Single Sign-on (SSO) – Miro-Miro-Hilfecenter

Die SAML-basierte Funktion Single Sign-on (oder SSO) bei Miro bietet deinen Endnutzer*innen Zugang zu der Miro-Anwendung durch einen Identitätsanbieter (IdP) deiner Wahl. Miro unterstützt auch SCIM mit jedem Identitätsanbieter deiner Wahl (sowohl SP- als auch IdP-initiiertes Anmelden).

Verfügbar für: Enterprise-, Business-Preispläne
Einrichtung durch: Firmen-Admins

Regeln

Sobald SSO für den Preisplan aktiviert wurde, gelten die folgenden Regeln für die Endnutzer*innen:

Das SSO-Verfahren wird auf die Unternehmensdomains angewendet, die du zu den SSO-Einstellungen hinzufügst. Die Endnutzer*innen der Preispläne innerhalb dieser Unternehmensdomains (Mitglieder, Gäste) müssen sich bei Miro über die SSO-Option mit den Anmeldedaten ihres Identitätsanbieters anmelden.

Domains in den SSO-Einstellungen
Die anderen Autorisierungsmöglichkeiten (Standard-Login mit Passwort, Google-, Facebook-, Slack- und Office 365-Buttons) sind für sie deaktiviert.
Das bedeutet, dass du dieselbe Identitätsanbieterkonfiguration auch mit mehreren Miro-Abos verwenden kannst. Die verschiedenen Abos müssen jedoch unterschiedliche Domains verwenden. Du kannst jedoch nur ein einziges Enterprise-Abo von Miro über SCIM bereitstellen (da jede Enterprise-Instanz ein eindeutiges Token hat, deine SCIM-Konfiguration aber nur eines davon akzeptiert)
✏️ Endnutzer*innen mit anderen Domains müssen kein SSO verwenden. Sie sollten sich stattdessen mit den Standardmethoden anmelden. Dieses Vorgehen ist für Gäste, unabhängige Auftragnehmer usw. gedacht, die nur auf bestimmte Boards des Unternehmens zugreifen können und möglicherweise keine Profile bei deinem Identitätsanbieter haben.
Auch wenn ein*e Endnutzer*in Mitglied eines Teams ist, das nicht zu deinem Preisplan gehört, muss er oder sie sich trotzdem über SSO anmelden, sobald die Funktion aktiviert ist. Jedoch können sie weiterhin auf andere Teams zugreifen. Wenn du deine Endnutzer*innen jedoch daran hindern möchtest, sieh dir die Funktion Domain-Steuerung an.
Den Endbenutzern ist es nicht gestattet, ihr Passwort, Vornamen oder den Nachnamen in Miro zu ändern (Profilbilder können ebenfalls in die Liste aufgenommen werden). Die Daten werden stattdessen automatisch von deinem Identitätsanbieter nach erfolgreicher Anmeldung zugewiesen.

Der Nutzername bei Miro wird nach jeder erfolgreichen Benutzerauthentifizierung aktualisiert, wenn die SAML-Antwort neue nicht-leere Werte enthält. Weitere Informationen zum Einrichten von Benutzernamen bei Miro findest du in den Optionalen Einstellungen unten.
✏️ Wenn du die E-Mail-Adressen deiner Endnutzer*innen ändern musst, kannst du das nur über SCIM tun.
Wenn du kein SCIM verwendest, musst du folgende Schritte durchführen: Die Änderung der E-Mail-Adresse muss zuerst bei Miro vorgenommen werden (bitte kontaktiere das Support-Team für Hilfe) und danach beim Identitätsanbieter. Erst danach kann der bzw. die Endnutzer*in die neuen Zugangsdaten verwenden, um sich bei Miro anzumelden. Unser System erkennt den Benutzer anhand seiner E-Mail-Adresse. Wenn das System vor dem nächsten Login nicht über die Änderung informiert wird, wird die Person als neuer Benutzer erkannt und erhält ein neues Profil, anstatt in seinem bestehenden Profil angemeldet zu werden.
Alle Nutzer*innen, die sich bei der Desktop-, Tablet- oder mobilen App von Miro über SSO anmelden möchten, werden automatisch zu einem Webbrowser weitergeleitet, damit sie das SSO des Unternehmens nutzen. Sobald das SSO im Browser erfolgreich war, werden die Benutzer automatisch zu den ursprünglichen Apps zurückgeleitet, um Miro weiterzuverwenden.
Nutzer*innen aus deinen Domains, die kein Mitglied deines Preisplans sind, müssen sich nicht über SSO in deinem Preisplan anmelden.

