Konfiguracja usługi Box do automatycznego udostępniania użytkowników za pomocą Microsoft Entra ID

Celem tego artykułu jest pokazanie kroków, które należy wykonać w usłudze Box i Microsoft Entra ID w celu automatycznego tworzenia i usuwania kont użytkowników z Microsoft Entra ID do usługi Box.

Uwaga

W tym artykule opisano łącznik oparty na usłudze Microsoft Entra user Provisioning Service. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, często zadawanych pytań oraz tego, jak działa, zobacz Automate przygotowywanie i usuwanie użytkowników w aplikacjach SaaS za pomocą Microsoft Entra ID.

Usługa Box jest dostępna w następujących wdrożeniach chmury krajowej.

Usługa globalna Rząd USA Chiny obsługiwane przez 21Vianet

Wymagania wstępne

Do skonfigurowania integracji Microsoft Entra z usługą Box potrzebne są następujące elementy:

  • Dzierżawa Microsoft Entra
  • Plan box business lub lepszy

Uwaga

Podczas testowania kroków opisanych w tym artykule zalecamy, aby nie używać środowiska produkcyjnego.

Uwaga

Aplikacje muszą być najpierw włączone w aplikacji Box.

Aby przetestować kroki opisane w tym artykule, wykonaj następujące zalecenia:

Krok 1. Przypisywanie użytkowników do usługi Box

Microsoft Entra ID używa koncepcji o nazwie "przypisania", aby określić, którzy użytkownicy powinni otrzymywać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizacji konta użytkownika synchronizowane są tylko użytkownicy i grupy, które zostały "przypisane" do aplikacji w Microsoft Entra ID.

Przed skonfigurowaniem i włączeniem usługi aprowizacji należy zdecydować, którzy użytkownicy i/lub grupy w Microsoft Entra ID reprezentują użytkowników, którzy potrzebują dostępu do aplikacji Box. Po podjęciu decyzji możesz przypisać tych użytkowników do aplikacji Box, postępując zgodnie z instrukcjami podanymi tutaj:

Przydziel użytkownika lub grupę do aplikacji dla przedsiębiorstw

Krok 2. Przypisywanie użytkowników i grup

Karta Box > Użytkownicy i grupy w portalu Azure umożliwia określenie użytkowników i grup, którym należy udzielić dostępu do usługi Box. Przypisanie użytkownika lub grupy powoduje wystąpienie następujących czynności:

  • Microsoft Entra ID zezwala przypisanemu użytkownikowi (przez bezpośrednie przypisanie lub członkostwo w grupie) na uwierzytelnianie w usłudze Box. Jeśli użytkownik nie jest przypisany, Microsoft Entra ID nie zezwala im na logowanie się do usługi Box i zwraca błąd na stronie logowania Microsoft Entra.

  • Kafelek aplikacji dla usługi Box jest dodawany do menu aplikacji użytkownika.

  • Jeśli włączono automatyczną aprowizację, przypisani użytkownicy i/lub grupy są dodawane do kolejki aprowizacji, aby zostały automatycznie aprowizowane.

    • Jeśli tylko obiekty użytkowników zostały skonfigurowane do aprowizacji, wszyscy bezpośrednio przypisani użytkownicy są umieszczani w kolejce aprowizacji, a wszyscy użytkownicy, którzy są członkami dowolnych przypisanych grup, są umieszczani w kolejce aprowizacji.
    • Jeśli obiekty grupy zostały skonfigurowane do aprowizacji, wszystkie przypisane obiekty grupy są wdrażane w usłudze Box, oraz wszyscy użytkownicy, którzy są członkami tych grup. Grupy i członkostwa użytkowników są zachowywane po zapisaniu w usłudze Box.

Możesz użyć karty Attributes > logowania jednokrotnego, aby skonfigurować atrybuty użytkownika (lub oświadczenia) wyświetlane w usłudze Box podczas uwierzytelniania opartego na protokole SAML, oraz karty Attributes > Provisioning, aby skonfigurować przepływ atrybutów użytkownika i grupy z Microsoft Entra ID do usługi Box podczas operacji aprowizacji.

Ważne porady dotyczące przypisywania użytkowników do usługi Box

  • Zaleca się, aby konfigurację aprowizacji przetestował pojedynczy użytkownik Microsoft Entra przypisany do usługi Box. Dodatkowi użytkownicy i/lub grupy mogą być przypisywani później.

  • Podczas przypisywania użytkownika do pola należy wybrać prawidłową rolę użytkownika. Rola "Domyślny Dostęp" nie działa do aprowizacji.

Krok 3: Włączanie automatycznej aprowizacji użytkowników

W tej sekcji opisano łączenie Microsoft Entra ID z interfejsem API aprowizacji kont użytkowników usługi Box oraz konfigurowanie usługi aprowizacji w celu tworzenia, aktualizowania i wyłączania przypisanych kont użytkowników w usłudze Box na podstawie przypisywania użytkowników i grup w Microsoft Entra ID.

