Partager via

Didacticiel : configurer Box pour l’approvisionnement automatique d’utilisateurs

  • Article

L'objectif de ce didacticiel est de montrer les étapes que vous devez effectuer dans Box et Microsoft Entra ID pour provisionner et supprimer automatiquement les comptes d'utilisateurs de Microsoft Entra ID vers Box.

Remarque

Ce didacticiel décrit un connecteur construit sur le service de provisionnement des utilisateurs Microsoft Entra. Pour découvrir les informations importantes sur ce que fait ce service, comment il fonctionne et consulter le forum aux questions, reportez-vous à l’article Automatiser l’approvisionnement et le désapprovisionnement d’utilisateurs dans les applications SaaS avec Microsoft Entra ID.

Prérequis

Pour configurer l'intégration de Microsoft Entra avec Box, vous avez besoin des éléments suivants :

  • Un locataire Microsoft Entra
  • une offre Box pour les entreprises ou mieux.

Notes

Lorsque vous testez les étapes de ce didacticiel, nous déconseillons l’utilisation d’un environnement de production.

Notes

Les applications doivent d’abord être activées dans l’application Box.

Remarque

Cette intégration est également disponible à partir de l’environnement Microsoft Entra US Government Cloud. Vous pouvez trouver cette application dans la galerie d’applications Microsoft Entra US Government Cloud et la configurer de la même manière que vous le faites à partir du cloud public.

Pour tester la procédure de ce didacticiel, suivez les recommandations ci-dessous :

  • N’utilisez pas votre environnement de production, sauf si cela est nécessaire.
  • Si vous ne disposez pas d'un environnement d'essai Microsoft Entra, vous pouvez bénéficier d'un essai d'un mois.

Attribution d’utilisateurs à Box

Microsoft Entra ID utilise un concept appelé « attributions » pour déterminer les utilisateurs devant recevoir un accès aux applications sélectionnées. Dans le cadre du provisionnement automatique des comptes d'utilisateurs, seuls les utilisateurs et groupes qui ont été « attribués » à une application dans Microsoft Entra ID sont synchronisés.

Avant de configurer et d'activer le service de provisionnement, vous devez décider quels utilisateurs et/ou groupes dans Microsoft Entra ID représentent les utilisateurs qui ont besoin d'accéder à votre application Box. Une fois que vous avez choisi, vous pouvez attribuer ces utilisateurs à votre application Box en suivant les instructions fournies ici :

Affecter un utilisateur ou un groupe à une application d’entreprise

Affecter des utilisateurs et des groupes

L’onglet Box > Utilisateurs et groupes du portail Azure vous permet de spécifier quels utilisateurs et groupes doivent avoir accès à Box. L'affectation d'un utilisateur ou groupe entraîne les événements suivants :

  • Microsoft Entra ID permet à l'utilisateur attribué (soit par affectation directe, soit par appartenance à un groupe) de s'authentifier auprès de Box. Si aucun utilisateur n’est affecté, l’ID Microsoft Entra ne lui permet pas de se connecter à Box et renvoie une erreur sur la page de connexion Microsoft Entra.

  • Une mosaïque d'application pour Box est ajoutée au lanceur d'applicationsde cet utilisateur.

  • Si la configuration automatique est activée, les utilisateurs et/ou groupes affectés sont ajoutés à la file d'attente d'approvisionnement automatique.

    • Si seuls des objets utilisateur ont été configurés pour être attribués, tous les utilisateurs directement assignés sont placés dans la file d’attente d’attribution et tous les utilisateurs membres des groupes assignés sont placés dans la file d’attente d’attribution.
    • Si des objets de groupe ont été configurés pour être attribués, tous les objets du groupe affectés sont attribués dans Box, tout comme l’ensemble des utilisateurs membres de ces groupes. Les appartenances des groupes et des utilisateurs sont conservées lors de l'écriture dans Box.

Vous pouvez utiliser l'onglet Authentification unique > des attributs pour configurer les attributs utilisateur (ou revendications) qui sont présentés à Box lors de l'authentification basée sur SAML, et l'onglet Approvisionnement > des attributs pour configurer la façon dont les attributs d'utilisateur et de groupe transitent de l'ID Microsoft Entra à Box pendant l'approvisionnement. opérations.

Conseils importants pour l’attribution d’utilisateurs à Box

  • Il est recommandé qu'un seul utilisateur Microsoft Entra soit affecté à Box pour tester la configuration de provisionnement. Les autres utilisateurs et/ou groupes peuvent être affectés ultérieurement.

  • Quand vous assignez un utilisateur à Box, vous devez sélectionner un rôle d’utilisateur valide. Le rôle « Accès par défaut » ne fonctionne pas pour l’approvisionnement.