Konfiguration von SSO

Konfiguriere deinen Identitätsanbieter

Du kannst einen Identitätsanbieter deiner Wahl verwenden. Die Anleitungen für die gängigsten Identitätsplattform-Lösungen findest du im Folgenden:

Hier findest du auch einen Artikel über die Einrichtung von Jumpcloud SSO (und SCIM).

Gehe zuerst in das Konfigurationsfeld deines Identitätsanbieters und folge den Anweisungen des Anbieters, um Single Sign-On zu konfigurieren.

Füge dann folgende Daten hinzu (je nach Identitätsanbieter gibt es mehr oder weniger Felder zum Ausfüllen. Wir empfehlen, optionale Felder zu überspringen oder für alles Standardwerte festzulegen).

Spezifikationen (Metadaten)

Protokoll: SAML 2.0
Binding:
HTTP Redirect für SP zu IdP
HTTP Post für IdP zu SP
Die Service-URL (SP-initiierte URL) (auch bekannt als Launch-URL, Antwort-URL, Relying-Party-SSO-Service-URL, Target-URL, SSO-Login-URL, Identitätsanbieter-Endpunkt usw.): https://miro.com/sso/saml
Assertion Consumer Service URL (auch bekannt als Rückruf-URL, Custom-ACS-URL, Antwort-URL): https://miro.com/sso/saml
Entity-ID (Kennung, Relying Party Trust Identifier): https://miro.com/
Default Relay State – muss in deiner Konfiguration leer gelassen werden
Signierungsanforderung:
Eine nicht signierte SAML-Antwort mit einer signierten Assertion
Eine signierte SAML-Antwort mit einer signierten Assertion
SubjectConfirmation-Methode: „urn:oasis:names:tc:SAML:2.0:cm:bearer“

Die SAML-Antwort des Identitätsanbieters muss ein X. 509-Zertifikat mit einem öffentlichen Schlüssel des Identitätsanbieters enthalten.

Detaillierte Beispiele findest du hier. Die SP-Metadaten-Datei von Miro (XML) kann hier heruntergeladen werden.

⚠️ Verschlüsselung und Single Log-Out werden nicht unterstützt.

Zugangsdaten (Anspruchstypen)

Erforderliches Attribut (auch bekannt als SAML_Subject, Primärschlüssel, Anmeldename, Format des Anwendungsbenutzernamens usw.) – NameID: entspricht der E-Mail-Adresse eines*einer Nutzer*in (bitte nicht mit EmailAddress verwechseln – das ist normalerweise ein separates Attribut) – <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:email">
Optionale Attribute, die mit der Assertion zu senden sind (werden bei jeder neuen Authentifizierung über SSO aktualisiert, wenn vorhanden):
- „DisplayName“ oder „http://schemas.xmlsoap.org/ws/2005/05/identity/claims/displayname“ (wird bevorzugt verwendet);
- „FirstName“ oder „http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname“;
- „LastName“ oder „http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname“;
- „ProfilePicture“ – Die verschlüsselte URL des Bildes

Auch hier kann alles andere auf Standard gesetzt oder unspezifiziert gelassen werden.

SSO in Miro aktivieren

Es wird dringend empfohlen, das Anmeldeverfahren im Inkognito-Modus deines Browsers zu testen. Auf diese Weise bleibt die Sitzung im Standardfenster und du kannst die SSO-Autorisierung deaktivieren, falls etwas nicht richtig konfiguiert ist. Wenn du eine Testinstanz einrichten möchtest, bevor du SSO für das Produktivsystem aktivierst, fordere dies bitte bei deiner Kundenberatung an oder kontaktiere das Support- Team für Hilfe. Es werden nur diejenigen zu dieser Testinstanz hinzugefügt, die SSO konfigurieren.

⚠️ Business-Preisplan-Admins können die SSO-Einstellungen in der Registrierkarte Teameinstellungen > Sicherheit finden. Um SSO in einem Enterprise-Preisplan zu aktivieren, gehe zu Unternehmenseinstellungen > Enterprise-Integrationen.

