English (US) Español Français 日本語 Português do Brasil

Beiträge in diesem Abschnitt

Single Sign-on (SSO)

Sean
  • Aktualisiert

Mit dem SAML-basierten Single Sign-on (SSO) können Personen über einen Identitätsanbieter (IdP) ihrer Wahl auf Miro zugreifen.

Verfügbar für: Enterprise-, Business-Preispläne
Einrichtung durch: Unternehmens-Admins

So funktioniert SAML SSO

  1. Wenn jemand versucht, sich über SSO bei Miro anzumelden, sendet Miro eine SAML-Anfrage (Security Assertion Markup Language) an den Identitätsanbieter (IdP)
  2. Der Identitätsanbieter validiert die Anmeldeinformationen der Person und sendet eine Antwort an Miro, um die Identität des Mitglieds zu bestätigen
  3. Miro bestätigt die Antwort und gewährt Zugriff, sodass sich das Mitglied bei seinem Miro-Konto anmelden kann

Was passiert nach der Aktivierung von SSO?

Erstmalige Aktivierung von SSO

Wenn du SSO zum ersten Mal einrichtest, können alle, die derzeit angemeldet sind, ohne Unterbrechung in Miro weiterarbeiten. Wenn sie sich jedoch das nächste Mal abmelden, ihre Sitzung abläuft oder sie versuchen, sich von einem neuen Gerät aus anzumelden, müssen sie sich über SSO anmelden. 

Alle anderen Anmeldeoptionen werden deaktiviert, einschließlich Standardanmeldung + Passwort, Google, Facebook, Slack, AppleID und O365.

Time-out bei Inaktivität

Wenn du Time-out bei Inaktivität aktiviert hast, werden die Personen automatisch aus ihrem Miro-Profil abgemeldet und müssen sich erneut über SSO autorisieren. 

Mehrere Teams und Organisationen

Wenn deine Nutzenden in mehrere Miro-Teams oder -Organisationen sind, kannst du es so konfigurieren, dass sie denselben Identitätsanbieter (IdP) für die Authentifizierung verwenden.

Wer muss sich mit SSO anmelden und wer nicht

Die Anmeldung über SSO ist nur für aktive Personen obligatorisch, die Teil deines Enterprise-Abos sind und für die eine Domain in deiner SSO-Konfiguration aufgeführt ist.

  • Personen, die von Domains aus auf Miro zugreifen, die nicht in deinen SSO-Einstellungen hinzugefügt wurden, müssen sich nicht mit SSO anmelden, sondern sollten sich stattdessen über die gängigen Anmeldemethoden anmelden.
  • Personen aus einer verifizierten Domain, die keine Mitglieder deines Enterprise-Abos sind, müssen sich nicht über SSO anmelden.
    ⚠️ Wenn jemand Mitglied eines Miro-Teams außerhalb deines Enterprise-Abos ist, muss er sich trotzdem über SSO anmelden. Sie können jedoch weiterhin auf andere Teams zugreifen. Wenn du den Zugriff auf andere Teams verhindern möchtest, empfehlen wir dir die Domainsteuerung.

Nutzerdaten verwalten

Die Nutzerdaten werden nach erfolgreicher Anmeldung automatisch von deinem Identitätsanbieter in Miro zugewiesen. Einige Parameter wie der Name und das Passwort können nicht geändert werden. Andere Parameter wie Abteilungs- und Profilbilder sind optional.  

  • Die Nutzernamen bei Miro werden nach jeder erfolgreichen Authentifizierung aktualisiert. Weitere Informationen zum Einrichten von Nutzernamen bei Miro findest du in den erweiterten SSO-Einstellungen. Wenn du die E-Mail-Adresse einer Person ändern musst, kannst du dies nur über SCIM tun. Wenn du SCIM nicht verwendest, wende dich bitte an das Support-Team.

Allowed-Email-Domains-Image1.pngDomains in den SSO-Einstellungen

💡 Um eine Profilsperre zu verhindern, erstelle ein provisorisches Nutzerkonto mit einer E-Mail-Adresse, die eine Domain hat, die nicht in den SSO-Einstellungen aufgeführt ist, wie provisorischernutzer@gmail.com. Andernfalls kannst du dich an den Support wenden, der SSO für die gesamte Organisation deaktivieren kann.

Konfiguration von SSO

Identitätsanbieter (IdP)

Verwende einen Identitätsanbieter deiner Wahl. Dies sind die beliebtesten Identitätsanbieter:

So konfigurierst du deinen IdP

1. Gehe zum Konfigurationsbereich deines Identitätsanbieters und folge den Anweisungen des Anbieters, um Single Sign-On zu konfigurieren.

