English (US) Español Français 日本語 Português do Brasil

Beiträge in diesem Abschnitt

Single Sign-on (SSO)

Sean
  • Aktualisiert

Mit dem SAML-basierten Single Sign-on (SSO) können Personen über einen Identitätsanbieter (IdP) ihrer Wahl auf Miro zugreifen.

Verfügbar für: Enterprise-, Business-Preispläne
Einrichtung durch: Unternehmens-Admins

So funktioniert SAML SSO

  1. Wenn jemand versucht, sich über SSO bei Miro anzumelden, sendet Miro eine SAML-Anfrage (Security Assertion Markup Language) an den Identitätsanbieter (IdP)
  2. Der Identitätsanbieter validiert die Anmeldeinformationen der Person und sendet eine Antwort an Miro, um die Identität des Mitglieds zu bestätigen
  3. Miro bestätigt die Antwort und gewährt Zugriff, sodass sich das Mitglied bei seinem Miro-Konto anmelden kann

Was passiert nach der Aktivierung von SSO?

Erstmalige Aktivierung von SSO

Wenn du SSO zum ersten Mal einrichtest, können bestehende Nutzende ohne Unterbrechung in Miro weiterarbeiten. Wenn sie sich jedoch das nächste Mal abmelden, ihre Sitzung abläuft oder sie versuchen, sich von einem neuen Gerät aus anzumelden, müssen sie sich über SSO anmelden. 

Alle anderen Anmeldeoptionen werden für Personen deaktiviert, einschließlich Standardanmeldung + Passwort, Google, Facebook, Slack, AppleID und O365.

Time-out bei Inaktivität

Wenn du das Time-out bei Inaktivität aktiviert hast, werden die Personen automatisch aus ihrem Miro-Profil abgemeldet und müssen sich erneut über SSO autorisieren. 

Mehrere Teams und Organisationen

Wenn deine Nutzenden in mehrere Miro-Teams oder -Organisationen sind, kannst du es so konfigurieren, dass sie denselben Identitätsanbieter (IdP) für die Authentifizierung verwenden.

Wer muss sich mit SSO anmelden und wer nicht

Die Anmeldung über SSO ist nur für aktive Personen obligatorisch, die Teil deines Enterprise-Abos sind und für die eine Domain in deiner SSO-Konfiguration aufgeführt ist.

  • Personen, die von Domains aus auf Miro zugreifen, die nicht in deinen SSO-Einstellungen hinzugefügt wurden, müssen sich nicht mit SSO anmelden, sondern sollten sich stattdessen über die gängigen Anmeldemethoden anmelden.
  • Personen aus einer verifizierten Domain, die keine Mitglieder deines Enterprise-Abos von Miro sind, müssen sich nicht über SSO anmelden.
    ⚠️ Wenn eine Person Mitglied eines Miro-Teams außerhalb deines Enterprise-Abos ist, muss sie sich trotzdem über SSO anmelden. Sie können jedoch weiterhin auf andere Teams zugreifen. Wenn du den Zugriff auf andere Teams verhindern möchtest, empfehlen wir dir die Domain-Steuerung.

Nutzerdaten verwalten

Die Nutzerdaten werden nach erfolgreicher Anmeldung automatisch von deinem Identitätsanbieter in Miro zugewiesen. Einige Parameter wie Name und Passwort können nicht geändert werden. Andere Parameter wie Abteilungs- und Profilbilder sind optional.  

  • Die Benutzernamen bei Miro werden nach jeder erfolgreichen Authentifizierung aktualisiert. Weitere Informationen zum Einrichten von Benutzernamen bei Miro findest du in den erweiterten SSO-Einstellungen. Wenn du die E-Mail-Adresse einer Person ändern musst, kannst du dies nur über SCIM tun. Wenn du SCIM nicht verwendest, wende dich bitte an das Support-Team.

sso_domains.jpg
Domains in den SSO-Einstellungen

💡 Um eine Profilsperre zu verhindern, erstelle einen provisorischen Nutzer mit einer E-Mail-Adresse, die eine Domain hat, die nicht in den SSO-Einstellungen aufgeführt ist, wie provisorischernutzer@gmail.com. Andernfalls kannst du dich an den Support wenden, der SSO für die gesamte Organisation deaktivieren kann.

Konfiguration von SSO

Identitätsanbieter (IdP)

Verwende einen beliebigen Identitätsanbieter deiner Wahl. Dies sind die beliebtesten Identitätsanbieter:

So konfigurierst du deinen IdP

1. Gehe zum Konfigurationsbereich deines Identitätsanbieters und folge den Anweisungen des Anbieters, um Single Sign-On zu konfigurieren.