Spezifiziere die folgenden Werte:

SAML Sign-in URL (in den meisten Fällen öffnet es die Website deines Identitätsanbieters, auf der deine Endbenutzer aufgefordert werden, ihre Zugangsdaten einzugeben)
X. 509-Zertifikat (von deinem Identitätsanbieter)
Die Liste der erlaubten/für die Authentifizierung über deinen SAML-Server erforderlichen Domains

SSO-Einstellungen bei Miro

Verifiziere deine SSO-Domains

Einrichtung durch: Unternehmensadministratoren

Nachdem du einen Domainnamen eingegeben hast, musst du diesen verifizieren. Gib die E-Mail-Adresse von der hinzugefügten Domain ein, um zu beweisen, dass du diese repräsentierst. Das System sendet dann eine Verifizierungsmail an die angegebene E-Mail-Adresse. Bitte beachte, dass ein Firmen-Admin auf den Verifizierungslink in dem Schreiben klicken muss. Klicke abschließend auf die Schaltfläche Speichern. Danach können deine Endbenutzer von der verifizierten Domäne die SSO-Autorisierung verwenden.

Die Anforderungen für eine erfolgreiche Verifizierung sind wie folgt:

Die Person, die die Überprüfung durchführt (die sie einleitet und/oder abschließt), muss ein Firmen-Admin sein. Wenn du Firmen-Admin bist und das Bestätigungsschreiben an die E-Mail-Adresse einer Person senden möchtest, die kein Firmen-Admin ist, kann dir diese Person den Bestätigungslink aus ihrem Schreiben erneut zusenden. Dann kannst du den Vorgang abschließen.
Die verwendete E-Mail-Adresse muss gültig sein (und E-Mails empfangen können).
Öffentliche Domains (z. B. @gmail.com, @outlook.com usw.) sind nicht erlaubt.
Die SSO-Funktion muss aktiviert sein und der Domainname darf erst aus dem Feld gelöscht werden, wenn die Verifizierung abgeschlossen ist (die Verifizierungsmail kommt innerhalb von 15 Minuten).

💡 Wenn du viele Domains und Subdomains verwaltest (Subdomains werden als separate Namen erkannt und erfordern eine separate Verifizierung), überprüfe bitte mindestens einen Domainnamen und sende eine Anfrage an das Support-Team. Schicke uns bitte eine Liste der Domains mit (die Namen müssen durch ein Komma getrennt werden), damit wir sie alle mit einem Klick für dich bestätigen können.

Bitte beachte, dass du im Business-Preisplan nur drei Domains pro Unternehmen verifizieren kannst.

Solange die Domain nicht in der Liste aufgeführt und verifiziert ist, findet das SSO keine Anwendung (falls das Feld keine bestätigten Domains enthält, sind keine Nutzer*innen vom SSO betroffen). Wenn eine Domain nicht verifiziert ist, wird in die Einstellungen der Hinweis E-Mail verifizieren angezeigt.

Nicht verifizierte Domain in den SSO-Einstellungen von Miro

Optionale Einstellungen

Der Abschnitt Optionale Einstellungen kann von fortgeschrittenen Nutzer*innen verwendet werden, die mit der Konfiguration von SSO vertraut sind. Weitere Informationen findest du in der Dokumentation zu den SAML 2.0-Standards.

Erzwinge die Authentifizierung immer über den IdP.

Diese Funktion befindet sich derzeit in der Beta-Version.

Mit dieser Einstellung können Administrator*innen bei Bedarf die Sicherheit erhöhen, z. B. in öffentlichen Bereichen oder bei der Arbeit mit hochsensiblen Informationen.

Wenn diese Einstellung aktiviert ist, berücksichtigt der SSO-Mechanismus des IdP keine zuvor authentifizierten Sitzungen. Er fordert den*die Nutzer*in auf, sich erneut anzumelden.

Erzwingen der Authentifizierung durch die Einstellung „Authentifizierung immer erforderlich“

Just-in-Time-Zugriff (JIT) für neue Nutzer*innen

Sorge dafür, dass deine Endnutzer*innen direkt auf Miro zugreifen können, ohne darauf warten zu müssen, bis sie jemand einlädt und sie den gesamten Onboarding-Prozess durchlaufen müssen. Vermeide zudem die Erstellung von Test- und Free-Teams außerhalb des von dir verwalteten Abos.

⚠️ Die Miro-Funktion JIT betrifft automatisch alle neu registrierten Nutzer*innen. Auch die Nutzer*innen, die bereits ein Profil bei Miro haben, benötigen eine Einladung zu deinem Preisplan – wenn du allerdings unsere Funktion Team-Auffindbarkeit aktivierst, wird auch das Team, für das du JIT eingerichtet hast, in der Liste von Teams angezeigt, die für die Teilnahme verfügbar sind.

