Mit SAML-basiertem Single Sign-on (SSO) können Nutzer über einen Identitätsanbieter (IdP) ihrer Wahl auf Miro zugreifen.
Verfügbar für: Business-Preisplan, Enterprise-Preisplan
Erforderliche Rolle: Unternehmens-Admin
So funktioniert SAML SSO
- Wenn jemand versucht, sich über SSO bei Miro anzumelden, sendet Miro eine SAML-Anfrage (Security Assertion Markup Language) an den Identitätsanbieter (IdP)
- Der Identitätsanbieter validiert die Anmeldeinformationen der Person und sendet eine Antwort an Miro, um die Identität des Mitglieds zu bestätigen
- Miro bestätigt die Antwort und gewährt Zugriff, sodass sich das Mitglied bei seinem Miro-Konto anmelden kann
Was passiert nach der Aktivierung von SSO?
Erstmalige Aktivierung von SSO
Wenn du SSO zum ersten Mal einrichtest, können bestehende Nutzer ohne Unterbrechung weiter in Miro arbeiten. Wenn sie sich jedoch das nächste Mal abmelden, ihre Sitzung abläuft oder sie versuchen, sich von einem neuen Gerät aus anzumelden, müssen sie sich über SSO anmelden.
Alle anderen Anmeldeoptionen werden deaktiviert, einschließlich Standardanmeldung + Passwort, Google, Facebook, Slack, AppleID und O365.
Time-out bei Inaktivität
Wenn du Time-out bei Inaktivität aktiviert hast, werden die Personen automatisch aus ihrem Miro-Profil abgemeldet und müssen sich erneut über SSO autorisieren.
Mehrere Teams und Unternehmen
Wenn deine Nutzenden in mehreren Miro-Teams oder -Unternehmen sind, kannst du es so konfigurieren, dass sie denselben Identitätsanbieter für die Authentifizierung verwenden.
Wer muss sich mit SSO anmelden?
Die Anmeldung über SSO ist nur für aktive Personen obligatorisch, die Teil deines Enterprise-Abos sind und für die eine Domain in deiner SSO-Konfiguration aufgeführt ist.
-
Nutzer, die von Domains auf Miro zugreifen, die nicht in deinen SSO-Einstellungen hinzugefügt wurden, müssen sich nicht mit SSO anmelden, sondern sollten stattdessen die Standard-Anmeldemethoden verwenden.
- Nutzer aus einer bestätigten Domain, die nicht Teil deines Miro Enterprise-Abos sind, müssen sich nur über SSO anmelden, wenn die Just-in-Time-Bereitstellung (JIT) aktiviert ist. Diese Personen werden automatisch zu einem vorkonfigurierten Team hinzugefügt und müssen SSO für die Anmeldung verwenden.
- Verwaltete Personen, die zu einem Miro-Team außerhalb deines Enterprise-Abos gehören, müssen weiterhin SSO für die Authentifizierung verwenden. Diese Personen haben Zugriff auf andere Teams. Um den Zugriff auf bestimmte Teams zu beschränken, aktualisiere die Einstellungen für die Domainsteuerung.
Nutzerdaten verwalten
Die Nutzerdaten werden nach erfolgreicher Anmeldung automatisch von deinem Identitätsanbieter in Miro zugewiesen. Einige Parameter wie Name und Passwort können nicht geändert werden. Andere Parameter wie Abteilung und Profilbilder sind optional.
- Die Nutzernamen bei Miro werden nach jeder erfolgreichen Authentifizierung aktualisiert. Weitere Informationen zum Einrichten von Nutzernamen bei Miro findest du in den erweiterten SSO-Einstellungen. Wenn du die E-Mail-Adresse einer Person ändern musst, kannst du dies nur über SCIM tun. Wenn du kein SCIM verwendest, wende dich bitte an das Support Team.
Domainauswahl in den SSO-Einstellungen
💡 Um eine Profilsperre zu verhindern, erstelle ein provisorisches Nutzerkonto mit einer E-Mail-Adresse, die eine Domain hat, die nicht in den SSO-Einstellungen aufgeführt ist, wie provisorischernutzer@gmail.com. Andernfalls kannst du dich an den Support wenden, der SSO für die gesamte Organisation deaktivieren kann.
Konfiguration von SSO
Identitätsanbieter (IdP)
Verwende einen Identitätsanbieter deiner Wahl. Dies sind die beliebtesten Identitätsanbieter:
- OKTA
- Azure AD von Microsoft
- OneLogin
- ADFS von Microsoft
- Auth0
- Google SSO
- Jumpcloud SSO
So konfigurierst du deinen IdP
Wenn dein Unternehmen mehrere Identitätsanbieter (IdPs) hinzufügen möchte, registriere dich für unsere private Beta-Version.
