証します。
5. SAMLアサーションがBoxに返信されます。 IDプロバイダからのSAMLアサーションの応答には、少なくともユーザーのメールアドレスが含まれている必要があります。 メールアドレスは、Boxアカウントのユーザーに対応したものでなければなりません。 ユーザーの姓と名の属性も通常はパラメータとして送信されますが、これらはSSOを有効にするために必須ではありません。
6. ユーザーのセッションが認証され、Boxアカウントにログインします。

<Note>
  **注:**\
  BoxでのSSOは認証方法であり、統合された機能ではありません。 ユーザーストアの個々のアカウントをBoxのユーザーアカウントに同期する方式はありません。
</Note>

## シングルサインオンの設定

<Note>
  **前提条件:**

  * BoxのBusinessまたはEnterpriseアカウント。
  * プライマリ管理者、または \[レポートと設定] セクションで少なくとも以下の権限が選択されていて共同管理者の権限を持つ管理対象ユーザー。
    * 会社の設定とアプリを表示する
    * 会社の設定とアプリを編集する
</Note>

<h3 id="setting-up-sso-on-your-own">
  ユーザーによるSSOの設定
</h3>

管理者および共同管理者がシングルサインオンを各自で設定できるオプションがあります。 Boxのサポートなしで企業のセキュリティ設定を行う場合でも、シングルサインオンの設定および有効化は簡単にできます。 必要な3つの手順を以下に示します。

* SSOを構成する
* SSOをテストする
* SSOを必須にする

<Note>
  **注**: SSO有効モードを有効にすると、ユーザーは、SSOまたは自分のBox資格情報を使用してサインインできるようになります。 SSO必須モードが有効になると、ユーザーはSSO経由でのみログイン可能になります。
</Note>

**SSOを構成するには:**

1. **\[管理コンソール] > \[Enterprise設定]** に移動します。
2. \[**ユーザー設定**] タブをクリックします。
3. \[**すべてのユーザーのシングルサインオン (SSO) の構成**] セクションで \[**構成**] をクリックします。
4. IDプロバイダ (IdP) を選択します。 プロバイダがリストにない場合は、[SSO設定のサポートフォーム](https://support.box.com/hc/ja/requests/new?ticket_form_id=360002612594)からBoxにSSOの設定を依頼してください。
5. SSOメタデータファイルをアップロードします。 メタデータファイルがない場合やメタデータファイルの更新が必要な場合は、[SSO設定のサポートフォーム](https://support.box.com/hc/ja/requests/new?ticket_form_id=360002612594)からBoxにSSOの設定を依頼してください。
6. \[**送信**] をクリックします。

\[**すべてのユーザーのシングルサインオン (SSO) の構成**] セクションには、SSO処理の進捗状況やエラーが発生したかどうかを知らせるステータスインジケータが表示されます。

ファイルの処理が問題なく完了すると、メインのアカウント管理者および共同管理者のメールアドレスに通知が送信されます。 ファイルの処理期間中に社内向けに新しいログインプロセスを通知してください。

**シングルサインオン有効モードを有効にするには:**

1. **\[管理コンソール] > \[Enterprise設定]** に移動します。
2. \[**ユーザー設定**] タブをクリックします。
3. \[**すべてのユーザーのシングルサインオン (SSO) を有効化**] セクションで、\[**SSO有効モード**] を有効にします。

**シングルサインオン必須モードを有効にするには:**

<Warning>
  **重要**

  * セキュリティ上の理由により、\[SSO必須モード] の有効化は「重要な操作」と見なされ、完了するには多要素認証 (MFA) が必要です。
  * この設定を有効化する前に、SSOログインフローのテストを行う必要があります。 SSO資格情報が正しく動作するテストをしなかった場合は、Boxアカウントからロックアウトされる可能性があります。
</Warning>

この時点で、すべての管理対象ユーザーは、選択したSSOプロバイダ経由でBoxにアクセスできるようになります。 また、MFAもSSOプロバイダで処理されるため、その登録が解除されます (有効にしている場合)。