Allen Nutzer*innen mit JIT werden die Standardlizenz deines Abos zugewiesen:

Für alle Business- und Enterprise-Abos ohne Flexibles Lizenzmodell: eine Volllizenz. Wenn dein Abo im Rahmen des Enterprise-Preisplans keine Lizenzen mehr hat, wird den Nutzer*innen eine Eingeschränkte kostenlose Lizenz zur Verfügung gestellt (gilt nur für den Enterprise-Preisplan). Wenn die Lizenzen deines Business-Preisplans ausgeschöpft sind, werden die Nutzer*innen nicht automatisch erfasst und JIT funktioniert nicht mehr.
Für Enterprise-Abos mit einem flexiblen Lizenzmodell: eine kostenlose Lizenz oder eine eingeschränkte kostenlose Lizenz, je nach Standardlizenz

Um die JIT-Funktion bei Miro zu aktivieren, öffne deine SSO-Einstellungen > klicke das entsprechende Kästchen an > und wähle das designierte Team aus.

Die Funktion JIT auf der Seite Enterprise-Integrationen aktivieren

Alle neu registrierten Nutzer*innen aus den Domains, die du in den Einstellungen aufführst, werden automatisch unter deinem Enterprise-Schirm zu diesem bestimmten Team hinzugefügt, wenn sie sich bei Miro anmelden.

⚠️ Dieses Team wird im Enterprise-Preisplan auch in der Liste der auffindbaren Teams angezeigt, wenn du Team Teamauffindbarkeit aktivierst.

DisplayName als Standardbenutzername festlegen

Bei Miro setzt sich der Nutzername wie folgt zusammen:

Miro verwendet standardmäßig Attritute des Vornamens und Nachnamens
Alternativ kannst du auch einen Display-Namen anfordern. In diesem Fall verwendet Miro den Display-Namen, wenn er in der SAML-Anfrage des*der Nutzer*in steht. Wenn kein Display-Name vorliegt, aber der Vorname + Nachname, verwendet Miro den Vornamen + Nachnamen.
Bitte wende dich an den Miro-Support, wenn du den Display-Namen als deinen bevorzugten SSO-Nutzernamen verwenden möchtest.
Wenn keines der drei Attribute in der SAML-Kommunikation vorhanden ist, verwendet Miro die E-Mail-Adresse der*des Nutzer*in als Nutzername

Synchronisierung des Benutzerprofilbilds vom IdP

⚠️ Es wird empfohlen, diese Option zu aktivieren. Wenn du SCIM nicht aktivierst, oder wenn du es aktivierst, aber dein IdP nicht das Attribut ProfilePicture unterstützt (z. B. wird ProfilePicture nicht von Azure unterstützt). In anderen Fällen empfiehlt es sich, das ProfilePicture über SCIM mit sofortigen Updates zu übermitteln.

Wenn diese Einstellung aktiviert ist:

wird das Profilbild auf der Website des IDP als Profilbild im Miro-Profil des*der Nutzer*in angezeigt
haben die Nutzer*innen keine Möglichkeit, ihr Profilbild selbst zu aktualisieren oder zu entfernen

⚠️ Wie auch bei dem Nutzernamen verlieren die Nutzer*innen die Möglichkeit, ihre Daten bei Miro sofort zu ändern. Die Datensynchronisation erfolgt jedoch nicht zeitgleich. Der Identitätsanbieter sendet das Update erst mit der nächsten SSO-Authentifizierung des*der Nutzer*in an Miro (die Einstellung „Fotos des Benutzerprofils von IDP synchronisieren“ muss zu diesem Zeitpunkt aktiv sein).

Wenn das Profilbild beim IDP festgelegt wurde und du möchtest, dass das Attribut in der SAML-Kommunikation weitergegeben wird, erwartet Miro das folgende Schema:

<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>

SSO mit Datenresidenz

Wenn du die Unterstützung der Datenresidenz von Miro nutzt und eine eigene URL hast (workspacedomain.miro.com), musst du die Konfiguration deines Identitätsanbieters wie folgt anpassen:

	Standardwert	Wert unter Datenresidenz
Assertion Consumer Service URL (auch bekannt als Rückruf-URL, Custom-ACS-URL, Antwort-URL):	https://miro.com/sso/saml	https://workspace-domain.miro.com/ sso/saml/ORGANIZATION_ID
Entity-ID(Kennung, Relying Party Trust Identifier): https://miro.com/	https://miro.com/	https://workspace-domain.miro.com/ ORGANIZATION_ID

Du findest deine ORGANIZATION_ID in deinem Miro-Dashboard. Klicke dazu in der oberen rechten Ecke auf dein Profil und dann auf Einstellungen. Sie wird dir dann in der URL in der Adressleiste angezeigt.