2. Füge die folgenden Metadaten hinzu. Wir empfehlen, alle optionalen Felder zu überspringen und alle Standardwerte so zu belassen, wie sie sind. 

Spezifikationen (Metadaten)

Protokoll SAML 2.0
Verbindung  HTTP Redirect für SP zu IdP
HTTP Post für IdP zu SP

Die Service-URL (von SP initiierte URL)

Auch bekannt als Launch-URL, Antwort-URL, Relying Party SSO Service URL, Ziel-URL, SSO-Anmelde-URL, Identitätsanbieter-Endpunkt usw.

 https://miro.com/sso/saml

Assertion Consumer Service URL


Auch bekannt als Erlaubte Callback-URL, Benutzerdefinierte ACS-URL, Antwort-URL

 https://miro.com/sso/saml

Entity-ID


Auch bekannt als Identifier, Relying Party Trust Identifier

 https://miro.com/
Standard-Relay-Status muss in deiner Konfiguration leer bleiben
Signierungsanforderung

Eine nicht signierte SAML-Antwort mit einer signierten Assertion


Eine signierte SAML-Antwort mit einer signierten Assertion
SubjectConfirmation Methode "urn:oasis:names:tc:SAML:2.0:cm:bearer"

Die SAML-Antwort des Identitätsanbieters muss ein x509-Zertifikat mit einem öffentlichen Schlüssel des Identitätsanbieters enthalten.

Detaillierte SAML-Beispiele ansehen. Lade die Miro SP-Metadaten-Datei (XML) herunter. 
⚠️ Verschlüsselung und Single Log-Out werden nicht unterstützt.

Zugangsdaten

Alle zusätzlichen Felder außerhalb der unten genannten sind nicht erforderlich. Wir empfehlen, alle optionalen Felder zu überspringen und alle Standardwerte so zu belassen, wie sie sind. 

Erforderliche Attribute der Zugangsdaten

NameID (entspricht der E-Mail-Adresse einer Person)

Auch bekannt als SAML_Subject, Primärschlüssel, Anmeldename, Format des Benutzernamens der Anwendung usw.

<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:email">

 

(Nicht verwechseln mit dem Attribut 'EmailAddress', das in der Regel ein separates Attribut ist)

Optionale Attribute, die mit der Assertion gesendet werden

(wird mit jeder neuen Authentifizierung über SSO aktualisiert, wird verwendet, wenn vorhanden/verfügbar)

mceclip0.png


So aktivierst du SSO in deinen Miro-Einstellungen

✏️ Durch die Aktivierung von SSO in deinen Einstellungen wird SSO nicht sofort für die Nutzenden aktiviert. Die Anmeldung via SSO steht erst zur Verfügung, nachdem deine Domains überprüft wurden. 
Business-Preisplan Enterprise-Preisplan
1. Gehe zu deinen Teameinstellungen > Sicherheit > Single Sign-on
2. SSO/SAML

Single-sign-on-toggle-Business-Plan.png
 einschalten
⚠️ Wir empfehlen dringend, mit zwei geöffneten Fenstern zu arbeiten: Teste das Anmeldeverfahren im Inkognito-Modus, während du die Einstellungen im Standardbrowser-Fenster geöffnet lässt. Auf diese Weise kannst du die SSO-Autorisierung einfach deaktivieren, falls etwas falsch konfiguriert ist. Wenn du eine Testinstanz einrichten möchtest, bevor du SSO im Produktivsystem aktivierst, wende dich bitte an das Support-Team, um Unterstützung zu erhalten. 

So aktivierst du SSO in deinen Miro-Einstellungen

Fülle folgende Felder aus, nachdem du die SSO/SAML-Funktion in den Single Sign-on-Einstellungen aktiviert hast:

  1. SAML Sign-in URL (in den meisten Fällen öffnet es die Website deines Identitätsanbieters, auf der deine Endbenutzer aufgefordert werden, ihre Zugangsdaten einzugeben)
  2. x.509-Zertifikat mit einem öffentlichen Schlüssel (von deinem Identitätsanbieter)
  3. Alle Domains und Subdomains sind erlaubt oder erforderlich (ACME.com oder ACME.dev.com), um sich über deinen SAML-Server zu authentifizieren

Miro_SSO_settings.jpg
SSO-Einstellungen bei Miro

Deine SSO-Domains verifizieren

Einrichtung durch: Unternehmens-Admins

💡 Domains, die bereits über die Domain-Steuerung verifiziert wurden, müssen nicht erneut verifiziert werden. 