1. **\[管理コンソール] > \[Enterprise設定]** に移動します。
2. \[**ユーザー設定**] タブをクリックします。
3. \[**すべてのユーザーのシングルサインオン (SSO) を有効化**] セクションで、\[**SSO有効モード**] を無効にし、\[**SSO必須モード**] を有効にします。
4. \[**SSO必須モードを有効化**] ダイアログボックスで、両方のチェックボックスをオンにし、\[**すべてのユーザーに対して有効化**] をクリックします。
5. [管理コンソールでの重要な操作に多要素認証が必要](/ja/box-admin-tools/box-security/multi-factor-authentication-required-for-admin-console-critical-actions)で説明されている方法を使用して、MFAでこの変更を認証します。

## シングルサインオンの無効化

シングルサインオンを無効にするには、\[**SSO必須モード**] の切り替えを無効にします。 セキュリティ上の理由により、SSOの無効化は「重要な操作」と見なされ、完了するには多要素認証 (MFA) が必要です。

## 技術情報

以下のリストは各IdPの設定ファイルです。

#### **Okta**

* Oktaメタデータファイル (metadata.xml)

#### **ADFS**

* firstnameAttribute = `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname`
* lastnameAttribute = `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname`
* emailAttribute = `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`

#### **Entra ID**

* firstnameAttribute = `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname`
* lastnameAttribute = `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname`
* emailAttribute = `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name`
* oidAttribute = `http://schemas.microsoft.com/identity/claims/objectidentifier`
* tenantidAttribute = `http://schemas.microsoft.com/identity/claims/tenantid`

#### **Google Cloud**

* firstnameAttribute = `firstName`
* lastnameAttribute = `lastName`
* emailAttribute = `SAML_SUBJECT`

#### **OneLogin**

* firstnameAttribute = `firstName`
* lastnameAttribute = `lastName`
* emailAttribute = `SAML_SUBJECT`

### BoxでのSSOの設定

<Frame>
  <img src="https://mintcdn.com/product-docs/ilKI74y7wF4GX9CM/images/box-admin-tools/sso-2.png?fit=max&auto=format&n=ilKI74y7wF4GX9CM&q=85&s=cb66645fae32e68078ee227feaf6a195" alt="sso" width="999" height="311" data-path="images/box-admin-tools/sso-2.png" />
</Frame>

***検出*** - IdP (IDプロバイダ) の選択が完了したら、[SSO設定のサポートフォーム](https://support.box.com/hc/ja/requests/new?ticket_form_id=360002612594)に入力します。 フォームで必要な情報については、このページの手順を参照してください。

***設定*** - SSO設定のサポートリクエストが提出されると、サポートチームが当社SP (サービスプロバイダ) からお客様のIdPへの接続を設定します。 同様にお客様側でも、当社からお伝えした[メタデータまたは情報](#account-creation-emails)を使用してお客様のIdPから当社のSPへの接続を設定する必要があります。

***テスト*** - Enterprise設定の \[**SSOの有効化**] をオンにすると、会社のBoxログインページが表示されます。 この会社ブランドのページを変更したり、削除したりすることはできません。

<Frame>
  <img src="https://mintcdn.com/product-docs/ilKI74y7wF4GX9CM/images/box-admin-tools/sso-3.png?fit=max&auto=format&n=ilKI74y7wF4GX9CM&q=85&s=399c0a8ceacf41bc2399110e327d7e47" alt="sso" width="999" height="565" data-path="images/box-admin-tools/sso-3.png" />
</Frame>

**SSOの有効化**のフェーズでは、管理対象ユーザーは会社のメールアドレスとパスワードを使用してBox.comにログインできます。あるいは、Boxサブドメインを通じて会社のログイン資格情報を使用できます。 この設定は、テスト中は使用可能ですが、本番フェーズでは \[**SSO必須モード**] に変更する必要があります。

***展開*** - テスト後は、Boxインスタンスを \[**SSO必須モード**] の状態に移行し、すべての管理対象ユーザーがIdPログインページから会社のログイン資格情報を使用した場合のみログインできるようにする必要があります。 Box製のアプリケーション (Box Syncなど) はすべてSSOを使用できます。 これはSSOの使用を強制するため、推奨される方法です。 SSOで認証できない管理対象ユーザー (請負業者、ベンダーなど) がいる場合は、 アカウントのSSOを必須にしないでください。

