Tutorial: Configurar o Box para provisionamento automático de usuário

O objetivo deste tutorial é mostrar as etapas que precisam ser executadas no Box e no Microsoft Entra ID para provisionar e desprovisionar automaticamente as contas de usuário do Microsoft Entra ID no Box.

Observação

Este tutorial descreve um conector criado sobre o serviço de provisionamento de usuário do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Pré-requisitos

Para configurar a integração do Microsoft Entra com o Box, você precisará dos seguintes itens:

• Um locatário do Microsoft Entra
• Um plano de negócios do Box ou melhor

Observação

Ao testar as etapas deste tutorial, recomendamos que você não use um ambiente de produção.

Observação

Os aplicativos precisam ser habilitados primeiro no aplicativo Box.

Observação

Essa integração também está disponível para uso no ambiente de Nuvem do Governo dos EUA do Microsoft Entra. Você pode encontrar esse aplicativo na Galeria de Aplicativos de Nuvem do Governo dos EUA do Microsoft Entra e configurá-lo da mesma forma que você faz isso na nuvem pública.

Para testar as etapas neste tutorial, siga estas recomendações:

• Não use o ambiente de produção, a menos que seja necessário.
• Caso não tiver um ambiente de avaliação do Microsoft Entra, poderá obter uma avaliação gratuita de um mês.

Atribuindo usuários ao Box

A ID do Microsoft Entra usa um conceito chamado “atribuições” para determinar os usuários que devem receber acesso aos aplicativos selecionados. No contexto do provisionamento automático de contas de usuário, somente os usuários e os grupos que foram “atribuídos” a um aplicativo no Microsoft Entra ID são sincronizados.

Antes de configurar e habilitar o serviço de provisionamento, você precisa decidir quais usuários e/ou grupos no Microsoft Entra ID representam os usuários que precisam de acesso ao aplicativo Box. Depois de decidir, você pode atribuir esses usuários ao aplicativo Box seguindo estas instruções:

Atribuir um usuário ou um grupo a um aplicativo empresarial

Atribuir usuários e grupos

A guia Box > Usuários e Grupos no portal do Azure permite especificar quais usuários e grupos devem ter acesso ao Box. A atribuição de um usuário ou grupo faz com que as seguintes ações ocorram:

• O Microsoft Entra permite que o usuário atribuído (seja por atribuição direta ou associação de grupo) realize a autenticação no Box. Se um usuário não for atribuído, o Microsoft Entra não permitirá que ele entre no Box e retornará um erro na página de entrada do Microsoft Entra.

• Um bloco de aplicativo do Box é adicionado ao iniciador do aplicativodo usuário.

• Se o provisionamento automático estiver habilitado, os usuários e/ou grupos atribuídos serão adicionados à fila de provisionamento para serem provisionado automaticamente.

  • Se apenas objetos de usuário tiverem sido configurados para serem provisionados, todos os usuários atribuídos diretamente e todos os usuários que são membros de grupos atribuídos serão colocados na fila de provisionamento.
  • Se os objetos de grupo tiverem sido configurados para serem provisionados, todos os objetos de grupo atribuídos serão provisionados para o Box, bem como todos os usuários que são membros desses grupos. As associações de grupo e usuário são preservadas ao serem gravadas no Box.

Você pode usar a guia Atributos > Logon único para configurar quais atributos de usuário (ou declarações) são apresentadas ao Box durante a autenticação baseada em SAML e a guia Atributos > Provisionamento para configurar como os atributos de usuário e grupo fluem do Microsoft Entra para o Box durante as operações de provisionamento.

Dicas importantes para atribuir usuários ao Box

• Recomendamos que um usuário individual do Microsoft Entra seja atribuído ao Box para testar a configuração de provisionamento. Outros usuários e/ou grupos podem ser atribuídos mais tarde.

• Ao atribuir um usuário ao Box, você precisa selecionar uma função de usuário válida. A função de "Acesso Padrão" não funciona para provisionamento.