1. Gehe zum Konfigurationsbereich deines Identitätsanbieters und folge den Anweisungen des Anbieters, um Single Sign-On zu konfigurieren.
2. Füge die folgenden Metadaten hinzu. Wir empfehlen, alle optionalen Felder auszulassen und die Standardwerte beizubehalten.
Spezifikationen (Metadaten)
Protokoll | SAML 2.0 |
Binding | HTTP-Redirect für SP zu IdP HTTP Post für IdP an SP |
Die Service-URL (von SP initiierte URL) Auch bekannt als Launch-URL, Antwort-URL, Relying Party SSO Service URL, Ziel-URL, SSO-Anmelde-URL, Identitätsanbieter-Endpunkt usw. |
https://miro.com/sso/saml |
Assertion Consumer Service URL Auch bekannt als Erlaubte Callback-URL, Benutzerdefinierte ACS-URL, Antwort-URL |
https://miro.com/sso/saml |
Entity-ID Auch bekannt als Identifier, Relying Party Trust Identifier |
https://miro.com/ |
Standard-Relay-Status | muss in deiner Konfiguration leer bleiben |
Signierungsanforderung |
Eine nicht signierte SAML-Antwort mit einer signierten Assertion
|
SubjectConfirmation Methode | "urn:oasis:names:tc:SAML:2.0:cm:bearer" |
Die SAML-Antwort des Identitätsanbieters muss ein x509-Zertifikat mit einem öffentlichen Schlüssel des Identitätsanbieters enthalten. Detaillierte SAML-Beispiele ansehen. Lade die Miro SP Metadaten-Datei (XML) herunter. |
⚠️ Verschlüsselung und Single Log-out werden nicht unterstützt.
Anmeldeinformationen
Alle zusätzlichen Felder außerhalb der unten genannten sind nicht erforderlich. Wir empfehlen, alle optionalen Felder auszulassen und die Standardwerte beizubehalten.
Erforderliche Attribute der Anmeldeinformationen | |
NameID (entspricht der E-Mail-Adresse einer Person) Auch bekannt als SAML_Subject, Primärschlüssel, Anmeldename, Format des Nutzernamens der Anwendung usw. |
<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> |
Optionale Attribute, die mit der Assertion gesendet werden (wird bei jeder neuen Authentifizierung über SSO aktualisiert und verwendet, wenn vorhanden/verfügbar) |
|
So aktivierst du SSO in deinen Miro-Einstellungen
✏️ Durch die Aktivierung von SSO in deinen Einstellungen wird SSO nicht sofort für die Personen aktiviert. Der SSO-Login ist erst verfügbar, wenn deine Domains bestätigt wurden.
2. Aktiviere SSO/SAML
2. Aktiviere SSO/SAML
So aktivierst du SSO in deinen Miro-Einstellungen
Bevor du SSO aktivierst, musst du eine Domain auswählen, die in den Einstellungen für die Domainsteuerung bestätigt wurde.
Nachdem du die SSO/SAML-Funktion in den Single Sign-on-Einstellungen aktiviert hast, füllst du die folgenden Felder aus:
- SAML Sign-in URL (in den meisten Fällen öffnet es die Website deines Identitätsanbieters, auf der die Nutzenden aufgefordert werden, ihre Anmeldeinformationen einzugeben)
- x.509-Zertifikat mit einem öffentlichen Schlüssel (von deinem Identitätsanbieter)
- Alle Domains und Subdomains sind erlaubt oder erforderlich (ACME.com oder ACME.dev.com), um sich über deinen SAML-Server zu authentifizieren
Miro-SSO-Einstellungen
So verlängerst du dein SSO-/SAML-Zertifikat
Auch wenn dein x.509-Zertifikat mit einem öffentlichen Schlüssel abgelaufen ist, funktioniert das SSO weiterhin. Wir empfehlen jedoch dringend, es zu verlängern, damit du Miro weiterhin sicher verwenden kannst. x.509-Zertifikate mit öffentlichem Schlüssel gewährleisten die Sicherheit, den Datenschutz, die Authentifizierung und die Integrität der Daten, die zwischen deinem Identitätsanbieter und Miro ausgetauscht werden.
Diese Zertifikate sind nur für einen bestimmten Zeitraum gültig, der von deinem Identitätsanbieter definiert (und bestätigt) werden kann. Bitte erfrage das Ablaufdatum bei deinem Identitätsanbieter.
Dieser Prozess besteht aus zwei Schritten:
- Verlängere das Zertifikat bei deinem Identitätsanbieter. Bitte lies in dessen Anweisungen nach, wie dabei vorzugehen ist.
