Boxの管理者または共同管理者は、Box管理コンソールのSSO証明書の設定を使用すれば、Box EnterpriseのSSO接続用に最大2つの署名証明書を管理できます。
2つ目の証明書をアップロードする機能により、期限切れを迎える現在の証明書から2つ目の新しい証明書との間でシームレスなローテーションが可能となり、どちらの証明書でもユーザーのログインを検証できるようになります。IDP側で接続が新しい証明書に移行されたら、管理コンソールの証明書の設定を使用して、一致する証明書を削除する必要があります。これで、次の証明書のローテーションの準備が整います。
証明書の追加
自分のコンピュータから証明書をアップロードするには、以下の手順に従います。
- 管理コンソールの左側のサイドバーで、[Enterprise設定] をクリックします。
- ウィンドウ上部にある [ユーザー設定] をクリックします。
- [すべてのユーザーのシングルサインオン (SSO) の構成] セクションまでスクロールします。
- [ファイルを選択] をクリックします。
- 証明書が有効な場合は、証明書の詳細が表示され、証明書の [キャンセル] または [追加して有効化] オプションを選択できます。
- 証明書が無効な場合は、エラーが表示され、接続用の証明書を追加できません。
- 証明書が有効な場合は、[追加して有効化] をクリックします。
注:
- 使用可能な証明書ファイルの形式は.pem、.cer、.crt、.derです。
- Box EnterpriseのSSO接続の構成に使用できる証明書は2つまでです。
証明書の削除
証明書を削除するには、以下の手順に従います。
- 管理コンソールの左側のサイドバーで、[Enterprise設定] をクリックします。
- ウィンドウ上部にある [ユーザー設定] をクリックします。
- [すべてのユーザーのシングルサインオン (SSO) の構成] セクションまでスクロールします。
- 削除する証明書で [削除] をクリックします。[SSO証明書の削除] プロンプトが表示されます。
- [SSO証明書の削除] プロンプトで、[削除] をクリックします。
重要:
少なくとも1つのSSO証明書を構成しておく必要があります。構成済みの2つ目の証明書がない状態で証明書を削除しようとすると、エラーが発生します。
期限切れの証明書
証明書設定では、証明書の有効期限を表示します。期限切れの証明書は、できる限り早めにコンソールから削除する必要があります。
期限切れの証明書によるEnterpriseのロックアウト
SSO署名証明書を更新する前に有効期限が切れ、SSOは有効だが [SSO必須モード] ではない場合、Box管理者は<your_box_subdomain>.box.comではなく、account.box.comから管理コンソールにログインできます。
- このログインは、EnterpriseのSSOログインフローを使用せず、box.comの資格情報を使用してログインできるようにします。
- これには、構成されたSSOプロバイダを経由する代わりに、管理者がBox資格情報でログインする必要があります。
- box.comのパスワードがわからない場合は、パスワードのリセットボタンを使用してください。
署名証明書の有効期限切れが原因でEnterpriseがBoxからロックアウトされ、ログインにSSOが必要な場合は、Boxサポートに連絡して証明書の更新を依頼してください。
制限事項
- 単一のBox Enterpriseに複数のIDプロバイダ (IdP) が接続されている場合は、証明書設定を使用できません。この場合は、Box Product Supportに連絡して、証明書の更新を依頼してください。
- この制限は、単一のIdPが複数のBox Enterpriseアカウントに接続されている場合には適用されません。 この構成の場合、上記の手順に従って証明書を更新できます。 SSO設定はEnterprise間で共有されるため、1つのアカウントで証明書を更新すると、別のアカウントでもその証明書が自動的に更新されます。
- セルフサービスSSOでご利用のIdPがサポートされていない場合は、[すべてのユーザーのシングルサインオン (SSO) の構成] セクションにエラーが表示されます。 この際にSSOの構成の更新が必要な場合は、Box Product Supportまでお問い合わせください。