Activer l’approvisionnement automatique des utilisateurs

Cette section vous guide dans la connexion de votre identifiant Microsoft Entra à l'API de provisionnement des comptes utilisateur de Box et dans la configuration du service de provisionnement pour créer, mettre à jour et désactiver les comptes d'utilisateurs attribués dans Box en fonction de l'affectation des utilisateurs et des groupes dans Microsoft Entra ID.

Si la configuration automatique est activée, les utilisateurs et/ou groupes affectés sont ajoutés à la file d'attente d'approvisionnement automatique.

  • Si seuls des objets utilisateur ont été configurés pour être attribués, les utilisateurs directement assignés sont placés dans la file d’attente d’attribution et tous les utilisateurs membres des groupes assignés sont placés dans la file d’attente d’attribution.

  • Si des objets de groupe ont été configurés pour être attribués, tous les objets du groupe affectés sont attribués dans Box, tout comme l’ensemble des utilisateurs membres de ces groupes. Les appartenances des groupes et des utilisateurs sont conservées lors de l'écriture dans Box.

Conseil

Vous pouvez également choisir d’activer l’authentification unique basée sur SAML pour Box en suivant les instructions fournies dans le Portail Azure. L’authentification unique peut être configurée indépendamment de l’approvisionnement automatique, bien que chacune de ces deux fonctionnalités compléte l’autre.

Pour configurer l’approvisionnement automatique des comptes d’utilisateur :

Cette section décrit comment activer l'approvisionnement des comptes d'utilisateurs Active Directory sur Box.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise.

  3. Si vous avez déjà configuré Box pour l’authentification unique, recherchez votre instance de Box à l’aide du champ de recherche. Sinon, sélectionnez Ajouter et recherchez Box dans la galerie d’applications. Sélectionnez Box dans les résultats de la recherche, puis ajoutez-le à votre liste d’applications.

  4. Sélectionnez votre instance de Box, puis sélectionnez l’onglet Approvisionnement.

  5. Définissez le Mode d’approvisionnement sur Automatique.

    Screenshot of the Provisioning tab for Box in Azure portal. Provisioning Mode is set to Automatic and Authorize is highlighted in Admin Credentials.

  6. Sous la section Informations d’identification de l’administrateur, cliquez sur Autoriser pour ouvrir la boîte de dialogue de connexion à Box dans une nouvelle fenêtre de navigateur.

  7. Dans la page Login to grant access to Box (Se connecter pour autoriser l’accès à Box), saisissez les informations d’identification, puis cliquez sur Authorize (Autoriser).

    Screenshot of the Log in to grant access to box screen, showing entry for Email and Password, and the Authorize button.

  8. Cliquez sur Grant access to Box (Accorder l’accès à Box) pour autoriser cette opération et retourner au portail Azure.

    Screenshot of the authorize access screen in Box, showing an explanatory message and the Grant access to Box button.

  9. Sélectionnez Tester la connexion pour vous assurer que Microsoft Entra ID peut se connecter à votre application Box. Si la connexion échoue, vérifiez que votre compte Box dispose des autorisations d’administrateur d’équipe et recommencez l’étape Autoriser.

  10. Entrez l’adresse e-mail d’une personne ou d’un groupe qui doit recevoir les notifications d’erreur d’approvisionnement dans le champ E-mail de notification, puis cochez la case.

  11. Cliquez sur Enregistrer.

  12. Dans la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec Box.

  13. Dans la section Mappages d'attributs, examinez les attributs utilisateur synchronisés de Microsoft Entra ID vers Box. Les attributs sélectionnés en tant que propriétés de Correspondance sont utilisés pour établir une correspondance avec les comptes d’utilisateur Box en vue de mises à jour ultérieures. Cliquez sur le bouton Enregistrer pour valider les modifications.

  14. Pour activer le service de provisionnement Microsoft Entra pour Box, modifiez l'état de provisionnement sur Activé dans la section Paramètres

  15. Cliquez sur Enregistrer.

Cette commande démarre la synchronisation initiale des utilisateurs et/ou des groupes affectés à Box dans la section Utilisateurs et Groupes. La synchronisation initiale prend plus de temps que les synchronisations suivantes, qui se produisent toutes les 40 minutes environ tant que le service est en cours d’exécution. Vous pouvez utiliser la section Détails de la synchronisation pour surveiller la progression et suivre les liens vers les journaux d’activité de provisionnement, qui décrivent toutes les actions effectuées par le service de provisionnement dans votre application Box.

Pour plus d’informations sur la lecture des journaux de provisionnement Microsoft Entra, consultez Rapports sur le provisionnement automatique de comptes d’utilisateur.

Dans votre locataire Box, les utilisateurs synchronisés sont répertoriés sous Utilisateurs gérés dans la Console d’administration.

Integration status

Ressources supplémentaires