Nachdem du einen Domain-Namen eingegeben hast, musst du ihn verifizieren. SSO steht den Nutzenden erst zur Verfügung, wenn die Domain in deinen SSO-Einstellungen zur Domain-Liste hinzugefügt und dann verifiziert wird. Wenn eine Domain nicht verifiziert ist, wird in deinen SSO-Einstellungen der Hinweis E-Mail-Adresse verifizieren angezeigt.

verify_email.jpg
Nicht verifizierte Domain in den SSO-Einstellungen von Miro

Bedingungen für eine erfolgreiche Domain-Verifizierung

  • Die Person, die die Verifizierung durchführt, muss ein Unternehmens-Admin sein. Wenn du ein Unternehmens-Admin bist und die Bestätigungs-E-Mail an eine Person senden möchtest, die kein Unternehmens-Admin ist, kann diese Person die Bestätigungs-E-Mail mit dem Bestätigungslink an dich weiterleiten, um den Vorgang abzuschließen.
  • Die verwendete E-Mail-Adresse muss echt sein (sie muss die Bestätigungs-E-Mail erhalten können).
  • Öffentliche Domains (z. B. @gmail.com, @outlook.com usw.) sind nicht erlaubt.
  • Die SSO-Funktion muss aktiviert sein und der Domain-Name in den SSO-Einstellungen hinzugefügt werden.

So verifizierst du deine Domains

  1. Nachdem du eine Domain hinzugefügt hast, öffnet sich ein Pop-up-Fenster, in dem du aufgefordert wirst, eine E-Mail-Adresse einzugeben, um die Domain zu verifizieren. Gib die E-Mail-Adresse unter Verwendung derselben Domain ein, die du in deinen SSO-Einstellungen hinzugefügt hast, um zu beweisen, dass du diese Domain repräsentierst
  2. Klicke auf Verifizierung senden 
  3. Du erhältst die Verifizierungs-E-Mail innerhalb von 15 Minuten
  4. Du musst auf den Verifizierungslink in der E-Mail klicken. Um diesen Schritt abzuschließen, musst du ein Unternehmens-Admin sein
  5. Klicke abschließend auf die Schaltfläche Speichern 
  6. Personen aus der verifizierten Domain können sich jetzt mit SSO anmelden

domain_confirmation_modal.jpg
Pop-up zur Verifizierung der SSO-Domain

💡 Wenn du mehrere Domains und Subdomains verwaltest (Subdomains werden als separate Namen erkannt und erfordern eine separate Verifizierung), überprüfe bitte zuerst mindestens einen Domainnamen und sende eine Anfrage an das Support-Team. Schicke uns bitte eine komplette Liste der Domains (die Namen müssen durch ein Komma getrennt werden), damit wir sie alle mit einem Klick für dich bestätigen können. Wenn du mehr als 10 Domains hast, verifiziert Miro diese für dich. Organisationen mit weniger als 10 Domains müssen diese selbst verifizieren.  Im Business-Preisplan können nur 3 Domains pro Organisation verifiziert werden.

Optionale, erweiterte SSO-Einstellungen

Der Abschnitt optionale Einstellungen kann von fortgeschrittenen Nutzenden verwendet werden, die mit der Konfiguration von SSO vertraut sind. 

Die Authentifizierung immer im IdP erzwingen (Private Beta)

Mit dieser Einstellung können Admins bei Bedarf die Sicherheit erhöhen, z. B. in öffentlichen Bereichen oder bei der Arbeit mit hochsensiblen Daten.

Wenn du diese Option aktivierst, ignoriert das System, das die IdP-SSO-Authentifizierung verwaltet, alle vorherigen Anmeldungen und veranlasst die Person, sich erneut anzumelden.

always_enforce_authentication.pngErzwingen der Authentifizierung 

Just-in-Time-Zugriff (JIT) für neue Nutzer*innen

Erleichtere es deinen Nutzenden, sofort mit Miro zu beginnen, ohne auf eine Einladung warten oder einen langwierigen Onboarding-Prozess durchlaufen zu müssen. Außerdem solltest du sicherstellen, dass keine Free-Teams außerhalb deines verwalteten Abos erstellt werden (erfordert eine Domain-Steuerung). SSO ist erforderlich, um die Just-in-Time-Bereitstellung (JIT) für neue Nutzende zu aktivieren. Allen Nutzer*innen mit JIT werden die Standardlizenz deines Abos zugewiesen:

Abo-Typ Lizenztyp Was passiert, wenn die Lizenzen ausgeschöpft sind
Business-Preisplan Volllizenz Personen werden nicht automatisch hinzugefügt; die JIT-Funktion funktioniert nicht mehr.
Enterprise-Preisplan (ohne Flexibles Lizenzprogramm) Volllizenz Personen mit einer eingeschränkten kostenlosen Lizenz
Enterprise-Preisplan (mit Flexiblen Lizenzprogramm) Kostenlose oder eingeschränkte kostenlose Lizenz Hängt von den Standardlizenzeinstellungen ab

 

So aktivierst du die Just-in-Time-Bereitstellung

Wenn du die Just-in-Time-Bereitstellung aktivierst, gilt sie automatisch für alle neuen Nutzenden, die sich bei Miro registrieren. Allerdings benötigen Personen, die Miro bereits nutzen, weiterhin eine Einladung, um deinem Preisplan beizutreten. 