<Note>
  **注:**

  * FTPアプリケーションはSSOをサポート**しません**。 これらのアプリケーションを使用する必要がある場合、ユーザーは外部パスワードを任意で作成することができます。
  * 一定の日数が経過すると管理者および共同管理者がパスワードのリセットを強制できる管理コンソール設定は、ユーザーの外部パスワードにのみ適用されます。 この設定は、SSOの資格情報には影響**しません**。
</Note>

### IdPの要件

* SPが開始したSSOをサポートすること
* SAML 2.0に対応すること

<h3 id="what-you-need-from-box-to-set-up-your-connection">
  接続の設定に必要なBoxの情報
</h3>

* エンティティID: box.net
* セキュリティトークンコンシューマURL: [https://sso.services.box.net/sp/ACS.saml2](https://sso.services.box.net/sp/ACS.saml2)
* [公開証明書](https://cloud.app.box.com/s/go7186m1jlw8vixwpbxjp8n2tuohy9uf)

または

* [Boxメタデータファイル](https://cloud.app.box.com/s/9y0zm1sqgvkxe8ha2qa3dfhwoivpoyy4)

### Boxへの提出が必要なIDプロバイダの情報

* エンティティID、接続ID、または外部キー
* リダイレクトURL
* 公開証明書

または

* 上記のすべての情報を含むメタデータファイル

一般的なIdPに関するこの情報の取得方法については、以下に詳しい説明があります。 これらの手順は実装環境により若干異なる場合があります。問題が発生した場合は、ご利用のIdPの設定をご確認ください。 上記の一般的なIdP以外をご利用の場合は、メール、姓名の属性名もご提出ください (例: 「email」、「firstName」、「lastName」)。