2. Füge die folgenden Metadaten hinzu. Wir empfehlen, alle optionalen Felder zu überspringen und alle Standardwerte so zu belassen, wie sie sind. 

Spezifikationen (Metadaten)

Protokoll SAML 2.0
Binding  HTTP Redirect für SP zu IdP
HTTP Post für IdP zu SP

Die Service-URL (von SP initiierte URL)

Auch bekannt als Launch-URL, Antwort-URL, Relying Party SSO Service URL, Ziel-URL, SSO-Anmelde-URL, Identitätsanbieter-Endpunkt usw.

 https://miro.com/sso/saml

Assertion Consumer Service URL


Auch bekannt als Erlaubte Callback-URL, Benutzerdefinierte ACS-URL, Antwort-URL

 https://miro.com/sso/saml

Entity-ID


Auch bekannt als Identifier, Relying Party Trust Identifier

 https://miro.com/
Standard-Relay-Status muss in deiner Konfiguration leer bleiben
Signierungsanforderung

Eine nicht signierte SAML-Antwort mit einer signierten Aussage


Eine signierte SAML-Antwort mit einer signierten Aussage
SubjectConfirmation Methode "urn:oasis:names:tc:SAML:2.0:cm:bearer"

Die SAML-Antwort des Identitätsanbieters muss ein x509-Zertifikat mit einem öffentlichen Schlüssel des Identitätsanbieters enthalten.

Detaillierte SAML-Beispiele ansehen. Die Miro SP-Metadaten-Datei (XML) herunterladen. 
⚠️ Verschlüsselung und Single Log-Out werden nicht unterstützt.

Zugangsdaten

Alle zusätzlichen Felder außerhalb der unten genannten sind nicht erforderlich. Wir empfehlen, alle optionalen Felder zu überspringen und alle Standardwerte so zu belassen, wie sie sind. 

Erforderliche Attribute der Zugangsdaten

NameID (entspricht der E-Mail-Adresse einer Person)

Auch bekannt als SAML_Subject, Primärschlüssel, Anmeldename, Format des Nutzernamens der Anwendung usw.

<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:email">

 

(Nicht verwechseln mit dem Attribut 'EmailAddress', das in der Regel ein separates Attribut ist)

Optionale Attribute, die mit der Assertion gesendet werden

(wird mit jeder neuen Authentifizierung über SSO aktualisiert, wird verwendet, wenn vorhanden/verfügbar)
  • „DisplayName“ oder „http://schemas.xmlsoap.org/ws/2005/05/identity/claim/displayname“ (wird als bevorzugter Name verwendet)

mceclip0.png

  • „FirstName“ oder „http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname“;
  • „LastName“ oder „http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname“;
  • „ProfilePicture“ – Die verschlüsselte URL des Bildes


So aktivierst du SSO in deinen Miro-Einstellungen

✏️ Durch die Aktivierung von SSO in deinen Einstellungen wird SSO nicht sofort für die Personen aktiviert. Die Anmeldung via SSO steht erst zur Verfügung, nachdem deine Domains überprüft wurden. 
Business-Preisplan Enterprise-Preisplan
1. Geh in den Einstellungen deines Unternehmens auf Sicherheit > Single Sign-on
2. Aktiviere SSO/SAML

Single-sign-on-settings-Business-Preisplan.png
⚠️ Wir empfehlen dringend, mit zwei geöffneten Fenstern zu arbeiten: Teste das Anmeldeverfahren im Inkognito-Modus, während du die Einstellungen im Standardbrowser-Fenster geöffnet lässt. Auf diese Weise kannst du die SSO-Autorisierung einfach deaktivieren, falls etwas falsch konfiguriert ist. Wenn du eine Testinstanz einrichten möchtest, bevor du SSO im Produktivsystem aktivierst, wende dich bitte an das Support-Team, um Unterstützung zu erhalten. 

So aktivierst du SSO in deinen Miro-Einstellungen

Fülle folgende Felder aus, nachdem du die SSO/SAML-Funktion in den Single Sign-on-Einstellungen aktiviert hast:

  1. SAML Sign-in URL (in den meisten Fällen öffnet es die Website deines Identitätsanbieters, auf der die Nutzenden aufgefordert werden, ihre Zugangsdaten einzugeben)
  2. x.509-Zertifikat mit einem öffentlichen Schlüssel (von deinem Identitätsanbieter)
  3. Alle Domains und Subdomains sind erlaubt oder erforderlich (ACME.com oder ACME.dev.com), um sich über deinen SAML-Server zu authentifizieren

sso_auth_settings.pngSSO-Einstellungen bei Miro

So verlängerst du dein SSO-/SAML-Zertifikat

Auch wenn dein x.509-Zertifikat mit einem öffentlichen Schlüssel abgelaufen ist, funktioniert das SSO weiterhin. Wir empfehlen jedoch dringend, es zu verlängern, damit du Miro weiterhin sicher verwenden kannst. x.509-Zertifikate mit öffentlichem Schlüssel gewährleisten die Sicherheit, den Datenschutz, die Authentifizierung und die Integrität der Daten, die zwischen deinem Identitätsanbieter und Miro ausgetauscht werden.

