Tutorial: Konfigurieren von Box für die automatische Benutzerbereitstellung
Das Ziel dieses Tutorials ist es, die Schritte zu zeigen, die Sie in Box und Microsoft Entra ID ausführen müssen, um Benutzerkonten von Microsoft Entra ID in Box automatisch bereitzustellen und deren Bereitstellung aufzuheben.
Hinweis
In diesem Tutorial wird ein Connector beschrieben, der auf dem Bereitstellungsdienst für Benutzer*innen für Microsoft Entra-Benutzer*innen basiert. Wichtige Details zum Zweck und zur Funktionsweise dieses Diensts sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzer*innen für SaaS-Anwendungen mit Microsoft Entra ID.
Voraussetzungen
Um die Microsoft Entra-Integration mit Box zu konfigurieren, benötigen Sie Folgendes:
- Ein Microsoft Entra-Mandant
- Mindestens einen Box Business-Plan
Hinweis
Es wird nicht empfohlen, zum Testen der Schritte in diesem Tutorial eine Produktionsumgebung zu verwenden.
Hinweis
Apps müssen zuerst in der Box-Anwendung aktiviert werden.
Hinweis
Diese Integration kann auch über die Microsoft Entra US Government-Cloud-Umgebung verwendet werden. Sie können diese Anwendung im Microsoft Entra-Anwendungskatalog für US Government Cloud finden und auf die gleiche Weise wie in der öffentlichen Cloud konfigurieren.
Beachten Sie beim Testen der Schritte in diesem Tutorial die folgenden Empfehlungen:
- Verwenden Sie die Produktionsumgebung nur, wenn dies unbedingt erforderlich ist.
- Sollten Sie über keine Microsoft Entra-Umgebung verfügen, können Sie hier eine einmonatige Testversion anfordern.
Zuweisen von Benutzern zu Box
Microsoft Entra ID ermittelt anhand von „Zuweisungen“, welche Benutzer*innen Zugriff auf ausgewählte Apps erhalten sollen. Im Kontext der automatischen Bereitstellung von Benutzerkonten werden nur die Benutzer*innen und Gruppen synchronisiert, die einer Anwendung in Microsoft Entra ID zugewiesen wurden.
Vor dem Konfigurieren und Aktivieren des Bereitstellungsdiensts müssen Sie entscheiden, welche Benutzer und/oder Gruppen in Microsoft Entra ID die Benutzer darstellen, die Zugriff auf Ihre Box-App benötigen. Anschließend können Sie diese Benutzer Ihrer Box-App zuweisen, indem Sie diese Anweisungen befolgen:
Zuweisen eines Benutzers oder einer Gruppe zu einer Unternehmens-App
Zuweisen von Benutzern und Gruppen
Auf der Registerkarte Box > Benutzer und Gruppen im Azure-Portal können Sie angeben, welchen Benutzern und Gruppen Zugriff auf Box gewährt werden soll. Durch die Zuweisung eines Benutzers oder einer Gruppe geschieht Folgendes:
Microsoft Entra ID ermöglicht es dem zugewiesenen Benutzer (entweder durch direkte Zuweisung oder durch eine Gruppenmitgliedschaft), sich bei Box zu authentifizieren. Wenn ein Benutzer nicht zugewiesen ist, lässt Microsoft Entra ID eine Anmeldung bei Box nicht zu und gibt auf der Microsoft Entra ID-Anmeldeseite einen Fehler zurück.
Eine App-Kachel für Box wird dem Anwendungsstartprogrammdes Benutzers hinzugefügt.
Wenn die automatische Bereitstellung aktiviert ist, werden die zugewiesenen Benutzer und/oder Gruppen der Bereitstellungswarteschlange hinzugefügt, damit sie automatisch bereitgestellt werden.
- Wenn nur Benutzerobjekte zur Bereitstellung konfiguriert wurden, werden alle direkt zugewiesenen Benutzer in der Bereitstellungswarteschlange platziert. Zudem werden alle Benutzer, die Mitglieder von zugewiesenen Gruppen sind, in die Bereitstellungswarteschlange aufgenommen.
- Wenn Gruppenobjekte zur Bereitstellung konfiguriert wurden, werden alle zugewiesenen Gruppenobjekte in Box bereitgestellt. Außerdem werden alle Benutzer bereitgestellt, die Mitglieder dieser Gruppen sind. Die Gruppen- und Benutzermitgliedschaften bleiben erhalten, nachdem sie an Box übertragen wurden.
Auf der Registerkarte Attribute > Single Sign-On können Sie konfigurieren, welche Benutzerattribute (oder Ansprüche) in Box während der SAML-basierten Authentifizierung präsentiert werden, und auf der Attribute > Bereitstellung Registerkarte, wie Benutzer- und Gruppenattribute während Bereitstellungsvorgängen von Microsoft Entra ID zu Box fließen.
Wichtige Tipps zum Zuweisen von Benutzern zu Box
Es wird empfohlen, Box eine*n einzelne*n Microsoft Entra-Benutzer*in zuzuweisen, um die Konfiguration der Bereitstellung zu testen. Später können weitere Benutzer und/oder Gruppen zugewiesen werden.
Wenn Sie Box einen Benutzer zuweisen, müssen Sie eine gültige Benutzerrolle auswählen. Die Rolle „Standardzugriff“ funktioniert nicht für die Bereitstellung.