<table><tbody><tr><td><h4 id="01F4AQ69E4PA2WM07CKREZRNKM">ADFS 2.0/3.0</h4></td><td>SSOの設定にはメタデータxmlファイルが必要です。 ADFSメタデータファイルの入手方法: <ol><li><p>次のリンクにアクセスして、xmlファイルをダウンロードします。</p><ul><li><p>\<your\_domain>は使用するドメイン名に置き換えてください (例: <a href="https://www.company.com/FederationMetadata/2007-06/FederationMetadata.xml" rel="noopener" target="_blank">https\://\<your\_domain>/FederationMetadata/2007-06/FederationMetadata.xml</a>)</p></li></ul></li><li><p>メタデータファイルを<a href="https://support.box.com/hc/ja/requests/new?ticket_form_id=360002612594" rel="noopener" target="_blank">SSO設定のサポートフォーム</a>に添付するか、<a href="#what-you-need-from-box-to-set-up-your-connection">ユーザーによるSSOの設定</a>のガイドを参照してください。</p></li></ol></td><td><a href="https://cloud.box.com/s/b887679a8426948aae70" target="_self">ヘルプ記事</a></td></tr><tr><td><h4 id="01F4AQ69E4QW4SMX6ASDYQ15X5">Entra ID</h4></td><td>SSOの設定にはメタデータxmlファイルが必要です。 Entra IDメタデータファイルの入手方法:<ol><li>次のリンクにアクセスして、テナントポータルを表示します。<a href="https://www.contoso.com/federationmetadata/2007-06/federationmetadata.xml" rel="nofollow noopener noreferrer" target="_blank">https\://\<TENANTNAME>/federationmetadata/2007-06/federationmetadata.xml</a><ul><li>\<TENANTNAME>はテナントポータルアドレスに置き換えてください。(例: <a href="https://www.company.com/federationmetadata/2007-06/federationmetadata.xml" rel="nofollow noopener noreferrer" target="_blank">[https://www.company.com/federationmetadata/2007-06/federationmetadata.xml](https://www.company.com/federationmetadata/2007-06/federationmetadata.xml)</a>)</li></ul></li><li>メタデータファイルを<a href="https://support.box.com/hc/ja/requests/new?ticket_form_id=360002612594" rel="noopener" target="_blank">SSO設定のサポートフォーム</a>に添付するか、<a href="#setting-up-sso-on-your-own">ユーザーによるSSOの設定</a>のガイドを参照してください。</li></ol></td><td><a href="https://learn.microsoft.com/en-us/entra/identity/saas-apps/box-tutorial">ヘルプリンク</a></td></tr><tr><td><h4 id="01F4AQ69E4GGVN2WH559946D7X">Bitium</h4></td><td>SSOの設定にはメタデータxmlファイルが必要です。 Bitiumメタデータファイルの入手方法: <ol><li>Bitiumで \[<strong>Manage Apps (アプリの管理)</strong>] を選択します。</li><li>インストール済みのアプリからBoxを選択します。</li><li>\[<strong>Single Sign-On (シングルサインオン)</strong>] タブをクリックします。</li><li>ドロップダウンメニューをクリックして \[<strong>SAML authentication (SAML認証)</strong>] を選択します。</li><li>メタデータXMLファイルをダウンロードします。</li><li>この情報をもとに<a href="https://support.box.com/hc/ja/requests/new?ticket_form_id=360002612594" rel="noopener" target="_blank">SSO設定のサポートフォーム</a>に入力します。</li></ol></td><td /></tr><tr><td><h4 id="h_01JSCTADAV89MDF7MTQCDAR594">Entrust Identity</h4></td><td><p>SSOの設定にはメタデータxmlファイルが必要です。 Entrust Identityメタデータファイルの入手方法: </p><ol><li>Identity as a Serviceで、<strong>\[Resources (リソース)] > \[Applications (アプリケーション)]</strong> に移動します。</li><li><p class="lilip1list1procedure">Identity as a Serviceと統合するアプリケーションの横にあるダウンロードアイコン をクリックします。</p></li><li>ドロップダウンリストで、SAML IDPメタデータファイルに含める証明書を選択します。</li><li>該当する場合は、ファイルに含めるドメインも選択します。</li><li>\[<strong>ダウンロード</strong>] をクリックします。</li></ol></td><td><a href="https://entrust.us.trustedauth.com/documentation/help/admin/index.htm#t=Applications%2FSAML%2FSAML_metadata.htm">ヘルプリンク</a></td></tr><tr><td><h4 id="01F4AQ69E40A36MYC73RJBRWHA">Google Cloud</h4></td><td><p>SSOの設定にはメタデータxmlファイルが必要です。 Google Cloudメタデータファイルの入手方法:</p><ol><li>特権管理者アカウントを使用して、Google管理コンソールのホームページから <strong>\[Apps (アプリ)] > \[Web and mobile apps (ウェブアプリとモバイルアプリ)]</strong> に移動します。</li><li>\[<strong>Add App (アプリの追加)</strong>] > \[<strong>Add private SAML app (プライベートSAMLアプリの追加)</strong>] をクリックします。</li><li>\[<strong>App Details (アプリの詳細)</strong>] ページで、カスタムアプリの名前を入力します。</li><li>\[<strong>Continue (続行する)</strong>] をクリックします。</li><li class="" data-outlined="false">\[<strong>Google Identity Provider details (Google IdP情報)</strong>] ページで、次のオプションのいずれかを使用して、サービスプロバイダが必要とする設定情報を取得します。<ul><li class="" data-outlined="false">\[<strong>IDP metadata (IDPメタデータ)</strong>] をダウンロードします。</li><li class="" data-outlined="false">\[<strong>SSO URL (SSOのURL)</strong>] と \[<strong>Entity ID (エンティティID)</strong>] の値をコピーし、\[<strong>Certificate (証明書)</strong>] (または必要に応じて、\[<strong>SHA-256 fingerprint (SHA-256フィンガープリント)</strong>]) をダウンロードします。</li></ul></li><li>メタデータXMLファイルを<a href="https://support.box.com/hc/ja/requests/new?ticket_form_id=360002612594" rel="noopener" target="_blank">SSO設定のサポートフォーム</a>に添付します。