Tutorial: Configuración de Box para el aprovisionamiento automático de usuarios
El objetivo de este tutorial es explicar los pasos que hay que realizar en Box y Microsoft Entra ID para aprovisionar y desaprovisionar automáticamente cuentas de usuario de Microsoft Entra ID en Box.
Nota:
En este tutorial se describe un conector que se crea sobre el servicio de Aprovisionamiento de usuarios de Microsoft Entra. Para obtener información importante acerca de lo que hace este servicio, cómo funciona y ver preguntas frecuentes al respecto, consulte Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Microsoft Entra ID.
Requisitos previos
Para configurar la integración de Microsoft Entra con Box, necesita lo siguiente:
- Un inquilino de Microsoft Entra
- Un plan de negocios de Box o algo superior
Nota:
No se recomienda usar un entorno de producción para probar los pasos de este tutorial.
Nota:
Las aplicaciones primero deben habilitarse en la aplicación Box.
Nota:
Esta integración también está disponible para usarse desde el entorno de la nube del gobierno de EE. UU. de Microsoft Entra. Es posible encontrar esta aplicación en la galería de aplicaciones en la nube del gobierno de EE. UU. de Microsoft Entra y configurarla de la misma manera que en la nube pública.
Para probar los pasos de este tutorial, siga estas recomendaciones:
- No use el entorno de producción, salvo que sea necesario.
- Si no tiene un entorno de prueba de Microsoft Entra, puede obtener una versión de evaluación de un mes.
Asignación de usuarios a Box
Microsoft Entra ID usa un concepto denominado "asignaciones" para determinar qué usuarios deben obtener acceso a determinadas aplicaciones. En el contexto del aprovisionamiento automático de cuentas de usuario, solo se sincronizan los usuarios o grupos que se han "asignado" a una aplicación en Microsoft Entra ID.
Antes de configurar y habilitar el servicio de aprovisionamiento, debe decidir qué usuarios o grupos de Microsoft Entra ID representan a los usuarios que necesitan acceso a la aplicación Box. Una vez decidido, puede asignar estos usuarios a la aplicación de Box siguiendo estas instrucciones:
Asignar un usuario o grupo a una aplicación empresarial
Asignación de usuarios y grupos
La pestaña Box > Usuarios grupos de Azure Portal permite especificar qué usuarios y grupos deben tener acceso a Box. La asignación de un usuario o un grupo hace que ocurra lo siguiente:
Microsoft Entra ID permite que el usuario asignado (ya sea mediante asignación directa o por pertenencia a un grupo) se autentique en Box. Si no se asigna un usuario, Microsoft Entra ID no permite que inicie sesión en Box y devuelve un error en la página de inicio de sesión de Microsoft Entra.
Se agregará un icono de la aplicación de Box al iniciador de aplicacionesdel usuario.
Si está habilitado el aprovisionamiento automático, se agregan a la cola de aprovisionamiento los usuarios o grupos asignados para aprovisionarlos automáticamente.
- Si solo se ha configurado el aprovisionamiento de objetos de usuario, todos los usuarios asignados directamente se colocan en la cola de aprovisionamiento, y todos los usuarios que son miembros de los grupos asignados se colocarán en la cola de aprovisionamiento.
- Si se ha configurado el aprovisionamiento de objetos de grupo, todos los objetos de grupo asignados se aprovisionan en Box, así como todos los usuarios que son miembros de esos grupos. Las pertenencias a grupos y usuarios se conservan una vez que se escriben en Box.
Puede usar la pestaña Atributos > Inicio de sesión único para configurar los atributos (o notificaciones) de usuario que se presentan a Box durante la autenticación basada en SAML, y la pestaña Atributos > Aprovisionamiento para configurar la forma en la que los atributos de usuario y grupo fluyen de Microsoft Entra ID a Box durante las operaciones de aprovisionamiento.
Sugerencias importantes para asignar usuarios a Box
Se recomienda asignar un único usuario de Microsoft Entra a Box para probar la configuración de aprovisionamiento. Más tarde, se pueden asignar otros usuarios o grupos.
Al asignar a un usuario a Box, debe seleccionar un rol de usuario válido. El rol "Acceso predeterminado" no funciona para realizar el aprovisionamiento.
