Partager via

Configurer Box pour l’approvisionnement automatique d’utilisateurs avec l’ID Microsoft Entra

L’objectif de cet article est de montrer les étapes que vous devez effectuer dans Box et Microsoft Entra ID pour approvisionner et déprovisionner automatiquement des comptes d’utilisateur de Microsoft Entra ID vers Box.

Remarque

Cet article décrit un connecteur construit sur le service de gestion des identités et accès Microsoft Entra. Pour découvrir les informations importantes sur ce que fait ce service, comment il fonctionne et consulter le forum aux questions, reportez-vous à l’article Automatiser l’approvisionnement et le désapprovisionnement d’utilisateurs dans les applications SaaS avec Microsoft Entra ID.

Prérequis

Pour configurer l'intégration de Microsoft Entra avec Box, vous avez besoin des éléments suivants :

  • Un locataire Microsoft Entra
  • une offre Box pour les entreprises ou mieux.

Remarque

Lorsque vous testez les étapes décrites dans cet article, nous vous recommandons de ne pas utiliser d’environnement de production.

Remarque

Les applications doivent d’abord être activées dans l’application Box.

Remarque

Cette intégration est également disponible à partir de l’environnement Microsoft Entra US Government Cloud. Vous pouvez trouver cette application dans la galerie d’applications Microsoft Entra US Government Cloud et la configurer de la même manière que vous le faites à partir du cloud public.

Pour tester les étapes décrites dans cet article, suivez les recommandations suivantes :

  • n’utilisez pas votre environnement de production, sauf s’il est nécessaire.
  • Si vous ne disposez pas d'un environnement d'essai Microsoft Entra, vous pouvez bénéficier d'un essai d'un mois.

Attribution d’utilisateurs à Box

Microsoft Entra ID utilise un concept appelé « attributions » pour déterminer les utilisateurs devant recevoir un accès aux applications sélectionnées. Dans le cadre du provisionnement automatique des comptes d'utilisateurs, seuls les utilisateurs et groupes qui ont été « attribués » à une application dans Microsoft Entra ID sont synchronisés.

Avant de configurer et d'activer le service de provisionnement, vous devez décider quels utilisateurs et/ou groupes dans Microsoft Entra ID représentent les utilisateurs qui ont besoin d'accéder à votre application Box. Une fois que vous avez choisi, vous pouvez attribuer ces utilisateurs à votre application Box en suivant les instructions fournies ici :

Affecter un utilisateur ou un groupe à une application d’entreprise

Affecter des utilisateurs et des groupes

L’onglet Box > Utilisateurs et groupes du portail Azure vous permet de spécifier quels utilisateurs et groupes doivent avoir accès à Box. L'affectation d'un utilisateur ou groupe entraîne les événements suivants :

  • Microsoft Entra ID permet à l'utilisateur attribué (soit par affectation directe, soit par appartenance à un groupe) de s'authentifier auprès de Box. Si un utilisateur n’est pas affecté, l’ID Microsoft Entra ne lui permet pas de se connecter à Box et retourne une erreur dans la page de connexion Microsoft Entra.

  • Une mosaïque d'application pour Box est ajoutée au lanceur d'applicationsde cet utilisateur.

  • Si la configuration automatique est activée, les utilisateurs et/ou groupes affectés sont ajoutés à la file d'attente d'approvisionnement automatique.

    • Si seuls des objets utilisateur ont été configurés pour être attribués, tous les utilisateurs directement assignés sont placés dans la file d’attente d’attribution et tous les utilisateurs membres des groupes assignés sont placés dans la file d’attente d’attribution.
    • Si des objets de groupe ont été configurés pour être attribués, tous les objets du groupe affectés sont attribués dans Box, tout comme l’ensemble des utilisateurs membres de ces groupes. Les appartenances des groupes et des utilisateurs sont conservées lors de l'écriture dans Box.

Vous pouvez utiliser l'onglet Authentification unique > des attributs pour configurer les attributs utilisateur (ou revendications) qui sont présentés à Box lors de l'authentification basée sur SAML, et l'onglet Approvisionnement > des attributs pour configurer la façon dont les attributs d'utilisateur et de groupe transitent de l'ID Microsoft Entra à Box pendant l'approvisionnement. opérations.

Conseils importants pour l’attribution d’utilisateurs à Box

  • Il est recommandé qu’un seul utilisateur Microsoft Entra affecté à Box teste la configuration d’approvisionnement. Les autres utilisateurs et/ou groupes peuvent être affectés ultérieurement.

  • Quand vous assignez un utilisateur à Box, vous devez sélectionner un rôle d’utilisateur valide. Le rôle Accès par défaut ne fonctionne pas pour l’attribution.