</li></ol></td><td><a href="https://support.google.com/a/answer/6087519?hl=en" rel="noopener" target="_blank">ヘルプリンク</a></td></tr><tr><td><h4 id="01F4AQ69E4YXCTM42YRNV3F112">Nopassword (WiActs)</h4></td><td>SSOの設定にはメタデータxmlファイルが必要です。 NoPasswordメタデータファイルの入手方法:<ol><li><strong>Nopassword管理ダッシュボードの \[Apps (アプリ)]</strong> を選択します。</li><li>\[<strong>Add Application (アプリケーションの追加)</strong>] セクションで「Box」と入力し、ドロップダウンメニューから \[<strong>Box</strong>] を選択します。</li><li>\[App Setup (アプリ設定)] ウィザードの次のページで、\[<strong>Metadata (メタデータ)</strong>] のハイパーリンクをクリックしてダウンロードします。</li><li>メタデータXMLファイルを<a href="https://support.box.com/hc/ja/requests/new?ticket_form_id=360002612594" rel="noopener" target="_blank">SSO設定のサポートフォーム</a>に添付します。</li></ol></td><td /></tr><tr><td><h4 id="01F4AQ69E4M2BFK119Y9MB2YT8">MobileIron</h4></td><td>SSOの設定にはメタデータxmlファイルが必要です。 MobileIron Accessメタデータファイルの入手方法:<br /><ol><li>MobileIron Access管理サーバーにアクセスします。</li><li><strong>\[Profile (プロフィール)] > \[Federated Pairs (フェデレーションペア)] に移動し、Boxのフェデレーションペアを選択</strong>します。</li><li><strong>\[Access IDP Metadata (Upload to SP) (IDPメタデータにアクセス (SPにアップロード))] > \[Download (ダウンロード)]</strong> を選択します。</li><li>この情報をもとに<a href="https://support.box.com/hc/ja/requests/new?ticket_form_id=360002612594" rel="noopener" target="_blank">SSO設定のサポートフォーム</a>に入力します。</li></ol></td><td /></tr><tr><td><h4 id="01F4AQ69E4FP2J47ATVGZC81A6">Okta</h4></td><td>SSOの設定には、外部キー、リダイレクトURL、および公開証明書が必要です。 情報の入手方法: <ol><li><strong>Okta管理ダッシュボードの \[Applications (アプリケーション)] > \[Box]</strong> を選択します。</li><li><strong>\[Single Sign-On (シングルサインオン)] タブで \[SAML 2.0] > \[View setup instructions (設定手順の表示)]</strong> を選択します (デフォルトの中継状況は無視します)。</li><li>外部キーとリダイレクトURLをコピーします。</li><li>証明書ファイルをダウンロードします。</li><li>この情報をもとに<a href="https://support.box.com/hc/ja/requests/new?ticket_form_id=360002612594" rel="noopener" target="_blank">SSO設定のサポートフォーム</a>に入力するか、<a href="#setting-up-sso-on-your-own">ユーザーによるSSOの設定</a>のガイドを参照してください。</li></ol></td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Box.net.html" target="_self">設定ガイド</a></td></tr><tr><td><h4 id="01F4AQ69E4846GD02D5F5M6206">OneLogin</h4></td><td>SSOの設定にはメタデータxmlファイルが必要です。 OneLoginメタデータファイルの入手方法:<ol><li><strong>OneLogin管理ダッシュボードの \[Company Apps (会社アプリ)] > \[Box]</strong> を選択します。</li><li><strong>\[SSO] タブの \[Single Sign On (シングルサインオン)]</strong> を選択します。</li><li><strong>\[Issuer URL (発行元URL)] > \[Download the metadata (メタデータをダウンロード)]</strong> を選択します。</li><li>この情報をもとに<a href="https://support.box.com/hc/ja/requests/new?ticket_form_id=360002612594" rel="noopener" target="_blank">SSO設定のサポートフォーム</a>に入力するか、<a href="#setting-up-sso-on-your-own">ユーザーによるSSOの設定</a>のガイドを参照してください。</li></ol></td><td><a href="https://onelogin.service-now.com/support?id=kb_article&sys_id=0e6c071adb2234101c167e77f4961917" rel="undefined" target="_self">設定ガイド</a></td></tr><tr><td><h4 id="h_01JSCTADAY53RDWHAMZ8QB5FWA">PingIdentity</h4></td><td><p>SSOの設定にはメタデータxmlファイルが必要です。 このxmlファイルには、以下のメタデータが含まれている必要があります。</p><ul><li>エンティティID、接続ID、または外部キー</li><li>リダイレクトURL</li><li>公開証明書</li></ul><p>PingIdentityメタデータファイルの入手方法:</p><ol><li>PingFederate管理コンソールで、\[Metadata Export (メタデータのエクスポート)] ウィンドウを開きます。<ul><li>PingFederate 10.1以降の場合: <strong>\[System (システム)]> \[Protocol Metadata (プロトコルメタデータ)] > \[Metadata Export (メタデータのエクスポート)]</strong> に移動します。</li><li>PingFederate 10.0以前の場合: <strong>\[System (システム)] > \[Metadata Export (メタデータのエクスポート)]</strong> に移動します。</li></ul></li><li>XMLファイルに含めるメタデータを選択します。</li><li>ファイルをエクスポートします。</li><li>この情報をもとに<a href="https://support.box.com/hc/ja/requests/new?ticket_form_id=360002612594" rel="noopener" target="_blank">SSO設定のサポートフォーム</a>に入力するか、<a href="#setting-up-sso-on-your-own">ユーザーによるSSOの設定</a>のガイドを参照してください。</li></ol><p>詳細については、PingIdentityドキュメントの<a href="https://docs.pingidentity.com/integrations/pingid/pf_pid_connector.html" target="_self">PingFederateからのSAMLメタデータのエクスポート</a>に関するトピックを参照してください。</p></td><td /></tr><tr><td><h4 id="01F4AQ69E4D7KWSADYJG8RAWDC">その他/カスタムIdP</h4></td><td>ご利用のIdPに直接お問い合わせいただき、メタデータファイルまたはエンティティID、リダイレクトURLおよび署名証明書を入手してください。 この情報をもとに<a href="https://support.box.com/hc/ja/requests/new?ticket_form_id=360002612594" rel="noopener" target="_blank">SSO設定のサポートフォーム</a>に入力します。</td><td /></tr></tbody></table>