Habilitación del aprovisionamiento automático de usuarios
Esta sección le indica cómo conectar su Microsoft Entra ID a la API de aprovisionamiento de cuentas de usuario de Box y cómo configurar el servicio de aprovisionamiento para crear, actualizar y deshabilitar cuentas de usuario asignadas en Box en función de la asignación de usuarios y grupos en Microsoft Entra ID.
Si está habilitado el aprovisionamiento automático, se agregan a la cola de aprovisionamiento los usuarios o grupos asignados para aprovisionarlos automáticamente.
Si solo se ha configurado el aprovisionamiento de objetos de usuario, los usuarios asignados directamente se colocan en la cola de aprovisionamiento, y todos los usuarios que son miembros de los grupos asignados se colocarán en la cola de aprovisionamiento.
Si se ha configurado el aprovisionamiento de objetos de grupo, todos los objetos de grupo asignados se aprovisionan en Box, así como todos los usuarios que son miembros de esos grupos. Las pertenencias a grupos y usuarios se conservan una vez que se escriben en Box.
Sugerencia
También puede habilitar el inicio de sesión único basado en SAML para Box siguiendo las instrucciones de Azure Portal. El inicio de sesión único puede configurarse independientemente del aprovisionamiento automático, aunque estas dos características se complementan entre sí.
Para configurar el aprovisionamiento automático de cuentas de usuario, siga estos pasos:
El objetivo de esta sección es describir cómo habilitar el aprovisionamiento de las cuentas de usuario de Active Directory en Box.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.
Si ya ha configurado Box para el inicio de sesión único, busque la instancia de Box mediante el campo de búsqueda. En caso contrario, seleccione Agregar y busque Box en la Galería de aplicaciones. Seleccione Box en los resultados de búsqueda y agrégalo a la lista de aplicaciones.
Seleccione la instancia de Box y, después, seleccione la pestaña Aprovisionamiento.
Establezca el modo de aprovisionamiento en Automático.
En la sección Credenciales de administrador, haga clic en Authorize (Autorizar) para abrir un cuadro de diálogo de inicio de sesión de Box en una nueva ventana del explorador.
En la página Log in to grant access to Box (Iniciar sesión para otorgar acceso a Box), proporcione las credenciales necesarias y haga clic en Authorize (Autorizar).
Haga clic en Grant access to Box (Otorgar acceso a Box) para autorizar esta operación y volver a Azure Portal.
Seleccione Probar conexión para asegurarse de que Microsoft Entra ID puede conectarse a la aplicación Box. Si se produce un error de conexión, asegúrese de que su cuenta de Box tiene permisos de administrador de equipo y vuelva a intentar el paso de Autorizar.
Escriba la dirección de correo electrónico de una persona o grupo que debe recibir las notificaciones de error de aprovisionamiento en el campo Correo electrónico de notificación y active la casilla.
Haga clic en Save(Guardar).
En la sección Asignaciones, seleccione Sincronizar usuarios de Microsoft Entra con Box.
En la sección Asignaciones de atributos, revise los atributos de usuario de Microsoft Entra ID que se sincronizan con Box. Los atributos seleccionados como propiedades de Coincidencia se usan para buscar coincidencias con las cuentas de usuario de Box con el objetivo de realizar operaciones de actualización. Seleccione el botón Guardar para confirmar los cambios.
Para habilitar el servicio de aprovisionamiento de Microsoft Entra para Box, cambie el Estado de aprovisionamiento a Activado en la sección Configuración.
Haga clic en Save(Guardar).
Esta acción inicia la sincronización inicial de todos los usuarios y grupos asignados a Box en la sección Usuarios y grupos. La sincronización inicial tarda más tiempo en realizarse que las posteriores, que se producen aproximadamente cada 40 minutos si se está ejecutando el servicio. Puede usar la sección Detalles de sincronización para supervisar el progreso y hacer clic en los vínculos a los registros de actividad de aprovisionamiento, que describen todas las acciones que ha llevado a cabo el servicio de aprovisionamiento en la aplicación Box.
Para más información sobre cómo leer los registros de aprovisionamiento de Microsoft Entra, consulte Creación de informes sobre el aprovisionamiento automático de cuentas de usuario.
En su inquilino de Box, los usuarios sincronizados se muestran en Usuarios administrados en la Consola de administración.