  1. Gehe zu deinen SSO-Einstellungen 
  2. Aktiviere das Kontrollkästchen Alle neu registrierten Personen aus den aufgeführten Domains automatisch zu deinem Enterprise-Konto hinzufügen
  3. Wähle ein Standardteam für neu registrierte Nutzende aus dem Dropdown-Menü aus 
  4. Klicke auf Speichern

Wenn du bestimmte Domains in deinen Single Sign-On (SSO)-Einstellungen auflistest, werden alle Personen, die sich bei diesen Domains registrieren, automatisch zu deinem Enterprise-Abo hinzugefügt. Sie werden dem Team zugewiesen, das du in deinen Just-in-Time-Einstellungen (JIT) ausgewählt hast.

enable_JIT.jpg
Die Funktion JIT auf der Seite Enterprise-Integrationen aktivieren

Alle neu registrierten Personen aus den Domains, die du in den Einstellungen aufführst, werden automatisch unter deinem Enterprise-Abo zu diesem bestimmten Team hinzugefügt, wenn sie sich bei Miro anmelden.

⚠️ Dieses Team wird im Enterprise-Preisplan auch in der Liste der auffindbaren Teams angezeigt, wenn du Teamauffindbarkeit aktivierst.

DisplayName als Standardbenutzername festlegen

Miro verwendet standardmäßig die Attritute Vorname und Nachname. Alternativ kannst du auch einen Display-Namen anfordern. In diesem Fall verwendet Miro den Display-Namen, wenn er in der SAML-Antwort der Person steht. 

Wenn kein Display-Name vorliegt, aber der Vorname + Nachname, verwendet Miro den Vornamen + Nachnamen. Bitte wende dich an den Miro-Support, um den Display-Namen als deinen bevorzugten SSO-Nutzernamen zu verwenden.

Wenn keines der drei Attribute in der SAML-Kommunikation vorhanden ist, verwendet Miro die E-Mail-Adresse der*des Nutzer*in als Nutzername

Einstellung Standard-Benutzername
Benutzername bei Miro Vorname + Nachname
Alternative Einstellung Display-Name (falls in der SAML-Anfrage der Person vorhanden)
Alternativlösung Vorname + Nachname (wenn der Display-Name nicht vorhanden ist)
Bevorzugter SSO-Benutzername Display-Name (wende dich an den Miro-Support)
Keine Attribute vorhanden E-Mail-Adresse wird als Benutzername angezeigt

Wenn du etwas anderes siehst als erwartet, musst du dich möglicherweise über SSO authentifizieren, oder es kann sein, dass die SAML-Antwort nicht die für die Aktualisierung erforderlichen Werte enthält.

Synchronisierung des Benutzerprofilbilds vom IdP

⚠️ Im Allgemeinen wird empfohlen, diese Option zu aktivieren, wenn du SCIM nicht aktivierst oder dein IdP das Attribut Profilbild nicht unterstützt (beispielsweise wird ProfilePicture nicht von Azure unterstützt). In anderen Fällen empfiehlt es sich, das ProfilePicture über SCIM mit sofortigen Updates zu übermitteln.

Wenn diese Einstellung aktiviert ist:

  • wird das Profilbild auf der Website des IDP als Profilbild im Miro-Profil des*der Nutzer*in angezeigt
  • haben die Nutzer*innen keine Möglichkeit, ihr Profilbild selbst zu aktualisieren oder zu entfernen

⚠️ Wie auch bei dem Attribut Nutzernamen, können die Nutzenden ihre Daten bei Miro nicht sofort zu ändern. Die Datensynchronisation erfolgt jedoch nicht zeitgleich. Der Identitätsanbieter sendet das Update erst mit der nächsten SSO-Authentifizierung der Person an Miro (die Einstellung „Fotos des Benutzerprofils von IDP synchronisieren“ muss zu diesem Zeitpunkt aktiv sein).

