Partilhar via

Tutorial: Configurar o Box para provisionamento automático de usuários

  • Artigo

O objetivo deste tutorial é mostrar as etapas que você precisa executar no Box e no Microsoft Entra ID para provisionar e desprovisionar automaticamente contas de usuário do Microsoft Entra ID para o Box.

Nota

Este tutorial descreve um conector criado sobre o Serviço de Provisionamento de Usuário do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como funciona e perguntas frequentes, consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Pré-requisitos

Para configurar a integração do Microsoft Entra com o Box, você precisa dos seguintes itens:

  • Um inquilino do Microsoft Entra
  • Um plano de negócios Box ou melhor

Nota

Ao testar as etapas neste tutorial, recomendamos que você não use um ambiente de produção.

Nota

Os aplicativos precisam ser habilitados no aplicativo Box primeiro.

Nota

Essa integração também está disponível para uso no ambiente Microsoft Entra US Government Cloud. Pode encontrar esta aplicação na Microsoft Entra US Government Cloud Application Gallery e configurá-la da mesma forma que faz a partir da nuvem pública.

Para testar as etapas neste tutorial, siga estas recomendações:

  • Não use seu ambiente de produção, a menos que seja necessário.
  • Se você não tiver um ambiente de avaliação do Microsoft Entra, poderá obter uma avaliação de um mês.

Atribuindo usuários ao Box

O Microsoft Entra ID usa um conceito chamado "atribuições" para determinar quais usuários devem receber acesso a aplicativos selecionados. No contexto do provisionamento automático de conta de usuário, somente os usuários e grupos que foram "atribuídos" a um aplicativo no Microsoft Entra ID são sincronizados.

Antes de configurar e habilitar o serviço de provisionamento, você precisa decidir quais usuários e/ou grupos no Microsoft Entra ID representam os usuários que precisam acessar seu aplicativo Box. Uma vez decidido, você pode atribuir esses usuários ao seu aplicativo Box seguindo as instruções aqui:

Atribuir um usuário ou grupo a um aplicativo corporativo

Atribuir usuários e grupos

A guia Usuários e Grupos do Box > no portal do Azure permite especificar quais usuários e grupos devem ter acesso ao Box. A atribuição de um usuário ou grupo faz com que as seguintes coisas ocorram:

  • O Microsoft Entra ID permite que o usuário atribuído (por atribuição direta ou associação de grupo) se autentique no Box. Se um usuário não estiver atribuído, o ID do Microsoft Entra não permitirá que ele entre no Box e retornará um erro na página de entrada do Microsoft Entra.

  • Um bloco de aplicativo para o Box é adicionado ao inicializador de aplicativos do usuário.

  • Se o provisionamento automático estiver habilitado, os usuários e/ou grupos atribuídos serão adicionados à fila de provisionamento para serem provisionados automaticamente.

    • Se apenas objetos de usuário foram configurados para serem provisionados, todos os usuários atribuídos diretamente são colocados na fila de provisionamento e todos os usuários que são membros de quaisquer grupos atribuídos são colocados na fila de provisionamento.
    • Se os objetos de grupo foram configurados para serem provisionados, todos os objetos de grupo atribuídos são provisionados para Box e todos os usuários que são membros desses grupos. As associações de grupo e usuário são preservadas ao serem gravadas no Box.

Você pode usar a guia Logon Único de Atributos > para configurar quais atributos de usuário (ou declarações) são apresentados ao Box durante a autenticação baseada em SAML e a guia Provisionamento de Atributos > para configurar como os atributos de usuário e grupo fluem do ID do Microsoft Entra para o Box durante as operações de provisionamento.

Dicas importantes para atribuir usuários ao Box

  • É recomendável que um único usuário do Microsoft Entra atribuído ao Box para testar a configuração de provisionamento. Usuários e/ou grupos adicionais podem ser atribuídos posteriormente.

  • Ao atribuir um usuário à caixa, você deve selecionar uma função de usuário válida. A função "Acesso padrão" não funciona para provisionamento.

