Configuración de Box para el inicio de sesión único con el identificador de Microsoft Entra

En este artículo, aprenderá a integrar Box con Microsoft Entra ID. Al integrar Box con Microsoft Entra ID, puede hacer lo siguiente:

• Controlar en Microsoft Entra ID quién tiene acceso a Box.
• Permitir que los usuarios puedan iniciar sesión automáticamente en Box con sus cuentas de Microsoft Entra.
• Administre sus cuentas en una ubicación central.

Requisitos previos

En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:

• Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si no la tiene, puede crear una cuenta gratis.
• Uno de los siguientes roles:
  • Administrador de aplicaciones
  • Administrador de aplicaciones en la nube
  • Propietario de la aplicación.

• Suscripción habilitada para el inicio de sesión único (SSO) en Box.

Nota

Esta integración también está disponible para usarse desde el entorno de la nube del gobierno de EE. UU. de Microsoft Entra. Es posible encontrar esta aplicación en la galería de aplicaciones en la nube del gobierno de EE. UU. de Microsoft Entra y configurarla de la misma manera que en la nube pública.

Descripción del escenario

En este artículo, configura y prueba Microsoft Entra SSO en un entorno de prueba.

• Box admite el SSO iniciado por SP
• Box admite el aprovisionamiento y desaprovisionamiento automático de usuarios (recomendado).
• Box admite el aprovisionamiento de usuarios Just-In-Time

Nota

El identificador de esta aplicación es un valor de cadena fijo, por lo que solo se puede configurar una instancia en un inquilino.

Agregar Box desde la galería

Para configurar la integración de Box en Microsoft Entra ID, deberá agregar Box desde la galería a la lista de aplicaciones SaaS administradas.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
2. Navegue a Entra ID>Aplicaciones empresariales>Nueva aplicación.
3. En la sección Agregar desde la galería, escriba Box en el cuadro de búsqueda.
4. Seleccione Box en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.

Como alternativa, también puede usar el Asistente para configuración de aplicaciones empresariales. En este asistente, puede agregar una aplicación a su cliente, agregar usuarios o grupos a la aplicación, asignar roles y completar la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para Box

Configure y pruebe el SSO de Microsoft Entra con Box mediante un usuario de prueba llamado B.Simon. Para que el SSO funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de Box.

Para configurar y probar el inicio de sesión único de Microsoft Entra con Box, complete los siguientes pasos:

1. Configuración del inicio de sesión único de Microsoft Entra: para que los usuarios puedan utilizar esta característica.
   1. Creación de un usuario de prueba de Microsoft Entra : para probar el inicio de sesión único de Microsoft Entra con B.Simon.
   2. Asigne el usuario de prueba de Microsoft Entra : para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
2. Configurar el inicio de sesión único en Box, para configurar los valores de Inicio de sesión único en la aplicación.
   1. Creación de un usuario de prueba de Box: para tener un homólogo de B.Simon en Box que esté vinculado a la representación del usuario en Microsoft Entra.
3. Prueba del inicio de sesión único: para comprobar si la configuración funciona.

Configuración del SSO de Microsoft Entra

Siga estos pasos para habilitar el inicio de sesión único de Microsoft Entra.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

2. Vaya a Entra ID>Aplicaciones empresariales>Box>Inicio de sesión único.

3. En la página Seleccionar un método de inicio de sesión único, elija SAML.

4. En la página Set up single sign-on with SAML (Configurar inicio de sesión único con SAML ), seleccione el icono de edición y lápiz de Configuración básica de SAML para editar la configuración.

   

5. En la sección Configuración básica de SAML, especifique los valores de los siguientes campos:

   a) En el cuadro de texto URL de inicio de sesión, escriba una dirección URL con el siguiente patrón: https://<SUBDOMAIN>.account.box.com

   b. En el cuadro de texto Identificador (Id. de entidad) , escriba una dirección URL: box.net

   c. En el cuadro de texto URL de respuesta, escriba la dirección URL: https://sso.services.box.net/sp/ACS.saml2

   Nota

   El valor de la dirección URL de inicio de sesión no es real. Actualice el valor con la dirección URL de inicio de sesión real. Póngase en contacto con el equipo de atención al cliente de Box para obtener el valor. También puede consultar los patrones que se muestran en la sección Configuración básica de SAML.

6. La aplicación Box espera las aserciones de SAML en un formato específico, por lo que es necesario agregar asignaciones de atributos personalizados a la configuración de los atributos del token de SAML. La siguiente captura de pantalla le muestra un ejemplo de esto. El valor predeterminado de Identificador de usuario único es user.userprincipalname, pero Box espera que este valor se asigne a la dirección de correo electrónico del usuario. Para ello, puede usar el atributo user.mail de la lista o usar el valor de atributo correspondiente en función de la configuración de su organización.

   

7. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque XML de metadatos de federación y seleccione Descargar para descargar el certificado y guardarlo en su equipo.

   

Creación y asignación de un usuario de prueba de Microsoft Entra

Siga las instrucciones de creación y asignación de una cuenta de usuario de inicio rápido para crear una cuenta de usuario de prueba llamada B.Simon.

Configuración del SSO de Box

1. En otra ventana del explorador web, inicie sesión como administrador en el sitio web de Box y siga el procedimiento de Configuración del inicio de sesión único por su cuenta.

Nota

Si no puede configurar el SSO para su cuenta de Box, deberá enviar el XML de metadatos de federación descargado al equipo de soporte técnico de Box. Establecen esta configuración para que la conexión de SSO de SAML se establezca correctamente en ambos lados.

Creación de un usuario de prueba de Box

En esta sección, se crea un usuario llamado a Britta Simon en Box. Box admite el aprovisionamiento de usuarios Just-In-Time, que está habilitado de forma predeterminada. No hay ningún elemento de acción para usted en esta sección. Si un usuario deja de existir en Box, se crea uno nuevo después de la autenticación.

Nota

Si necesita crear manualmente un usuario, póngase en contacto con el equipo de soporte técnico de Box.

Prueba del inicio de sesión único

En esta sección, probará la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

• Seleccione Probar esta aplicación. Esta acción le redirigirá a la dirección URL de inicio de sesión de Box, donde puede comenzar el flujo de inicio de sesión.

• Vaya directamente a la dirección URL de inicio de sesión de Box e inicie el flujo de inicio de sesión desde allí.

• Puede usar Aplicaciones de Microsoft. Al seleccionar el icono de Box en Aplicaciones, esta opción redirige a la dirección URL de inicio de sesión de Box. Para más información acerca de Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.

Inserción de un grupo de Azure en Box

Puede insertar un grupo de Azure en Box y sincronizar ese grupo. Azure inserta grupos en Box mediante una integración de nivel de API.

1. En Usuarios & Grupos, busque el grupo que desea asignar a Box.
2. En Aprovisionamiento, asegúrese de que la opción Sincronizar grupos de Microsoft Entra en Box esté seleccionada. Esta configuración sincroniza los grupos que asignó en el paso anterior. Estos grupos pueden tardar algún tiempo en insertarse desde Azure.

Nota

Si necesita crear manualmente un usuario, póngase en contacto con el equipo de soporte técnico de Box.

Contenido relacionado

Una vez configurado Box, puede aplicar el control de sesión, que protege la filtración e infiltración de la información confidencial de la organización en tiempo real. El control de sesión procede del acceso condicional. Aprenda a aplicar el control de sesión con Microsoft Defender for Cloud Apps.