Diese Zertifikate sind nur für einen bestimmten Zeitraum gültig, der von deinem Identitätsanbieter definiert (und verifiziert) werden kann. Bitte erfrage das Ablaufdatum bei deinem Identitätsanbieter.

Dieser Vorgang erfolgt in zwei Schritten:

  1. Verlängere das Zertifikat bei deinem Identitätsanbieter. Bitte lies in dessen Anweisungen nach, wie dabei vorzugehen ist.
  2. Füge das verlängerte Zertifikat zu deiner SSO-Konfiguration bei Miro hinzu.

Verlängerte Zertifikate zu Miro hinzufügen

⚠️ Wir empfehlen, das x.509-Zertifikat zu einem Zeitpunkt auszutauschen, an dem dein Unternehmen nicht so stark ausgelastet ist (z. B. am Wochenende oder nach den Geschäftszeiten). So vermeidest du, dass es bei der Anmeldung zu Unterbrechungen kommt.
  1. Gehe in deinen Unternehmenseinstellungen auf Authentifizierung und dann auf Single Sign-on
  2. Lösche den Inhalt in dem Feld Schlüssel für das x.509-Zertifikat
  3. Füge den neuen Schlüssel in dieses Feld ein
  4. Srolle runter und klicke auf Speichern
    sso_renew_x509_cert.gifEin x.509-Zertifikat in Miro verlängern

Deine SSO-Domains verifizieren

Einrichtung durch: Unternehmens-Admins

💡 Domains, die bereits über die Domainsteuerung verifiziert wurden, müssen nicht erneut verifiziert werden. 

Wenn du einen Domainnamen eingegeben hast, musst du ihn noch verifizieren. Solange die Domain in den SSO-Einstellungen nicht zur Domain-Liste hinzugefügt und noch nicht verifiziert wurde, steht SSO nicht zur Verfügung. Wenn eine Domain nicht verifiziert ist, wird in deinen SSO-Einstellungen der Hinweis E-MAIL-ADRESSE VERIFIZIEREN angezeigt.

sso_verify_email.pngNicht verifizierte Domain in den SSO-Einstellungen von Miro

Bedingungen für eine erfolgreiche Domain-Verifizierung

  • Die Person, die die Verifizierung durchführt, muss Unternehmens-Admin sein. Wenn du Unternehmens-Admin bist und die Bestätigungs-E-Mail an eine Person senden möchtest, die kein Unternehmens-Admin ist, kann diese Person die Bestätigungs-E-Mail mit dem Bestätigungslink an dich weiterleiten, um den Vorgang abzuschließen.
  • Die verwendete E-Mail-Adresse muss existent sein (sie muss die Bestätigungs-E-Mail erhalten können).
  • Öffentliche Domains (z. B. @gmail.com, @outlook.com usw.) sind nicht erlaubt.
  • Die SSO-Funktion muss aktiviert sein und der Domainname in den SSO-Einstellungen hinzugefügt werden.

So verifizierst du deine Domains

  1. Nachdem du eine Domain hinzugefügt hast, öffnet sich ein Pop-up-Fenster, in dem du aufgefordert wirst, eine E-Mail-Adresse einzugeben, um die Domain zu verifizieren. Gib die E-Mail-Adresse unter Verwendung derselben Domain ein, die du in deinen SSO-Einstellungen hinzugefügt hast, um zu beweisen, dass du diese Domain repräsentierst
  2. Klicke auf Verifizierung senden 
  3. Du erhältst die Verifizierungs-E-Mail innerhalb von 15 Minuten
  4. Du musst auf den Verifizierungslink in der E-Mail klicken. Um diesen Schritt abzuschließen, musst du Unternehmens-Admin sein
  5. Klicke abschließend auf Speichern 
  6. Jetzt können sich alle aus der verifizierten Domain mit SSO anmelden

domain_confirmation_modal.jpg
Pop-up zur Verifizierung der SSO-Domain

💡 Wenn du mehrere Domains und Subdomains verwaltest (Subdomains werden als separate Namen erkannt und erfordern eine separate Verifizierung), überprüfe bitte zuerst mindestens einen Domainnamen und sende eine Anfrage an das Support-Team. Schicke uns bitte eine komplette Liste der Domains (die Namen müssen durch ein Komma getrennt werden), damit wir sie alle mit einem Klick für dich bestätigen können. Wenn du mehr als 10 Domains hast, verifiziert Miro diese für dich. Organisationen mit weniger als 10 Domains müssen diese selbst verifizieren.  Im Business-Preisplan können nur 3 Domains pro Organisation verifiziert werden.