Jeśli włączono automatyczną aprowizację, przypisani użytkownicy i/lub grupy są dodawane do kolejki aprowizacji, aby zostały automatycznie aprowizowane.

  • Jeśli tylko obiekty użytkownika są skonfigurowane do aprowizacji, bezpośrednio przypisani użytkownicy są umieszczani w kolejce aprowizacji, a wszyscy użytkownicy, którzy są członkami którejkolwiek z przypisanych grup, są umieszczani w kolejce aprowizacji.

  • Jeśli obiekty grupy zostały skonfigurowane do aprowizacji, wszystkie przypisane obiekty grupy są wdrażane w usłudze Box, oraz wszyscy użytkownicy, którzy są członkami tych grup. Grupy i członkostwa użytkowników są zachowywane po zapisaniu w usłudze Box.

Napiwek

Możesz również włączyć jednokrotne Sign-On oparte na protokole SAML dla usługi Box, postępując zgodnie z instrukcjami podanymi w portalu Azure. Logowanie jednokrotne można skonfigurować niezależnie od automatycznej aprowizacji, chociaż te dwie funkcje uzupełniają się wzajemnie.

Konfiguracja automatycznego przydzielania kont użytkowników

Celem tej sekcji jest opisanie, jak włączyć aprowizację kont użytkowników Active Directory do Box.

  1. Zaloguj się do centrum administracyjne Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.

  2. Przejdź do Entra ID> Aplikacje dla przedsiębiorstw.

  3. Jeśli usługa Box została już skonfigurowana do logowania jednokrotnego, wyszukaj wystąpienie usługi Box przy użyciu pola wyszukiwania. W przeciwnym razie wybierz pozycję Dodaj i wyszukaj pozycję Box w galerii aplikacji. Wybierz pozycję Box z wyników wyszukiwania i dodaj ją do swojej listy aplikacji.

  4. Wybierz swoje wystąpienie usługi Box, a następnie wybierz kartę Aprowizacja .

  5. Wybierz + Nową konfigurację.

    Zrzut ekranu przedstawiający nowe kroki konfiguracji w oknie.

  6. W sekcji Poświadczenia administratora wybierz pozycję Autoryzuj, aby otworzyć okno dialogowe logowania w nowym oknie przeglądarki.

  7. Na stronie Login aby przyznać dostęp do Box podaj wymagane poświadczenia, a następnie wybierz pozycję Zatwierdź.

    Zrzut ekranu logowania w celu udzielenia dostępu, przedstawiający pole wpisu dla adresu e-mail i hasła oraz przycisk Autoryzacja.

  8. Wybierz pozycję Grant access to Box aby autoryzować tę operację i wrócić do portalu Azure.

    Zrzut ekranu ekranu autoryzacji dostępu w usłudze Box, pokazujący komunikat objaśniający i przycisk Przyznaj dostęp do Box.

  9. Wybierz pozycję Test Connection aby upewnić się, że Microsoft Entra ID może nawiązać połączenie z aplikacją Box. Jeśli połączenie nie powiedzie się, upewnij się, że twoje konto usługi Box ma uprawnienia administratora zespołu i spróbuj ponownie wykonać krok "Autoryzuj".

  10. Wybierz pozycję Utwórz , aby utworzyć konfigurację.

  11. Wybierz Właściwości na stronie Przegląd.

  12. Wybierz ikonę Edytuj , aby edytować właściwości. Włącz wiadomości e-mail z powiadomieniami i podaj wiadomość e-mail, aby otrzymywać powiadomienia o kwarantannie. Włącz zapobieganie przypadkowym usunięciom. Wybierz Zastosuj, aby zapisać zmiany.

    Zrzut ekranu przedstawiający właściwości prowizjonowania.

  13. Wybierz Mapowanie atrybutów w panelu po lewej stronie i wybierz użytkownicy.

  14. W sekcji Mapowania atrybutów przejrzyj atrybuty użytkownika synchronizowane z Microsoft Entra ID do usługi Box. Atrybuty wybrane jako pasujące właściwości są używane do dopasowywania kont użytkowników w usłudze Box na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić zmiany.

  15. Aby skonfigurować filtry określania zakresu, skorzystaj z poniższych instrukcji podanych w artykule dotyczącym filtrów określania zakresu.

  16. Użyj prowizjonowania na żądanie, aby zweryfikować synchronizację z niewielką liczbą użytkowników przed wdrożeniem na szerszą skalę w organizacji.

  17. Gdy wszystko będzie gotowe do aprowizacji, wybierz pozycję Rozpocznij aprowizację na stronie Przegląd .

Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji Microsoft Entra, zobacz Reporting on automatic user account provisioning (Raportowanie automatycznej aprowizacji kont użytkowników.

W dzierżawie usługi Box zsynchronizowani użytkownicy są wyświetlani w obszarze Użytkownicy zarządzani w konsoli administracyjnej.

Stan integracji

Dodatkowe zasoby

  • Last updated on