Esercitazione: Configurazione di Box per il provisioning utenti automaticoTutorial: Configuring Box for Automatic User Provisioning

Questa esercitazione descrive le procedure da eseguire in Box e Azure AD per effettuare automaticamente il provisioning e il deprovisioning degli account utente da Azure AD a Box.The objective of this tutorial is to show the steps you need to perform in Box and Azure AD to automatically provision and de-provision user accounts from Azure AD to Box.

PrerequisitiPrerequisites

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga di quanto segue:The scenario outlined in this tutorial assumes that you already have the following items:

  • Tenant di Azure Active Directory.An Azure Active directory tenant.
  • Sottoscrizione di Box abilitata per l'accesso Single Sign-On.A Box single-sign on enabled subscription.
  • Account utente in Box con autorizzazioni di amministratore di team.A user account in Box with Team Admin permissions.

Assegnazione di utenti a BoxAssigning users to Box

Per determinare gli utenti che dovranno ricevere l'accesso alle app selezionate, Azure Active Directory usa il concetto delle "assegnazioni".Azure Active Directory uses a concept called "assignments" to determine which users should receive access to selected apps. Nel contesto del provisioning automatico degli account utente, vengono sincronizzati solo gli utenti e i gruppi che sono stati "assegnati" a un'applicazione in Azure AD.In the context of automatic user account provisioning, only the users and groups that have been "assigned" to an application in Azure AD is synchronized.

Prima di configurare e abilitare il servizio di provisioning, è necessario stabilire quali utenti e/o gruppi in Azure AD rappresentano gli utenti che devono accedere all'app Box.Before configuring and enabling the provisioning service, you need to decide what users and/or groups in Azure AD represent the users who need access to your Box app. Dopo aver stabilito questo, è possibile assegnare tali utenti all'app Box seguendo le istruzioni riportate nell'articolo seguente:Once decided, you can assign these users to your Box app by following the instructions here:

Assegnare un utente o gruppo a un'app aziendaleAssign a user or group to an enterprise app

Assegnare utenti e gruppiAssign users and groups

La scheda Box > Utenti e gruppi nel portale di Azure consente di specificare gli utenti e i gruppi cui concedere l'accesso a Box.The Box > Users and Groups tab in the Azure portal allows you to specify which users and groups should be granted access to Box. L'assegnazione di un utente o gruppo causa quanto segue:Assignment of a user or group causes the following things to occur:

  • Azure AD consente all'utente, assegnato tramite assegnazione diretta o appartenenza a un gruppo, di eseguire l'autenticazione in Box.Azure AD permits the assigned user (either by direct assignment or group membership) to authenticate to Box. Se l'utente non è assegnato, Azure AD non consente all'utente di eseguire l'accesso a Box e restituisce un errore nella pagina di accesso di Azure AD.If a user is not assigned, then Azure AD does not permit them to sign in to Box and returns an error on the Azure AD sign-in page.
  • Un riquadro dell'app Box viene aggiunto alla schermata di avvio delle applicazionidell'utente.An app tile for Box is added to the user's application launcher.
  • Se il provisioning automatico è abilitato, gli utenti e/o i gruppi assegnati vengono aggiunti alla coda di provisioning per l'esecuzione automatica del provisioning.If automatic provisioning is enabled, then the assigned users and/or groups are added to the provisioning queue to be automatically provisioned.

    • Se è stata selezionata l'esecuzione del provisioning solo per gli oggetti utente, tutti gli utenti assegnati direttamente e tutti gli utenti che appartengono ai gruppi assegnati vengono aggiunti alla coda di provisioning.If only user objects were configured to be provisioned, then all directly assigned users are placed in the provisioning queue, and all users that are members of any assigned groups are placed in the provisioning queue.
    • Se è stata selezionata l'esecuzione del provisioning per gli oggetti gruppo, viene eseguito il provisioning in Box di tutti gli oggetti gruppo assegnati e di tutti gli utenti che appartengono a tali gruppi.If group objects were configured to be provisioned, then all assigned group objects are provisioned to Box, and all users that are members of those groups. Le appartenenze utente e gruppo vengono mantenute dopo la scrittura in Box.The group and user memberships are preserved upon being written to Box.