Wenn das Profilbild beim IDP festgelegt wurde und du möchtest, dass das Attribut in der SAML-Kommunikation weitergegeben wird, erwartet Miro das folgende Schema:

<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>

SSO mit Datenresidenz

Wenn du die Unterstützung der Datenresidenz von Miro nutzt und eine eigene URL hast (workspacedomain.miro.com), musst du die Konfiguration deines Identitätsanbieters anpassen.

Dazu musst du deine [ORGANIZATION_ID] zur URL hinzufügen.

Du findest deine ORGANIZATION_ID in deinem Miro-Dashboard. Klicke dazu in der oberen rechten Ecke auf dein Profil und dann auf Einstellungen. Sie wird dir dann in der URL in der Adressleiste angezeigt.

  Standardwert Wert unter Datenresidenz
Assertion Consumer Service URL (auch bekannt als Rückruf-URL, Custom-ACS-URL, Antwort-URL): https://miro.com/sso/saml https://workspace-domain.miro.com/
sso/saml/ORGANIZATION_ID
Entity-ID (Kennung, Relying Party Trust Identifier): https://miro.com/ https://miro.com/ https://workspace-domain.miro.com/
ORGANIZATION_ID

Einrichten der Mehr-Faktor-Authentifizierung (2FA) für Personen, die kein SSO nutzen

Die Zwei-Faktor-Authentifizierung (2FA) bietet eine zusätzliche Sicherheitsebene. Bei der 2FA müssen die Nutzenden einen zusätzlichen Schritt während der Anmeldung durchführen, um ihre Identität zu verifizieren. Durch diese zusätzliche Maßnahme wird sichergestellt, dass nur autorisierte Personen auf dein Abo zugreifen können.
Weitere Informationen findest du in unserem Admin-Leitfaden zur Zwei-Faktor-Authentifizierung.

Mögliche Issues und wie man sie löst

Meine Domainadressen werden in den SSO-Einstellungen nicht akzeptiert. Die Meldung lautet: „Domainname wird bereits verwendet“.
Aus Sicherheitsgründen müssen alle Domains eines Unternehmens unter dem gleichen Enterprise-Schirm (Enterprise-Abo) angesiedelt sein. Möglicherweise werden deine Domains bereits in einem anderen Business-Preisplan oder einem Enterprise-Preisplan verwendet. Dadurch wird verhindert, dass du das SSO für die gewünschte Domain aktivieren kannst. Bitte kläre das vorab mit deinen Kollegen.
Ich habe auf den Link der E-Mail zur Domainverifizierung geklickt. Die Überprüfung wird aber nicht durchgeführt.
Über diesen Link sollst du zu der Seite Enterprise-Integrationen weitergeleitet werden. Wenn du nicht zu dieser Seite geleitet wirst, überprüfe bitte, ob du eine Anti-Phishing-Software verwendest, die die Weiterleitung verhindert. Außerdem musst du ein Unternehmens-Admin von Miro sein, wenn du auf den Link klickst. Nur Unternehmens-Admins können auf die Einstellungsseiten zugreifen. 
Wir müssen die E-Mail-Adressen unserer Endnutzer*innen ändern. / Wir haben die E-Mail-Adressen unserer Nutzer*innen geändert. Jetzt können sie nicht mehr auf ihre Boards zugreifen.
Bitte wende dich an unser Support-Team, wenn dein Unternehmen seinen Domainnamen ändert und daher die SSO-Anmeldedaten der E-Mail-Adressen der Nutzenden angepasst werden müssen.
Wir würden für das SSO-Verfahren gern ein separates Gateway (z. B. MFA, wie Duo Dag) verwenden.
Das könnt ihr selbstverständlich tun. Miro unterstützt die von euch bevorzugte Lösung. Sie muss jedoch unter SAML 2.0 funktionieren.
Wir haben SSO aktiviert. Die Daten der Miro-Nutzerprofile (Namen, Profilbilder – falls von eurem IdP unterstützt) werden aber nicht mit denen im IdP synchronisiert.
Der Miro-Nutzername und das Miro-Profilbild werden nach jeder erfolgreichen Nutzerauthentifizierung aktualisiert, wenn die SAML-Antwort neue, nicht-leere Werte enthält. Weitere Informationen zum Einrichten von Benutzernamen bei Miro findest du in den erweiterten, optionalen SSO-Einstellungen.

Wenn einer oder alle deine Nutzenden bei der Anmeldung in Miro eine Fehlermeldung erhalten, schau dir bitte diese Liste der häufigsten Fehler und deren Behebung an.

War dieser Artikel hilfreich?
Ja, danke Nicht wirklich
Das tut mir leid! Warum war der Artikel nicht hilfreich?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Zurück an den Anfang

Verwandte Beiträge