Esercitazione: Configurare Box per il provisioning utenti automatico

  • Articolo

Questa esercitazione descrive i passaggi da eseguire in Box e Microsoft Entra ID per effettuare automaticamente il provisioning e il deprovisioning degli account utente da Microsoft Entra ID a Box.

Nota

Questa esercitazione descrive un connettore basato sul servizio di provisioning utenti di Microsoft Entra. Per informazioni importanti sul funzionamento di questo servizio e sulle domande frequenti, vedere Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.

Prerequisiti

Per configurare l'integrazione di Microsoft Entra con Box, sono necessari gli elementi seguenti:

  • Un tenant di Microsoft Entra
  • Un piano business o più vantaggioso di Box

Nota

Per testare i passaggi di questa esercitazione, è consigliabile non usare un ambiente di produzione.

Nota

Per prima cosa, le app devono essere abilitate nell'applicazione Box.

Nota

Questa integrazione è disponibile anche per l'uso dall'ambiente Microsoft Entra US Government Cloud. È possibile trovare questa applicazione nella raccolta di applicazioni cloud Microsoft Entra US Government e configurarla nello stesso modo in cui si esegue dal cloud pubblico.

A questo scopo, seguire queste indicazioni:

  • Non usare l'ambiente di produzione a meno che non sia necessario.
  • Se non si ha un ambiente di valutazione di Microsoft Entra, è possibile ottenere una versione di valutazione di un mese.

Assegnazione di utenti a Box

Microsoft Entra ID usa un concetto denominato "assegnazioni" per determinare quali utenti devono ricevere l'accesso alle app selezionate. Nel contesto del provisioning automatico degli account utente, vengono sincronizzati solo gli utenti e i gruppi che sono stati "assegnati" a un'applicazione in Microsoft Entra ID.

Prima di configurare e abilitare il servizio di provisioning, è necessario decidere quali utenti e/o gruppi in Microsoft Entra ID rappresentano gli utenti che devono accedere all'app Box. Dopo aver stabilito questo, è possibile assegnare tali utenti all'app Box seguendo le istruzioni riportate nell'articolo seguente:

Assegnare un utente o gruppo a un'app aziendale

Assegnare utenti e gruppi

La scheda Utenti e gruppi box > nella portale di Azure consente di specificare a quali utenti e gruppi deve essere concesso l'accesso a Box. L'assegnazione di un utente o gruppo causa quanto segue:

  • Microsoft Entra ID consente all'utente assegnato (tramite assegnazione diretta o appartenenza al gruppo) di eseguire l'autenticazione in Box. Se un utente non è assegnato, Microsoft Entra ID non consente di accedere a Box e restituisce un errore nella pagina di accesso di Microsoft Entra.

  • Un riquadro dell'app Box viene aggiunto alla schermata di avvio delle applicazionidell'utente.

  • Se il provisioning automatico è abilitato, gli utenti e/o i gruppi assegnati vengono aggiunti alla coda di provisioning per l'esecuzione automatica del provisioning.

    • Se è stata selezionata l'esecuzione del provisioning solo per gli oggetti utente, tutti gli utenti assegnati direttamente e tutti gli utenti che appartengono ai gruppi assegnati vengono aggiunti alla coda di provisioning.
    • Se è stata selezionata l'esecuzione del provisioning per gli oggetti gruppo, viene eseguito il provisioning in Box di tutti gli oggetti gruppo assegnati e di tutti gli utenti che appartengono a tali gruppi. Le appartenenze utente e gruppo vengono mantenute dopo la scrittura in Box.

È possibile usare la scheda Attributi > Single Sign-On per configurare gli attributi utente (o le attestazioni) presentati a Box durante l'autenticazione basata su SAML e la scheda Provisioning attributi > per configurare il flusso degli attributi utente e gruppo da Microsoft Entra ID a Box durante le operazioni di provisioning.

Suggerimenti importanti per l'assegnazione di utenti a Box

  • È consigliabile un singolo utente di Microsoft Entra assegnato a Box per testare la configurazione del provisioning. È possibile assegnare utenti e/o gruppi aggiuntivi in un secondo momento.

  • Quando si assegna un utente a Box, è necessario selezionare un ruolo utente valido. Il ruolo "Default Access" (Accesso predefinito) non è applicabile per il provisioning.