Aktivieren der automatisierten Benutzerbereitstellung
Dieser Abschnitt führt durch das Herstellen einer Verbindung von Microsoft Entra ID mit der Bereitstellungs-API für Benutzerkonten in Box sowie durch das Konfigurieren des Bereitstellungsdiensts für das Erstellen, Aktualisieren und Deaktivieren zugewiesener Benutzerkonten in Box basierend auf der Benutzer- und Gruppenzuweisung in Microsoft Entra ID.
Wenn die automatische Bereitstellung aktiviert ist, werden die zugewiesenen Benutzer und/oder Gruppen der Bereitstellungswarteschlange hinzugefügt, damit sie automatisch bereitgestellt werden.
Wenn nur Benutzerobjekte zur Bereitstellung konfiguriert werden, werden direkt zugewiesene Benutzer in der Bereitstellungswarteschlange platziert. Zudem werden alle Benutzer, die Mitglieder von zugewiesenen Gruppen sind, in die Bereitstellungswarteschlange aufgenommen.
Wenn Gruppenobjekte zur Bereitstellung konfiguriert wurden, werden alle zugewiesenen Gruppenobjekte in Box bereitgestellt. Außerdem werden alle Benutzer bereitgestellt, die Mitglieder dieser Gruppen sind. Die Gruppen- und Benutzermitgliedschaften bleiben erhalten, nachdem sie an Box übertragen wurden.
Tipp
Sie können auch das SAML-basierte einmalige Anmelden für Box aktivieren. Befolgen Sie hierzu die Anweisungen im Azure-Portal. Einmaliges Anmelden kann unabhängig von der automatischen Bereitstellung konfiguriert werden, obwohl diese beiden Features einander ergänzen.
So konfigurieren Sie die automatische Bereitstellung von Benutzerkonten:
In diesem Abschnitt wird erläutert, wie Sie die Bereitstellung von Active Directory-Benutzerkonten für Box aktivieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
Wenn Sie Box bereits für das einmalige Anmelden konfiguriert haben, suchen Sie über das Suchfeld nach Ihrer Box-Instanz. Wählen Sie andernfalls Hinzufügen, und suchen Sie im Anwendungskatalog nach Box. Wählen Sie „Box“ in den Suchergebnissen aus, und fügen Sie es Ihrer Anwendungsliste hinzu.
Wählen Sie Ihre Box-Instanz aus, und wählen Sie dann die Registerkarte Bereitstellung aus.
Legen Sie den Bereitstellungsmodus auf Automatisch fest.
Klicken Sie im Abschnitt Administratoranmeldeinformationen auf Autorisieren, um ein Dialogfeld für die Anmeldung bei Box in einem neuen Browserfenster zu öffnen.
Stellen Sie auf der Seite Anmelden, um Zugriff auf Box zu gewähren die erforderlichen Anmeldeinformationen bereit, und klicken Sie dann auf Autorisieren.
Klicken Sie auf Zugriff gewähren auf Box, um diesen Vorgang zu autorisieren und zum Azure-Portal zurückzukehren.
Wählen Sie Verbindung testen aus, um sicherzustellen, dass Microsoft Entra ID eine Verbindung mit Ihrer Box-App herstellen kann. Wenn die Verbindung nicht möglich ist, stellen Sie sicher, dass Ihr Box-Konto über Teamadministratorberechtigungen verfügt, und wiederholen Sie den Schritt Autorisieren.
Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder einer Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll, und aktivieren Sie das Kontrollkästchen.
Klicken Sie auf Speichern.
Wählen Sie im Abschnitt Zuordnungen die Option Synchronize Microsoft Entra-Benutzer mit Box synchronisieren aus.
Überprüfen Sie im Abschnitt Attributzuordnungen die Benutzerattribute, die von Microsoft Entra ID mit Box synchronisiert werden. Die als übereinstimmende Eigenschaften ausgewählten Attribute werden für den Abgleich der Benutzerkonten in Box für Updatevorgänge verwendet. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.
Um den Microsoft Entra-Bereitstellungsdienst für Box zu aktivieren, ändern Sie im Abschnitt Einstellungen den Bereitstellungsstatus in Ein
Klicken Sie auf Speichern.
Dadurch wird die Erstsynchronisierung aller Benutzer und/oder Gruppen gestartet, die Box im Abschnitt „Benutzer und Gruppen“ zugewiesen sind. Die Erstsynchronisierung dauert länger als nachfolgende Synchronisierungen, die ungefähr alle 40 Minuten erfolgen, solange der Dienst ausgeführt wird. Im Abschnitt Synchronisierungsdetails können Sie den Fortschritt überwachen und Links zu Protokollen zur Bereitstellungsaktivität aufrufen. Darin sind alle Aktionen aufgeführt, die vom Bereitstellungsdienst in Ihrer Box-App ausgeführt werden.
Weitere Informationen zum Lesen der Microsoft Entra-Bereitstellungsprotokolle finden Sie unter Meldung zur automatischen Bereitstellung von Konten für Benutzer*innen.
In Ihrem Box-Mandanten werden synchronisierte Benutzer in der Verwaltungskonsole unter Verwaltete Benutzer aufgelistet.