Einrichtung der MFA (2FA) für Nutzer*innen, die kein SSO verwenden

Weitere Informationen zu dieser Funktion findest du hier.

Mögliche Issues und wie man sie löst

Meine Domainadressen werden in den SSO-Einstellungen nicht akzeptiert. Die Meldung lautet: „Domainname wird bereits verwendet“.

Aus Sicherheitsgründen müssen alle Domains eines Unternehmens unter dem gleichen Enterprise-Schirm (Enterprise-Abo) angesiedelt sein. Möglicherweise werden deine Domains bereits in einem anderen Business-Preisplan oder einem Enterprise-Preisplan verwendet. Dadurch wird verhindert, dass du das SSO für die gewünschte Domain aktivieren kannst. Bitte kläre das vorab mit deinen Kollegen.

Ich habe auf den Link der E-Mail zur Domainverifizierung geklickt. Die Überprüfung wird aber nicht durchgeführt.

Über diesen Link sollst du zu der Seite Enterprise-Integration weitergeleitet werden. Wenn du da nicht hinkommst, überprüfe bitte, ob du eine Anti-Phishing-Software verwendest, die die Weiterleitung verhindert.

Wir müssen die E-Mail-Adressen unserer Endnutzer*innen ändern. / Wir haben die E-Mail-Adressen unserer Nutzer*innen geändert. Jetzt können sie nicht mehr auf ihre Boards zugreifen.

Bitte wende dich an unser Support-Team, wenn dein Unternehmen seinen Domainnamen ändert und daher die SSO-Anmeldedaten der E-Mail-Adressen der Endnutzer*innen angepasst werden müssen.

Wir würden für das SSO-Verfahren gern ein separates Gateway (z. B. MFA, wie Duo Dag) verwenden.

Das könnt ihr selbstverständlich tun. Miro unterstützt die von euch bevorzugte Lösung. Sie muss jedoch unter SAML 2.0 funktionieren.

Wir haben SSO aktiviert. Die Daten der Miro-Nutzerprofile (Namen, Profilbilder – falls von eurem IdP unterstützt) werden aber nicht mit denen im IdP synchronisiert.

Der Miro-Nutzername und das Miro-Profilbild werden nach jeder erfolgreichen Nutzerauthentifizierung aktualisiert, wenn die SAML-Antwort neue, nicht-leere Werte enthält. Weitere Informationen zum Einrichten von Nutzernamen bei Miro findest du in den Optionalen Einstellungen.

Wenn einer oder alle deine Nutzer*innen bei der Anmeldung in Miro eine Fehlermeldung erhalten, schau dir bitte diese Liste der häufigsten Fehler und deren Behebung an.

Häufig gestellte Fragen

Werden die Nutzer*innen automatisch abgemeldet und gezwungen, sich wieder über SSO anzumelden, wenn ich SSO aktiviere?

Die Nutzer*innen bleiben eingeloggt und können Miro weiterhin verwenden. Wenn ein Benutzer sich abmeldet, die Sitzung abläuft oder sich von einem neuen Gerät aus anmeldet, wird er aufgefordert, sich über SSO zu autorisieren. Dies gilt nur für Endnutzer*innen deines Enterprise-Preisplans mit einer Unternehmensdomain.

Melden sich die neu registrierten Nutzer*innen über SSO an, wenn ich JIT aktiviert habe?

Ja, da für die JIT-Bereitstellung SSO erforderlich ist.

Können Kunden/Partner/Externe weiterhin auf Miro zugreifen, wenn ich SSO aktiviere?

Ja. Die Anmeldung über SSO wird nur für Nutzer*innen obligatorisch, die Teil deines Enterprise-Abos sind und für die eine Domain in deiner SSO-Konfiguration aufgeführt ist. Wenn deine Kunden/Partner/Externe eine andere Domain haben, die nicht in deiner SSO-Konfiguration aufgeführt ist, ist für sie keine SSO in deinem Preisplan erforderlich.

Beiträge in diesem Abschnitt