<Note>
  **情報:**\
  SSOは、Box Driveアプリにも有効です。詳細については、[Box Driveの基本的な使用方法](/ja/box-drive/getting-started-with-box-drive/using-box-drive-basics)を参照してください。
</Note>

## SSOアカウントの設定

<h3 id="account-creation-emails">
  アカウント作成の通知メール
</h3>

SSO必須モードが有効になると、アカウント作成の通知メールも抑制できるようになります。 \[**管理コンソール**] > \[**Enterprise設定**] > \[**通知**] タブで設定できます。

<Frame>
  <img src="https://mintcdn.com/product-docs/ilKI74y7wF4GX9CM/images/box-admin-tools/sso-4.png?fit=max&auto=format&n=ilKI74y7wF4GX9CM&q=85&s=693038ab21696d7e19a202ced5f007cc" alt="sso" width="827" height="397" data-path="images/box-admin-tools/sso-4.png" />
</Frame>

新規アカウント保有者には、パスワードの設定を求める「Boxへようこそ」と記載されたメールがデフォルトで送信されます。 これらのアカウント保有者はBoxのパスワードでなくADパスワードを使用してログインしているため、これは紛らわしい通知です。

### SSOログアウトURL

デフォルトで、Boxからログアウトしたユーザーは自社のBoxログインページに戻ります。 ただし、Boxはシングルログアウト (SLO) をサポートしていないので、ユーザーは会社のIdPで認証されます。このため、ユーザーが \[続ける] ボタンをクリックすると自動でBoxアカウントにリダイレクトされ、メールアドレスとパスワードを入力する必要はありません。

BoxからログアウトしてもIdPセッションからログアウトしないことをユーザーに知らせるため、BoxをログアウトするときのリダイレクトURLを変更できます。 例として、IdPのホームページやIdPのログアウトページをURLに使用できます。

#### カスタムログアウトURLの設定

ご希望のログアウトURLをBox担当者にご連絡ください。

<h3 id="sso-on-the-fly-registration-auto-provisioning">
  SSOのオンザフライ登録 (自動プロビジョニング)
</h3>

ユーザーがはじめてBoxにログインするとき、アカウントのプロビジョニングが自動で行えます。 IdPはユーザーを検証して、アカウントの取得を許可することをBoxに通知します。 ユーザーにアカウントを許可しない場合は、IdPを通じてセキュリティグループなどの制約を課して、BoxにSAMLアサーションを送らないようにしてください。

これらのアカウントの作成は、管理コンソールでアカウント管理者または共同管理者が定義した新規ユーザー設定 (\[**管理コンソール**] > \[**Enterprise設定**] > \[**ユーザー設定**] > \[**新規ユーザーの初期設定**]) を使用して行います。

これらのアカウントを作成するためには、SAMLアサーションの中にユーザーの姓名およびメールアドレスが含まれている必要があります。 SAMLアサーションの姓名属性が使用されるのはアカウントの作成プロセスのみとなります。