- Füge das verlängerte Zertifikat zu deiner SSO-Konfiguration bei Miro hinzu.
Verlängerte Zertifikate zu Miro hinzufügen
⚠️ Wir empfehlen, das x.509-Zertifikat zu einem Zeitpunkt auszutauschen, an dem dein Unternehmen nicht so stark ausgelastet ist (z. B. am Wochenende oder nach den Geschäftszeiten). So vermeidest du, dass es bei der Anmeldung zu Unterbrechungen kommt.
- Gehe in den Einstellungen deines Unternehmens auf Authentifizierung und dann auf Single Sign-on
- Lösche den Inhalt im Feld Schlüssel für das x.509-Zertifikat
- Füge den neuen Schlüssel in dieses Feld ein
- Scrolle nach unten und klicke auf Speichern
Erneuern eines x.509-Zertifikats in Miro
Testen deiner SSO-Konfiguration
Teste deine SSO-Konfiguration, bevor du sie aktivierst, um die Wahrscheinlichkeit von Anmeldeproblemen für deine Nutzer zu verringern.
- Führe die obigen Schritte aus, um deine SSO-Einstellungen zu konfigurieren.
- Klicke auf die Schaltfläche SSO-Konfiguration testen.
- Überprüfe die Ergebnisse:
- Wenn keine Probleme gefunden werden, wird die Meldung SSO Konfigurationstest war erfolgreich angezeigt.
- Wenn Probleme gefunden werden, wird die Meldung SSO-Konfigurationstest fehlgeschlagen angezeigt, gefolgt von detaillierten Fehlermeldungen, die dir zeigen, was behoben werden muss.
Test der SSO-Konfiguration
Optionale, erweiterte SSO-Einstellungen
Der Abschnitt „optionale Einstellungen“ kann von fortgeschrittenen Nutzenden verwendet werden, die mit der Konfiguration von SSO vertraut sind.
Just-in-Time-Zugriff (JIT) für neue Personen
Erleichtere es deinen Teammitgliedern, sofort mit Miro zu beginnen, ohne auf eine Einladung warten oder einen langwierigen Onboarding-Prozess durchlaufen zu müssen. Außerdem solltest du sicherstellen, dass keine Free-Teams außerhalb deines verwalteten Abos erstellt werden (erfordert eine Domainsteuerung). SSO ist erforderlich, um die Just-in-Time-Bereitstellung (JIT) für neue Personen zu aktivieren. Allen Personen mit JIT wird die Standardlizenz deines Abos zugewiesen:
Abo-Typ | Lizenztyp | Was passiert, wenn die Lizenzen ausgeschöpft sind |
Business-Preisplan | Volllizenz | Es werden keine Personen automatisch hinzugefügt; die JIT-Funktion funktioniert nicht mehr. |
Enterprise-Preisplan (ohne flexibles Lizenzprogramm) | Volllizenz | Personen mit einer eingeschränkten kostenlosen Lizenz |
Enterprise-Preisplan (mit flexiblem Lizenzprogramm) | Kostenlose oder eingeschränkte kostenlose Lizenz | Hängt von den Standardlizenzeinstellungen ab |
So aktivierst du die Just-in-Time-Bereitstellung
Wenn du die Just-in-Time-Bereitstellung aktivierst, gilt sie automatisch für alle, die sich neu bei Miro registrieren. Bestehende Nutzer von Miro benötigen jedoch weiterhin eine Einladung, um deinem Preisplan beizutreten.
- Gehe zu deinen SSO-Einstellungen
- Markiere das Kästchen Alle neu registrierten Nutzer aus den aufgelisteten Domains automatisch zu deinem Enterprise-Konto hinzufügen
- Wähle ein Standard-Team für neu registrierte Nutzer aus der Dropdown-Liste
- Klicke auf Speichern
Wenn du bestimmte Domains in deinen Single Sign-on (SSO)-Einstellungen auflistest, werden alle Nutzer, die sich mit diesen Domains registrieren, automatisch zu deinem Enterprise-Abo hinzugefügt. Sie werden dem Team zugewiesen, das du in deinen Just-in-Time (JIT)-Einstellungen ausgewählt hast.
Aktivierung der Just-in-Time-Bereitstellungsfunktion auf der Seite für Enterprise-Integrationen
Alle neu registrierten Personen aus den Domains, die du in den Einstellungen aufführst, werden automatisch unter deinem Enterprise-Abo zu diesem bestimmten Team hinzugefügt, wenn sie sich bei Miro anmelden.
⚠️ Dieses Team wird im Enterprise-Preisplan auch in der Liste der auffindbaren Teams angezeigt, wenn du Teamauffindbarkeit aktivierst.