Activer l’approvisionnement automatique des utilisateurs

Cette section vous guide dans la connexion de votre identifiant Microsoft Entra à l'API de provisionnement des comptes utilisateur de Box et dans la configuration du service de provisionnement pour créer, mettre à jour et désactiver les comptes d'utilisateurs attribués dans Box en fonction de l'affectation des utilisateurs et des groupes dans Microsoft Entra ID.

Si la configuration automatique est activée, les utilisateurs et/ou groupes affectés sont ajoutés à la file d'attente d'approvisionnement automatique.

  • Si seuls des objets utilisateur ont été configurés pour être attribués, les utilisateurs directement assignés sont placés dans la file d’attente d’attribution et tous les utilisateurs membres des groupes assignés sont placés dans la file d’attente d’attribution.

  • Si des objets de groupe ont été configurés pour être attribués, tous les objets du groupe affectés sont attribués dans Box, tout comme l’ensemble des utilisateurs membres de ces groupes. Les appartenances des groupes et des utilisateurs sont conservées lors de l'écriture dans Box.

Conseil

Vous pouvez également choisir d’activer l’authentification unique basée sur SAML pour Box en suivant les instructions fournies dans le Portail Azure. L’authentification unique peut être configurée indépendamment de l’approvisionnement automatique, bien que ces deux fonctionnalités se complètent.

Pour configurer l’approvisionnement automatique des comptes d’utilisateur :

Cette section décrit comment activer l'approvisionnement des comptes d'utilisateurs Active Directory sur Box.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez aux Entra ID>applications d'entreprise.

  3. Si vous avez déjà configuré Box pour l’authentification unique, recherchez votre instance de Box à l’aide du champ de recherche. Sinon, sélectionnez Ajouter et recherchez Box dans la galerie d’applications. Sélectionnez Box dans les résultats de la recherche, puis ajoutez-le à votre liste d’applications.

  4. Sélectionnez votre instance de Box, puis sélectionnez l’onglet Approvisionnement.

  5. Définissez le Mode d’approvisionnement sur Automatique.

    Capture d’écran de l’onglet Approvisionnement automatique.

  6. Dans la section Informations d’identification de l’administrateur, sélectionnez Autoriser pour ouvrir une boîte de dialogue de connexion Box dans une nouvelle fenêtre de navigateur.

  7. Dans la page Connexion pour accorder l’accès à Box , fournissez les informations d’identification requises, puis sélectionnez Autoriser.

    Capture d’écran de l’écran Se connecter pour donner accès à Box, montrant la saisie de l’adresse e-mail et du mot de passe, et le bouton Autoriser.

  8. Sélectionnez Accorder l’accès à Box pour autoriser cette opération et revenir au portail Azure.

    Capture d’écran de l’autorisation d’accès dans Box, montrant un message explicatif et le bouton Accorder l’accès à Box.

  9. Sélectionnez Tester la connexion pour vous assurer que Microsoft Entra ID peut se connecter à votre application Box. Si la connexion échoue, vérifiez que votre compte Box dispose des autorisations d’administrateur d’équipe et recommencez l’étape Autoriser.

  10. Entrez l’adresse e-mail d’une personne ou d’un groupe qui doit recevoir les notifications d’erreur d’approvisionnement dans le champ E-mail de notification, puis cochez la case.

  11. Sélectionnez Enregistrer.

  12. Dans la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec Box.

  13. Dans la section Mappages d'attributs, examinez les attributs utilisateur synchronisés de Microsoft Entra ID vers Box. Les attributs sélectionnés en tant que propriétés de Correspondance sont utilisés pour établir une correspondance avec les comptes d’utilisateur Box en vue de mises à jour ultérieures. Cliquez sur le bouton Enregistrer pour valider les modifications.

  14. Pour activer le service de provisionnement Microsoft Entra pour Box, modifiez l'état de provisionnement sur Activé dans la section Paramètres

  15. Sélectionnez Enregistrer.

Cette commande démarre la synchronisation initiale des utilisateurs et/ou des groupes affectés à Box dans la section Utilisateurs et Groupes. La synchronisation initiale prend plus de temps que les synchronisations suivantes, qui se produisent toutes les 40 minutes environ tant que le service est en cours d’exécution. Vous pouvez utiliser la section Détails de la synchronisation pour surveiller la progression et suivre les liens vers les journaux d’activité de provisionnement, qui décrivent toutes les actions effectuées par le service de provisionnement dans votre application Box.

Pour plus d’informations sur la lecture des journaux de provisionnement Microsoft Entra, consultez Rapports sur le provisionnement automatique de comptes d’utilisateur.

Dans votre locataire Box, les utilisateurs synchronisés sont répertoriés sous Utilisateurs gérés dans la Console d’administration.

État d’intégration

Ressources supplémentaires