#### **SSO自動プロビジョニングの設定:**

SAMLアサーションで使用する姓名属性をBox担当者にご連絡ください。

### 自動登録

自動登録を有効にすると、ユーザーは会社メールアドレスを使用して無料のBoxアカウントを作成できなくなります。

<Frame>
  <img src="https://mintcdn.com/product-docs/xwgKJKhu_rJvniNQ/images/box-admin-tools/message-that-users-can-t-create-free-box-accounts-with-company-email.png?fit=max&auto=format&n=xwgKJKhu_rJvniNQ&q=85&s=b686ce0edc7cc0304c9ee20e2ded7cd0" alt="box" width="755" height="365" data-path="images/box-admin-tools/message-that-users-can-t-create-free-box-accounts-with-company-email.png" />
</Frame>

プロビジョニング済みのアカウントがないことが原因でユーザーログインに失敗することがないように、自動プロビジョニングを有効にした**後に**自動登録を有効にすることを強くお勧めします。 自動登録を有効にする方法については、[ドメインの自動登録](/ja/box-admin-tools/how-to-guides-for-admins/domain-management-verification-and-auto-enrollment#domain-auto-enrollment)を参照してください。

## SSOを使用したBoxのグループ登録

SSO有効またはSSO必須のアカウントに対して管理者または共同管理者は、Boxに配置したユーザーストアにグループを設定することができます。 これは、SAMLアサーションを使用したユーザーストアからBoxへの1方向の通信となります。 SSOを使用してBoxにログインしたユーザーは、ユーザーストア内のグループとBox管理者または共同管理者が選択した設定に応じて、グループに追加またはグループから削除することができます。

SAMLアサーションには、グループ情報を伝えるための属性が必要です。 既存のSSO接続については、変更が必要になる場合があります。

グループ情報は、複数値の属性を使用して送信されます。

```python theme={null}
<Attribute Name="http://schemas.xmlsoap.org/claims/Group">  <AttributeValue>MyGroup4</AttributeValue>  <AttributeValue>MyGroup3</AttributeValue>  <AttributeValue>MyGroup2</AttributeValue>  <AttributeValue>MyGroup1</AttributeValue></Attribute>
```

SSOグループ機能を有効にすると、**管理コンソールの \[Enterprise設定] > \[ユーザー設定]** に、\[ユーザーグループ設定] セクションが表示されます。

<Frame>
  <img src="https://mintcdn.com/product-docs/ilKI74y7wF4GX9CM/images/box-admin-tools/user-groups-settings.png?fit=max&auto=format&n=ilKI74y7wF4GX9CM&q=85&s=7628ec344b42d9a2085d2b57a0eec578" alt="" width="709" height="303" data-path="images/box-admin-tools/user-groups-settings.png" />
</Frame>

一部のIdPでは、SSOを有効にすると自動的にこのセクションが表示されます。

* SSOにOktaまたはGoogle Cloudを使用している場合、このいずれかのIdPに対してSSOを有効にし、メタデータファイルをアップロードすると、\[ユーザーグループ設定] セクションが表示されます。
* SSOにOneLogin、ADFS (Active Directory)、またはSAMLグループに対応するその他のIdPを使用している場合は、サポート担当者に問い合わせて、\[ユーザーグループ設定] セクションを有効にしてください。

以下に各設定について簡単に説明します。

* **SSOユーザーのログイン時に新規グループを追加** – ユーザーを含むグループが送信されて、Boxのグループに完全一致する名前がない場合、このグループは新しいBoxグループとして追加されます。 このグループには管理コンソールで権限を手動で割り当てる必要があります。 この設定を使用すると、複数のグループの正確な名前を管理者アカウントの元に集約できます。
* **SSOユーザーのログイン時にグループにユーザーを追加** – ログインSAMLアサーションでグループが送信され、そのグループが既存のBoxグループの名前と一致した場合、ユーザーはそのBoxグループに追加されます。 この設定と次の設定 (「ユーザーを削除」) が有効になっている場合は、毎回のログイン時に、ユーザーストアのグループメンバーシップによってBoxユーザーのグループメンバーシップが更新されます。
* **SSOユーザーのログイン時にグループからユーザーを削除** – 現在ユーザーが既存のBoxグループに含まれ、ログインSAMLアサーションでグループが送信されない場合、ユーザーはそのBoxグループから削除されます。 この設定と前の設定 (「ユーザーを追加」) が有効になっている場合は、毎回のログイン時に、ユーザーストアのグループメンバーシップによってBoxユーザーのグループメンバーシップが更新されます。