DisplayName als Standardnutzername festlegen
Miro verwendet standardmäßig die Attritute FirstName und LastName. Alternativ kannst du auch einen DisplayName anfordern. In diesem Fall verwendet Miro den DisplayName , wenn er in der SAML-Antwort des Nutzers enthalten ist.
Wenn der DisplayName nicht vorhanden ist, aber FirstName + LastName , verwendet Miro FirstName + LastName. Bitte wende dich an den Miro-Support, um DisplayName zu deinem bevorzugten SSO-Benutzernamen zu machen.
Wenn keines der drei Attribute in der SAML-Kommunikation vorhanden ist, verwendet Miro die E-Mail-Adresse der Person als Nutzername.
Einstellung | Standardnutzername |
Nutzername bei Miro | FirstName + LastName |
Alternative Einstellung | DisplayName (falls in der SAML-Anfrage der Person vorhanden) |
Alternativlösung | FirstName + LastName (wenn DisplayName nicht vorhanden ist) |
Bevorzugter SSO-Nutzername | DisplayName (wende dich an den Miro-Support) |
Keine Attribute vorhanden | E-Mail-Adresse wird als Benutzername angezeigt |
Wenn du etwas anderes siehst als erwartet, musst du dich möglicherweise über SSO authentifizieren, oder es kann sein, dass die SAML-Antwort nicht die für die Aktualisierung erforderlichen Werte enthält.
Synchronisierung des Nutzerprofilbilds vom IdP
⚠️ Im Allgemeinen wird empfohlen, diese Option zu aktivieren, wenn du SCIM nicht aktivierst oder dein IdP das Attribut ProfilePicture nicht unterstützt (beispielsweise wird ProfilePicture nicht von Azure unterstützt). In anderen Fällen empfiehlt es sich, das ProfilePicture über SCIM mit sofortigen Updates zu übermitteln.
Wenn diese Einstellung aktiviert ist:
- wird das Profilbild auf der Website des IDP als Profilbild im Miro-Profil des Nutzers angezeigt
- haben die Nutzer keine Möglichkeit, ihr Profilbild selbst zu aktualisieren oder zu entfernen
⚠️ Wie auch beim Attribut User Name, können Personen ihre Daten bei Miro nicht sofort ändern. Die Datensynchronisation erfolgt jedoch nicht zeitgleich. Der Identitätsanbieter sendet das Update erst mit der nächsten SSO-Authentifizierung der Person an Miro (die Einstellung „Fotos des Nutzerprofils von IDP synchronisieren“ muss zu diesem Zeitpunkt aktiv sein).
Wenn das Profilbild beim IDP festgelegt wurde und du möchtest, dass das Attribut in der SAML-Kommunikation weitergegeben wird, erwartet Miro das folgende Schema:
<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>
SSO mit Datenspeicherung
Wenn du die Unterstützung der Datenresidenz von Miro nutzt und eine eigene URL hast (workspacedomain.miro.com), musst du die Konfiguration deines Identitätsanbieters anpassen.
Dazu musst du deine [ORGANIZATION_ID] zur URL hinzufügen.
Du findest deine ORGANIZATION_ID in deinem Miro-Dashboard. Klicke dazu in der oberen rechten Ecke auf dein Profil und dann auf Einstellungen. Sie wird dir dann in der URL in der Adressleiste angezeigt.
Standardwert | Wert unter Ort der Datenspeicherung | |
---|---|---|
Assertion Consumer Service URL (auch bekannt als Rückruf-URL, Custom-ACS-URL, Antwort-URL): | https://miro.com/sso/saml | https://workspace-domain.miro.com/ sso/saml/ORGANIZATION_ID |
Entity-ID (Kennung, Relying Party Trust Identifier): https://miro.com/ | https://miro.com/ | https://workspace-domain.miro.com/ ORGANIZATION_ID |
Einrichten der Mehr-Faktor-Authentifizierung (2FA) für Personen, die kein SSO nutzen
Die Zwei-Faktor-Authentifizierung (2FA) bietet eine zusätzliche Sicherheitsebene. Bei der 2FA muss ein zusätzlicher Schritt während der Anmeldung durchgeführt werden, um die Identität zu bestätigen. Diese zusätzliche Maßnahme stellt sicher, dass nur berechtigte Personen auf dein Abo zugreifen können.
Erfahre mehr in unserem Admin-Leitfaden für die Zwei-Faktor-Authentifizierung.
Mögliche Probleme und wie man sie löst
Wenn einer oder alle bei der Anmeldung in Miro eine Fehlermeldung erhalten, schau dir bitte diese Liste der häufigsten Fehler und deren Behebung an.