La scheda Attributi > Single Sign-On consente di configurare gli attributi utente o le attestazioni presentate a Box durante l'autenticazione SAML. La scheda Attributi > Provisioning permette di configurare il flusso degli attributi utente e gruppo da Azure AD a Box durante le operazioni di provisioning.You can use the Attributes > Single Sign-On tab to configure which user attributes (or claims) are presented to Box during SAML-based authentication, and the Attributes > Provisioning tab to configure how user and group attributes flow from Azure AD to Box during provisioning operations.

Suggerimenti importanti per l'assegnazione di utenti a BoxImportant tips for assigning users to Box

  • È consigliabile assegnare un singolo utente di Azure AD a Box per testare la configurazione del provisioning.It is recommended that a single Azure AD user assigned to Box to test the provisioning configuration. È possibile assegnare utenti e/o gruppi aggiuntivi in un secondo momento.Additional users and/or groups may be assigned later.

  • Quando si assegna un utente a Box, è necessario selezionare un ruolo utente valido.When assigning a user to box, you must select a valid user role. Il ruolo "Default Access" (Accesso predefinito) non è applicabile per il provisioning.The "Default Access" role does not work for provisioning.

Abilitare il provisioning utenti automatizzatoEnable Automated User Provisioning

Questa sezione illustra la connessione di Azure AD all'API per il provisioning degli account utente di Box e la configurazione del servizio di provisioning per la creazione, l'aggiornamento e la disabilitazione degli account utente assegnati in Box in base all'assegnazione di utenti e gruppi in Azure AD.This section guides through connecting your Azure AD to Box's user account provisioning API, and configuring the provisioning service to create, update, and disable assigned user accounts in Box based on user and group assignment in Azure AD.

Se il provisioning automatico è abilitato, gli utenti e/o i gruppi assegnati vengono aggiunti alla coda di provisioning per l'esecuzione automatica del provisioning.If automatic provisioning is enabled, then the assigned users and/or groups are added to the provisioning queue to be automatically provisioned.

  • Se l'esecuzione del provisioning è selezionata solo per gli oggetti utente, gli utenti assegnati direttamente e tutti gli utenti che appartengono ai gruppi assegnati vengono aggiunti alla coda di provisioning.If only user objects are configured to be provisioned, then directly assigned users are placed in the provisioning queue, and all users that are members of any assigned groups are placed in the provisioning queue.

  • Se è stata selezionata l'esecuzione del provisioning per gli oggetti gruppo, viene eseguito il provisioning in Box di tutti gli oggetti gruppo assegnati e di tutti gli utenti che appartengono a tali gruppi.If group objects were configured to be provisioned, then all assigned group objects are provisioned to Box, and all users that are members of those groups. Le appartenenze utente e gruppo vengono mantenute dopo la scrittura in Box.The group and user memberships are preserved upon being written to Box.

Suggerimento

Si può anche scegliere di abilitare l'accesso Single Sign-On basato su SAML per Box, seguendo le istruzioni disponibili nel portale di Azure.You may also choose to enabled SAML-based Single Sign-On for Box, following the instructions provided in Azure portal. L'accesso Single Sign-On può essere configurato indipendentemente dal provisioning automatico, nonostante queste due funzionalità siano complementari.Single sign-on can be configured independently of automatic provisioning, though these two features compliment each other.

Per configurare il provisioning automatico degli account utente:To configure automatic user account provisioning:

Questa sezione descrive come abilitare il provisioning degli account utente di Active Directory in Box.The objective of this section is to outline how to enable provisioning of Active Directory user accounts to Box.

  1. Nel portale di Azure passare alla sezione Azure Active Directory > App aziendali > Tutte le applicazioni.In the Azure portal, browse to the Azure Active Directory > Enterprise Apps > All applications section.

  2. Se si è già configurato Box per l'accesso Single Sign-On, cercare l'istanza di Box usando il campo di ricerca.If you have already configured Box for single sign-on, search for your instance of Box using the search field. In caso contrario, selezionare Aggiungi e cercare Box nella raccolta di applicazioni.Otherwise, select Add and search for Box in the application gallery. Selezionare Box nei risultati della ricerca e aggiungerlo all'elenco delle applicazioni.Select Box from the search results, and add it to your list of applications.