Habilitar o Provisionamento Automatizado de Usuários

Esta seção explica como conectar o Microsoft Entra ID à API de provisionamento de conta de usuário do Box e como configurar o serviço de provisionamento para criar, atualizar e desabilitar contas de usuário atribuídas no Box, com base na atribuição de usuário e de grupo do Microsoft Entra ID.

Se o provisionamento automático estiver habilitado, os usuários e/ou grupos atribuídos serão adicionados à fila de provisionamento para serem provisionado automaticamente.

• Se apenas objetos de usuário tiverem sido configurados para serem provisionados, os usuários atribuídos diretamente e os usuários que são membros de grupos atribuídos serão colocados na fila de provisionamento.

• Se os objetos de grupo tiverem sido configurados para serem provisionados, todos os objetos de grupo atribuídos serão provisionados para o Box, bem como todos os usuários que são membros desses grupos. As associações de grupo e usuário são preservadas ao serem gravadas no Box.

Dica

Você também pode optar por habilitar o Logon único baseado em SAML para o Box seguindo as instruções fornecidas no Portal do Azure. O logon único pode ser configurado independentemente do provisionamento automático, embora esses dois recursos sejam complementares.

Para configurar o provisionamento automático de conta de usuário:

O objetivo desta seção é descrever como habilitar o provisionamento de contas de usuário do Active Directory no Box.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Acesso Condicional.

2. Navegue até Identidade>Aplicativos>Aplicativos Empresariais.

3. Se já tiver configurado o Box para logon único, pesquise sua instância do Box usando o campo de pesquisa. Caso contrário, selecione Adicionar e pesquise o Box na galeria de aplicativos. Selecione o Box nos resultados da pesquisa e adicione-o à lista de aplicativos.

4. Selecione sua instância do Box e selecione a guia Provisionamento.

5. Defina o Modo de Provisionamento como Automático.

   

6. Na seção Credenciais de Administrador, clique em Autorizar para abrir uma caixa de diálogo de logon do Box em uma nova janela do navegador.

7. Na página Fazer logon para conceder acesso ao Box, forneça as credenciais necessárias e clique em Autorizar.

   

8. Clique em Conceder acesso ao Box para autorizar essa operação e retornar ao portal do Azure.

   

9. Selecione Testar Conexão para verificar se o Microsoft Entra ID pode se conectar aplicativo Box. Se a conexão falhar, verifique se sua conta do Box tem permissões de Administrador de Equipe e repita a etapa "Autorizar".

10. Insira o endereço de email de uma pessoa ou um grupo que deve receber notificações de erro de provisionamento no campo Email de Notificação e marque a caixa de seleção.

11. Clique em Save (Salvar).

12. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Box.

13. Na seção Mapeamento de Atributos, examine os atributos de usuário que serão sincronizados do Microsoft Entra ID para o Box. Os atributos selecionados como propriedades Correspondentes serão usados para fazer a correspondência entre as contas de usuário no Box para operações de atualização. Selecione o botão Salvar para confirmar as alterações.

14. Para habilitar o serviço de provisionamento do Microsoft Entra para o Box, altere o Status de provisionamento para Ativado na seção Configurações

15. Clique em Save (Salvar).

Isso inicia a sincronização inicial de todos os usuários e/ou grupos atribuídos ao Box na seção Usuários e Grupos. Observe que a sincronização inicial levará mais tempo do que as sincronizações subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço esteja em execução. Use a seção Detalhes de Sincronização para monitorar o progresso e siga os links para os logs de atividade de provisionamento, que descrevem todas as ações executadas pelo serviço de provisionamento no aplicativo Box.

Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, confira Relatórios sobre o provisionamento automático de contas de usuário.

No seu locatário do Box, os usuários sincronizados estão listados em Usuários gerenciados no Console de Admin.

Recursos adicionais

• Gerenciamento do provisionamento de conta de usuário para Aplicativos Empresariais
• O que é o acesso a aplicativos e logon único com o Microsoft Entra ID?
• Configurar Logon Único