教程:为 Box 配置自动用户预配

  • 项目

本教程的目标是展示从 Microsoft Entra ID 自动将用户帐户预配到 Box 以及取消其预配而需要在 Box 和 Azure AD 中执行的步骤。

注意

本教程介绍在 Microsoft Entra 用户预配服务之上构建的连接器。 有关此服务的功能、工作原理以及常见问题的重要详细信息,请参阅使用 Microsoft Entra ID 自动将用户预配到 SaaS 应用程序和取消预配

先决条件

若要配置 Microsoft Entra 与 Box 的集成,需要以下项目:

  • 一个 Microsoft Entra 租户
  • Box 商业计划或更佳计划

注意

不建议使用生产环境测试本教程中的步骤。

注意

需要先在 Box 应用程序中启用应用。

注意

此集成也可以通过 Microsoft Entra 美国政府云环境使用。 你可以在“Microsoft Entra 美国政府云应用程序库”中找到此应用程序,并以公有云相同的方式对其进行配置。

若要测试本教程中的步骤,请遵循以下建议:

将用户分配到 Box

Microsoft Entra ID 使用名为“分配”的概念来确定哪些用户应收到对所选应用的访问权限。 在自动用户帐户预配的上下文中,只同步已“分配”到 Microsoft Entra ID 中的应用程序的用户和组。

在配置和启用预配服务之前,需要确定 Microsoft Entra ID 中哪些用户和/或组表示需要访问 Box 应用的用户。 确定后,可以按照此处的说明将这些用户分配到 Box 应用:

向企业应用分配用户或组

分配用户和组

可使用 Azure 门户中的“Box”>“用户和组”选项卡指定应向哪些用户和组授予访问 Box 的权限。 分配用户或组会导致以下结果:

  • Microsoft Entra ID 允许分配的用户(不管是直接分配还是以组成员的方式进行分配)向 Box 进行身份验证。 如果用户尚未分配,则 Microsoft Entra ID 不会允许其登录到 Box,并会在 Microsoft Entra ID 登录页上返回错误。

  • Box 的应用磁贴会添加到用户的应用程序启动程序中。

  • 如果启用了自动预配,则会将分配的用户和/或组添加到预配队列进行自动预配。

    • 如果仅将用户对象配置为进行预配,则会将所有直接分配的用户置于预配队列中,所有属于任何已分配组成员的用户也会置于预配队列中。
    • 如果已将组对象配置为进行预配,则会为 Box 预配所有已分配的组对象以及属于这些组的成员的所有用户。 写入 到 Box 以后,组和用户成员身份会保留。

可在进行基于 SAML 的身份验证时使用“属性 > 单一登录”选项卡配置需呈现给 Box 的用户属性(或声明),并可在预配操作过程中使用“属性 > 预配”选项卡配置用户和组属性如何从 Microsoft Entra ID 流向 Box。>>

将用户分配到 Box 的重要提示

  • 建议将单个 Microsoft Entra 用户分配到 Box 来测试预配配置。 其他用户和/或组可以稍后分配。

  • 将用户分配到 Box 时,必须选择有效的用户角色。 “默认访问权限”角色不可用于预配。

启用自动化用户预配

本部分介绍了如何将 Microsoft Entra ID 连接到 Box 的用户帐户预配 API 并配置预配服务,以便在 Box 中根据 Azure AD ID 中的用户和组分配创建、更新和禁用分配的用户帐户。

如果启用了自动预配,则会将分配的用户和/或组添加到预配队列进行自动预配。

  • 如果仅将用户对象配置为进行预配,则会将直接分配的用户置于预配队列中,所有属于任何已分配组成员的用户也会置于预配队列中。

  • 如果已将组对象配置为进行预配,则会为 Box 预配所有已分配的组对象以及属于这些组的成员的所有用户。 写入 到 Box 以后,组和用户成员身份会保留。

提示

还可选择按照 Azure 门户中提供的说明为 Box 启用基于 SAML 的单一登录。 可以独立于自动预配配置单一登录,尽管这两个功能互相补充。

配置用户帐户自动预配:

本部分的目的是概述如何对 Box 启用 Active Directory 用户帐户的预配。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“企业应用程序”。

  3. 如果已为 Box 配置单一登录,请使用搜索字段搜索 Box 实例。 否则,请选择“添加”并在应用程序库中搜索“Box”。 从搜索结果中选择 Box,并将其添加到应用程序列表。

  4. 选择 Box 实例,然后选择“预配”选项卡。

  5. 将“预配模式”设置为“自动”。

    Screenshot of the Provisioning tab for Box in Azure portal. Provisioning Mode is set to Automatic and Authorize is highlighted in Admin Credentials.

  6. 在“管理员凭据”部分单击“授权”,在新的浏览器窗口中打开 Box 登录对话框。

  7. 在“登录以授予对 Box 的访问权限”页上,提供所需的凭据,然后单击“授权”

    Screenshot of the Log in to grant access to box screen, showing entry for Email and Password, and the Authorize button.

  8. 单击“授予对 Box 的访问权限”对此操作授权,然后返回到 Azure 门户。

    Screenshot of the authorize access screen in Box, showing an explanatory message and the Grant access to Box button.

  9. 选择“测试连接”,确保 Microsoft Entra ID 可以连接到 Box 应用。 如果连接失败,请确保 Box 帐户具有团队管理员权限,并重试“授权”步骤。

  10. 在“通知电子邮件”字段中输入应接收预配错误通知的人员或组的电子邮件地址,并选中复选框

  11. 单击“保存” 。

  12. 在“映射”部分下,选择“将 Microsoft Entra 用户同步到 Box”。

  13. 在“属性映射”部分,查看从 Microsoft Entra ID 同步到 Box 的用户属性。 选为“匹配”属性的特性用于匹配 Box 中的用户帐户以执行更新操作。 选择“保存”按钮以提交任何更改 。

  14. 若要为 Box 启用 Microsoft Entra 预配服务,请在“设置”部分将“预配状态”更改为“开”

  15. 单击“保存” 。

这会开始“用户和组”部分中分配给 Box 的任何用户和/或组的初始同步。 初始同步执行的时间比后续同步长,只要服务正在运行,大约每隔 40 分钟就会进行一次同步。 可以使用“同步详细信息”部分监视进度并跟踪指向预配活动日志的链接,这些日志描述了预配服务对 Box 应用执行的所有操作。

要详细了解如何读取 Microsoft Entra 预配日志,请参阅有关自动用户帐户预配的报告

在 Box 租户中,已同步的用户列在“管理控制台”中的“托管用户”下。

Integration status

其他资源