  3. Selezionare l'istanza di Box e quindi la scheda Provisioning.Select your instance of Box, then select the Provisioning tab.

  4. Impostare Modalità di provisioning su Automatico.Set the Provisioning Mode to Automatic.

    provisioning

  5. Nella sezione Credenziali amministratore fare clic su Autorizza per aprire una finestra di dialogo di accesso a Box in una nuova finestra del browser.Under the Admin Credentials section, click Authorize to open a Box login dialog in a new browser window.

  6. Nella pagina Log in to grant access to Box (Accedere per concedere l'accesso a Box) specificare le credenziali richieste e fare clic su Authorize (Autorizza).On the Login to grant access to Box page, provide the required credentials, and then click Authorize.

    Enable automatic user provisioningEnable automatic user provisioning

  7. Fare clic su Grant access to Box (Concedi l'accesso a Box) per autorizzare l'operazione e tornare al portale di Azure.Click Grant access to Box to authorize this operation and to return to the Azure portal.

    Enable automatic user provisioningEnable automatic user provisioning

  8. Nel portale di Azure fare clic su Test connessione per verificare che Azure AD possa connettersi all'app Box.In the Azure portal, click Test Connection to ensure Azure AD can connect to your Box app. Se la connessione non riesce, verificare che l'account di Box abbia autorizzazioni di amministratore di team e ripetere il passaggio "Autorizza".If the connection fails, ensure your Box account has Team Admin permissions and try the "Authorize" step again.

  9. Immettere l'indirizzo e-mail di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning nel campo Messaggio di posta elettronica di notifica e selezionare la casella di controllo.Enter the email address of a person or group who should receive provisioning error notifications in the Notification Email field, and check the checkbox.

  10. Fare clic su Salva.Click Save.

  11. Nella sezione Mapping selezionare Synchronize Azure Active Directory Users to Slack (Sincronizza utenti di Azure Active Directory in Box).Under the Mappings section, select Synchronize Azure Active Directory Users to Box.

  12. Nella sezione Mapping degli attributi esaminare gli attributi utente che vengono sincronizzati da Azure AD a Box.In the Attribute Mappings section, review the user attributes that are synchronized from Azure AD to Box. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Box per le operazioni di aggiornamento.The attributes selected as Matching properties are used to match the user accounts in Box for update operations. Selezionare il pulsante Salva per eseguire il commit delle modifiche.Select the Save button to commit any changes.

  13. Per abilitare il servizio di provisioning di Azure AD per Box, impostare Stato del provisioning su nella sezione ImpostazioniTo enable the Azure AD provisioning service for Box, change the Provisioning Status to On in the Settings section

  14. Fare clic su Salva.Click Save.

Viene avviata la sincronizzazione iniziale di tutti gli utenti e/o i gruppi assegnati a Box nella sezione Utenti e gruppi.That starts the initial synchronization of any users and/or groups assigned to Box in the Users and Groups section. La sincronizzazione iniziale richiede più tempo delle sincronizzazioni successive, che saranno eseguite circa ogni 20 minuti per tutto il tempo che il servizio è in esecuzione.The initial sync takes longer to perform than subsequent syncs, which occur approximately every 20 minutes as long as the service is running. È possibile usare la sezione Dettagli sincronizzazione per monitorare lo stato di avanzamento e selezionare i collegamenti ai report delle attività di provisioning, che descrivono tutte le azioni eseguite dal servizio di provisioning per l'app Box.You can use the Synchronization Details section to monitor progress and follow links to provisioning activity reports, which describe all actions performed by the provisioning service on your Box app.

È ora possibile creare un account di test.You can now create a test account. Attendere 20 minuti per verificare che l'account sia stato sincronizzato con Box.Wait for up to 20 minutes to verify that the account has been synchronized to box.

Nel tenant Box, gli utenti sincronizzati sono visualizzati nella sezione Managed Users (Utenti gestiti) di Admin Console (Console di amministrazione).In your Box tenant, synchronized users are listed under Managed Users in the Admin Console.

Stato integrazioneIntegration status

Risorse aggiuntiveAdditional resources