Habilite o provisionamento automatizado de usuários

Esta seção orienta como conectar sua ID do Microsoft Entra à API de provisionamento de conta de usuário do Box e configurar o serviço de provisionamento para criar, atualizar e desabilitar contas de usuário atribuídas no Box com base na atribuição de usuário e grupo na ID do Microsoft Entra.

Se o provisionamento automático estiver habilitado, os usuários e/ou grupos atribuídos serão adicionados à fila de provisionamento para serem provisionados automaticamente.

  • Se apenas os objetos de usuário estiverem configurados para serem provisionados, os usuários atribuídos diretamente serão colocados na fila de provisionamento e todos os usuários que forem membros de qualquer grupo atribuído serão colocados na fila de provisionamento.

  • Se os objetos de grupo foram configurados para serem provisionados, todos os objetos de grupo atribuídos são provisionados para Box e todos os usuários que são membros desses grupos. As associações de grupo e usuário são preservadas ao serem gravadas no Box.

Gorjeta

Você também pode optar por habilitar o Logon Único baseado em SAML para Box, seguindo as instruções fornecidas no portal do Azure. O logon único pode ser configurado independentemente do provisionamento automático, embora esses dois recursos se complementem.

Para configurar o provisionamento automático de conta de usuário:

O objetivo desta seção é descrever como habilitar o provisionamento de contas de usuário do Ative Directory para o Box.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Aplicativos de identidade>>Aplicativos corporativos.

  3. Se você já configurou o Box para logon único, procure sua instância do Box usando o campo de pesquisa. Caso contrário, selecione Adicionar e procure Box na galeria de aplicativos. Selecione Caixa nos resultados da pesquisa e adicione-a à sua lista de aplicativos.

  4. Selecione sua instância do Box e, em seguida, selecione a guia Provisionamento .

  5. Defina o Modo de Aprovisionamento como Automático.

    Captura de ecrã do separador Aprovisionamento automático.

  6. Na seção Credenciais do administrador, clique em Autorizar para abrir uma caixa de diálogo de login do Box em uma nova janela do navegador.

  7. Na página Fazer logon para conceder acesso ao Box, forneça as credenciais necessárias e clique em Autorizar.

    Captura de ecrã do ecrã Iniciar sessão para conceder acesso à caixa, mostrando a entrada para E-mail e Palavra-passe e o botão Autorizar.

  8. Clique em Conceder acesso ao Box para autorizar esta operação e regressar ao portal do Azure.

    Captura de ecrã do ecrã autorizar acesso no Box, mostrando uma mensagem explicativa e o botão Conceder acesso ao Box.

  9. Selecione Testar conexão para garantir que o Microsoft Entra ID possa se conectar ao seu aplicativo Box. Se a conexão falhar, verifique se sua conta do Box tem permissões de administrador de equipe e tente a etapa "Autorizar" novamente.

  10. Digite o endereço de e-mail de uma pessoa ou grupo que deve receber notificações de erro de provisionamento no campo Email de notificação e marque a caixa de seleção.

  11. Clique em Guardar.

  12. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Box.

  13. Na seção Mapeamentos de Atributos, examine os atributos de usuário sincronizados do ID do Microsoft Entra para o Box. Os atributos selecionados como propriedades correspondentes são usados para corresponder às contas de usuário no Box para operações de atualização. Selecione o botão Guardar para confirmar as alterações.

  14. Para habilitar o serviço de provisionamento do Microsoft Entra para o Box, altere o Status de provisionamento para Ativado na seção Configurações

  15. Clique em Guardar.

Isso inicia a sincronização inicial de quaisquer usuários e/ou grupos atribuídos ao Box na seção Usuários e Grupos. A sincronização inicial leva mais tempo para ser executada do que as sincronizações subsequentes, que ocorrem aproximadamente a cada 40 minutos, enquanto o serviço estiver em execução. Você pode usar a seção Detalhes da sincronização para monitorar o progresso e seguir os links para logs de atividades de provisionamento, que descrevem todas as ações executadas pelo serviço de provisionamento em seu aplicativo Box.

Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, consulte Relatórios sobre provisionamento automático de conta de usuário.

No locatário do Box, os usuários sincronizados são listados em Usuários gerenciados no Admin Console.

Estado de integração

Recursos adicionais