Condividi tramite

Configurare Box per il provisioning automatico degli utenti con Microsoft Entra ID

L'obiettivo di questo articolo è illustrare i passaggi da eseguire in Box e Microsoft Entra ID per effettuare automaticamente il provisioning e il deprovisioning degli account utente da Microsoft Entra ID a Box.

Nota

Questo articolo descrive un connettore costruito sopra il servizio di provisioning utenti di Microsoft Entra. Per informazioni importanti sul funzionamento di questo servizio e sulle domande frequenti, vedere Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.

Prerequisiti

Per configurare l'integrazione di Microsoft Entra con Box, sono necessari gli elementi seguenti:

  • Un tenant di Microsoft Entra
  • Un piano commerciale di Box o un'alternativa migliore

Nota

Quando si testano i passaggi descritti in questo articolo, è consigliabile non usare un ambiente di produzione.

Nota

Per prima cosa, le app devono essere abilitate nell'applicazione Box.

Nota

Questa integrazione è disponibile anche per l'uso dall'ambiente cloud US Government di Microsoft Entra. È possibile trovare questa applicazione nella raccolta di applicazioni cloud US Government di Microsoft Entra e configurarla con la stessa procedura usata dal cloud pubblico.

Per testare i passaggi descritti in questo articolo, seguire queste indicazioni:

Assegnazione di utenti a Box

Per determinare quali utenti avranno l'accesso alle app selezionate, Microsoft Entra ID usa il concetto delle cosiddette “assegnazioni”. Nel contesto del provisioning automatico degli account utente vengono sincronizzati solo gli utenti e i gruppi che sono stati "assegnati" a un'applicazione su Microsoft Entra ID.

Prima di configurare e abilitare il servizio di provisioning, è necessario decidere quali utenti e/o gruppi in Microsoft Entra ID rappresentano gli utenti che devono accedere all'app Box. Dopo aver stabilito questo, è possibile assegnare tali utenti all'app Box seguendo le istruzioni riportate nell'articolo seguente:

Assegnare un utente o un gruppo a un'app aziendale

Assegnare utenti e gruppi

La > box nella portale di Azure consente di specificare a quali utenti e gruppi deve essere concesso l'accesso a Box. L'assegnazione di un utente o gruppo causa quanto segue:

  • Microsoft Entra ID consente all'utente assegnato (tramite assegnazione diretta o appartenenza al gruppo) di eseguire l'autenticazione in Box. Se un utente non è assegnato, Microsoft Entra ID non consente loro di accedere a Box e restituisce un errore nella pagina di accesso di Microsoft Entra.

  • Un riquadro dell'app per Box viene aggiunto all'icona di avvio dell'applicazione dell'utente.

  • Se il provisioning automatico è abilitato, gli utenti e/o i gruppi assegnati vengono aggiunti alla coda di provisioning per essere automaticamente provvisti.

    • Se gli oggetti utente sono configurati per essere sottoposti a provisioning, allora tutti gli utenti assegnati direttamente vengono inseriti nella coda di provisioning, e lo stesso avviene per tutti gli utenti membri di gruppi assegnati.
    • Se è stata selezionata l'esecuzione del provisioning per gli oggetti gruppo, viene eseguito il provisioning in Box di tutti gli oggetti gruppo assegnati e di tutti gli utenti che appartengono a tali gruppi. Le appartenenze utente e gruppo vengono mantenute dopo la scrittura in Box.

È possibile usare la scheda Attributi > Single Sign-On per configurare gli attributi utente (o le attestazioni) presentati a Box durante l'autenticazione basata su SAML e la scheda Provisioning attributi > per configurare il flusso degli attributi utente e gruppo da Microsoft Entra ID a Box durante le operazioni di provisioning.

Suggerimenti importanti per l'assegnazione di utenti a Box

  • È consigliabile assegnare a Box un singolo utente di Microsoft Entra per testare la configurazione del provisioning. È possibile assegnare utenti e/o gruppi aggiuntivi in un secondo momento.

  • Quando si assegna un utente a Box, è necessario selezionare un ruolo utente valido. Il ruolo "Accesso predefinito" non è efficace nel provisioning.

Abilitare il provisioning utenti automatizzato

Questa sezione illustra come connettere l'ID Microsoft Entra all'API di provisioning dell'account utente di Box e configurare il servizio di provisioning per creare, aggiornare e disabilitare gli account utente assegnati in Box in base all'assegnazione di utenti e gruppi in Microsoft Entra ID.