3つすべてのSSOグループオプションが有効になっている場合、Boxにおけるグループ作成とメンバーシップはユーザーストアに基づいて管理されます。

#### 制限事項

* ネストグループはサポートされません。 グループ階層は折りたたんだ状態である必要があります。 必要に応じてグループ階層の折りたたみが可能であるか、ご利用のIdPにお問い合わせください。
* この方式は (SAMLによる) 1方向の通信です。 Boxのグループに対する変更は、ユーザーストアには反映されません。 ユーザーストアに変更が適用されないと、ユーザーのグループメンバーシップは次回のログイン時に元の設定に戻ります。
* グループメンバーシップはユーザーのログイン時に同期されます。 ユーザーがログアウトしないと、新しいSAMLアサーションが送られず、ユーザーのグループメンバーシップが最新でなくなる場合があります。
* SSOでは、ユーザーのグループメンバーシップの作成と更新が可能です。
* グループ権限は、BoxウェブアプリまたはAPIを使用して手動で割り当てる必要があります。

また、Active Directoryのグループは100個に制限されています。 グループがAPI (Entra IDなど) を使用して追加された場合、この制限は適用されません。

## SSOを使用したユーザーアカウントのメールエイリアスの追加

SSOを有効にしたEnterpriseアカウントでは、管理者または共同管理者がSSOを使用してメールエイリアスを設定できます。

SAMLアサーションは、メールアドレス情報を伝えるため2つの個別の属性を必要とします。 ユーザーがログインするアカウントを判別するための識別子として単一値の属性が使用されます。 この属性は、すべてのメール通知を受信するプライマリメールアドレスの判別にも使用されます。 メールエイリアスは、2番目の複数値属性で送信されます。

```python theme={null}
<Attribute Name="primary_email">     <AttributeValue>primaryemail@box.com</AttributeValue> </Attribute> <Attribute Name="email_aliases">     <AttributeValue>alias1@box.com</AttributeValue>     <AttributeValue>alias2@box.com</AttributeValue>     <AttributeValue>alias3@box.com</AttributeValue> </Attribute>
```

#### 制限事項:

* 追加できるのは、管理対象ドメイン内のメールアドレスのみです。 Boxアカウントにさらにドメインを登録する場合は、Box担当者までお問い合わせください。
* メールアドレスを関連付けられるのは、1つのBoxアカウントのみです。
* SSOを使用して最初に追加したエイリアスのみをSSOを使用して削除できます。

## SSOとリバースプロキシ

セキュリティのベストプラクティスにより、SAMLフローでのクロスオリジンリクエストが原因でログイン試行が失敗します。

例えば、ユーザーがあるURL形式 (`https://sso.services.box.net`) でSAMLフローを開始した後、リバースプロキシのURL拡張子を使用した別のURL形式 (`https://sso.services.box.net.mcas-gov.us`) でSAMLフローを完了した場合、セッション検証Cookieはクロスオリジンリクエストが原因で失われるため、ログインが拒否されます。 これは、ユーザーがSAMLフローの途中でリバースプロキシに送信される場合によく発生します。

このシナリオの影響を受ける場合は、販売店から指定された窓口にお問い合わせのうえ、利用可能なソリューションについてご相談ください。

## SSOとユーザーのメールアドレス変更

SSOが有効になると、ユーザーは、自分のアカウントのメールアドレスを変更できなくなります。 これは、信頼できる情報源であるメールアドレスがIDプロバイダで管理されていることが原因です。 詳細については、[シングルサインオンアカウントのメールアドレスを変更する](https://support.box.com/hc/ja/articles/360043692934)を参照してください。

また、[アカウント設定の管理](/ja/box-fundamentals/for-users/user-login-and-settings/manage-account-settings)で説明されている \[*プライマリに変更*] オプションは、ユーザーの \[アカウント設定] ページにある予備メールアドレスまたはリンクされたメールアドレスに使用できません。