Abilitare il provisioning utenti automatizzato

Questa sezione illustra come connettere l'ID Microsoft Entra all'API di provisioning dell'account utente di Box e configurare il servizio di provisioning per creare, aggiornare e disabilitare gli account utente assegnati in Box in base all'assegnazione di utenti e gruppi in Microsoft Entra ID.

Se il provisioning automatico è abilitato, gli utenti e/o i gruppi assegnati vengono aggiunti alla coda di provisioning per l'esecuzione automatica del provisioning.

  • Se l'esecuzione del provisioning è selezionata solo per gli oggetti utente, gli utenti assegnati direttamente e tutti gli utenti che appartengono ai gruppi assegnati vengono aggiunti alla coda di provisioning.

  • Se è stata selezionata l'esecuzione del provisioning per gli oggetti gruppo, viene eseguito il provisioning in Box di tutti gli oggetti gruppo assegnati e di tutti gli utenti che appartengono a tali gruppi. Le appartenenze utente e gruppo vengono mantenute dopo la scrittura in Box.

Suggerimento

È anche possibile scegliere di abilitare l'accesso Single Sign-On basato su SAML per Box, seguendo le istruzioni fornite nella portale di Azure. L'accesso Single Sign-On può essere configurato indipendentemente dal provisioning automatico, nonostante queste due funzionalità siano complementari.

Per configurare il provisioning automatico degli account utente:

Questa sezione descrive come abilitare il provisioning degli account utente di Active Directory in Box.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

  2. Passare a Applicazioni di identità>Applicazioni>aziendali.

  3. Se si è già configurato Box per l'accesso Single Sign-On, cercare l'istanza di Box usando il campo di ricerca. In caso contrario, selezionare Aggiungi e cercare Box nella raccolta di applicazioni. Selezionare Box nei risultati della ricerca e aggiungerlo all'elenco delle applicazioni.

  4. Selezionare l'istanza di Box e quindi la scheda Provisioning.

  5. Impostare Modalità di provisioning su Automatico.

    Screenshot of the Provisioning tab for Box in Azure portal. Provisioning Mode is set to Automatic and Authorize is highlighted in Admin Credentials.

  6. Nella sezione Credenziali amministratore fare clic su Autorizza per aprire una finestra di dialogo di accesso a Box in una nuova finestra del browser.

  7. Nella pagina Log in to grant access to Box (Accedere per concedere l'accesso a Box) specificare le credenziali richieste e fare clic su Authorize (Autorizza).

    Screenshot of the Log in to grant access to box screen, showing entry for Email and Password, and the Authorize button.

  8. Fare clic su Grant access to Box (Concedi l'accesso a Box) per autorizzare l'operazione e tornare al portale di Azure.

    Screenshot of the authorize access screen in Box, showing an explanatory message and the Grant access to Box button.

  9. Selezionare Test Connessione ion per assicurarsi che Microsoft Entra ID possa connettersi all'app Box. Se la connessione non riesce, verificare che l'account di Box abbia autorizzazioni di amministratore di team e ripetere il passaggio "Autorizza".

  10. Immettere l'indirizzo e-mail di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning nel campo Messaggio di posta elettronica di notifica e selezionare la casella di controllo.

  11. Fare clic su Salva.

  12. Nella sezione Mapping selezionare Synchronize Microsoft Entra users to Box (Sincronizza utenti di Microsoft Entra in Box).

  13. Nella sezione Mapping attributi esaminare gli attributi utente sincronizzati da Microsoft Entra ID a Box. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Box per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

  14. Per abilitare il servizio di provisioning Di Microsoft Entra per Box, impostare Statodel provisioning su Sì nella sezione Impostazioni

  15. Fare clic su Salva.

Viene avviata la sincronizzazione iniziale di tutti gli utenti e/o i gruppi assegnati a Box nella sezione Utenti e gruppi. La sincronizzazione iniziale richiede più tempo delle sincronizzazioni successive, che saranno eseguite circa ogni 40 minuti per tutto il tempo che il servizio è in esecuzione. È possibile usare la sezione Dettagli sincronizzazione per monitorare lo stato di avanzamento e selezionare i collegamenti ai log delle attività di provisioning, che descrivono tutte le azioni eseguite dal servizio di provisioning per l'app Box.

Per altre informazioni su come leggere i log di provisioning di Microsoft Entra, vedere Creazione di report sul provisioning automatico degli account utente.

Nel tenant Box, gli utenti sincronizzati sono visualizzati nella sezione Managed Users (Utenti gestiti) di Admin Console (Console di amministrazione).

Integration status

Risorse aggiuntive