Se il provisioning automatico è abilitato, gli utenti e/o i gruppi assegnati vengono aggiunti alla coda di provisioning per essere automaticamente provvisti.

  • Se l'esecuzione del provisioning è selezionata solo per gli oggetti utente, gli utenti assegnati direttamente e tutti gli utenti che appartengono ai gruppi assegnati vengono aggiunti alla coda di provisioning.

  • Se è stata selezionata l'esecuzione del provisioning per gli oggetti gruppo, viene eseguito il provisioning in Box di tutti gli oggetti gruppo assegnati e di tutti gli utenti che appartengono a tali gruppi. Le appartenenze utente e gruppo vengono mantenute dopo la scrittura in Box.

Suggerimento

È anche possibile scegliere di abilitare single Sign-On basato su SAML per Box, seguendo le istruzioni fornite nel portale di Azure. Il Single Sign-On può essere configurato indipendentemente dal provisioning automatico, anche se queste due funzionalità si completano a vicenda.

Per configurare il provisioning automatico degli account utente:

L'obiettivo di questa sezione è illustrare come abilitare il provisioning degli account utente di Active Directory su Box.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di applicazioni cloud.

  2. Navigare fino a Entra ID>Enterprise apps.

  3. Se si è già configurato Box per l'accesso Single Sign-On, cercare l'istanza di Box usando il campo di ricerca. In caso contrario, selezionare Aggiungi e cercare Box nella raccolta di applicazioni. Selezionare Box nei risultati della ricerca e aggiungerlo all'elenco delle applicazioni.

  4. Selezionare la tua istanza di Box e quindi selezionare la scheda Provisioning.

  5. Impostare Modalità di provisioning su Automatico.

    Screenshot della scheda automatica di provisioning.

  6. Nella sezione Credenziali amministratore, selezionare Autorizza per aprire una finestra di dialogo di accesso a Box in una nuova finestra del browser.

  7. Nella pagina Login per concedere l'accesso a Box, si prega di specificare le credenziali necessarie e selezionare Autorizza.

    Screenshot della schermata Accedi per concedere l'accesso alla casella, che mostra la voce Posta elettronica e password e il pulsante Autorizza.

  8. Selezionare Concedi accesso a Box per autorizzare questa operazione e tornare al portale di Azure.

    Screenshot della schermata di autorizzazione dell'accesso in Box, che mostra un messaggio esplicativo e il pulsante Concedi accesso a Box.

  9. Selezionare Test connessione per assicurarsi che Microsoft Entra ID possa connettersi all'app Box. Se la connessione non riesce, verificare che l'account Box disponga delle autorizzazioni di amministratore del team e riprovare a eseguire il passaggio "Autorizza".

  10. Immettere l'indirizzo di posta elettronica di una persona o di un gruppo che deve ricevere notifiche di errore di provisioning nel campo Messaggio di posta elettronica di notifica e selezionare la casella di controllo.

  11. Selezionare Salva.

  12. Nella sezione Mapping selezionare Synchronize Microsoft Entra users to Box (Sincronizza utenti di Microsoft Entra in Box).

  13. Nella sezione Mapping attributi, esamina gli attributi utente sincronizzati da Microsoft Entra ID a Box. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Box per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

  14. Per abilitare il servizio di provisioning di Microsoft Entra per Box, impostare Stato del provisioning su nella sezione Impostazioni

  15. Selezionare Salva.

Viene avviata la sincronizzazione iniziale di tutti gli utenti e/o i gruppi assegnati a Box nella sezione Utenti e gruppi. La sincronizzazione iniziale richiede più tempo delle sincronizzazioni successive, che saranno eseguite circa ogni 40 minuti per tutto il tempo che il servizio è in esecuzione. È possibile usare la sezione Dettagli sincronizzazione per monitorare lo stato di avanzamento e seguire i collegamenti ai registri delle attività di provisioning, che descrivono tutte le azioni eseguite dal servizio di provisioning nella tua app Box.

Per altre informazioni su come leggere i log di provisioning di Microsoft Entra, vedere Creazione di report sul provisioning automatico degli account utente.

Nel tenant di Box gli utenti sincronizzati sono elencati in Utenti gestiti nella Console di amministrazione.

Stato integrazione Stato integrazione

Risorse aggiuntive