Optionale, erweiterte SSO-Einstellungen

Der Abschnitt „optionale Einstellungen“ kann von fortgeschrittenen Nutzenden verwendet werden, die mit der Konfiguration von SSO vertraut sind.  

Just-in-Time-Zugriff (JIT) für neue Personen

Erleichtere es deinen Teammitgliedern, sofort mit Miro zu beginnen, ohne auf eine Einladung warten oder einen langwierigen Onboarding-Prozess durchlaufen zu müssen. Außerdem solltest du sicherstellen, dass keine Free-Teams außerhalb deines verwalteten Abos erstellt werden (erfordert eine Domainsteuerung). SSO ist erforderlich, um die Just-in-Time-Bereitstellung (JIT) für neue Personen zu aktivieren. Allen Personen mit JIT werden die Standardlizenz deines Abos zugewiesen:

Abo-Typ Lizenztyp Was passiert, wenn die Lizenzen ausgeschöpft sind
Business-Preisplan Volllizenz Es werden keine Personen automatisch hinzugefügt; die JIT-Funktion funktioniert nicht mehr.
Enterprise-Preisplan (ohne Flexibles Lizenzprogramm) Volllizenz Personen mit einer eingeschränkten kostenlosen Lizenz
Enterprise-Preisplan (mit Flexiblen Lizenzprogramm) Kostenlose oder eingeschränkte kostenlose Lizenz Hängt von den Standardlizenzeinstellungen ab

 

So aktivierst du die Just-in-Time-Bereitstellung

Wenn du die Just-in-Time-Bereitstellung aktivierst, gilt sie automatisch für alle, die sich neu bei Miro registrieren. Allerdings benötigen diejenigen, die Miro bereits nutzen, weiterhin eine Einladung, um deinem Preisplan beizutreten. 

  1. Gehe zu deinen SSO-Einstellungen 
  2. Aktiviere das Kontrollkästchen Alle neu registrierten Personen aus den aufgeführten Domains automatisch zu deinem Enterprise-Konto hinzufügen
  3. Wähle ein Standardteam für neu registrierte Nutzende aus dem Dropdown-Menü aus 
  4. Klicke auf Speichern

Wenn du bestimmte Domains in deinen Single Sign-On (SSO)-Einstellungen auflistest, werden alle, die sich mit diesen Domains registrieren, automatisch zu deinem Enterprise-Abo hinzugefügt. Sie werden dem Team zugewiesen, das du in deinen Just-in-Time-Einstellungen (JIT) ausgewählt hast.

Copy of user_provisioning_jit_provisioning.pngDie Funktion JIT auf der Seite Enterprise-Integrationen aktivieren

Alle neu registrierten Personen aus den Domains, die du in den Einstellungen aufführst, werden automatisch unter deinem Enterprise-Abo zu diesem bestimmten Team hinzugefügt, wenn sie sich bei Miro anmelden.

⚠️ Dieses Team wird im Enterprise-Preisplan auch in der Liste der auffindbaren Teams angezeigt, wenn du Teamauffindbarkeit aktivierst.

DisplayName als Standardnutzername festlegen

Miro verwendet standardmäßig die Attritute FirstName und LastName. Alternativ kannst du auch einen DisplayName anfordern. In diesem Fall verwendet Miro den DisplayName, wenn er in der SAML-Antwort der Person steht. 

Wenn kein DisplayName vorliegt, aber der FirstName + LastName, verwendet Miro den FirstName + LastName. Bitte wende dich an den Miro-Support, um DisplayName als deinen bevorzugten SSO-Nutzernamen zu verwenden.

Wenn keines der drei Attribute in der SAML-Kommunikation vorhanden ist, verwendet Miro die E-Mail-Adresse der*des Nutzer*in als Nutzername

Einstellung Standardnutzername
Nutzername bei Miro FirstName + LastName
Alternative Einstellung DisplayName (falls in der SAML-Anfrage der Person vorhanden)
Alternativlösung FirstName + LastName (wenn DisplayName nicht vorhanden ist)
Bevorzugter SSO-Nutzername DisplayName (wende dich an den Miro-Support)
Keine Attribute vorhanden E-Mail-Adresse wird als Benutzername angezeigt

Wenn du etwas anderes siehst als erwartet, musst du dich möglicherweise über SSO authentifizieren, oder es kann sein, dass die SAML-Antwort nicht die für die Aktualisierung erforderlichen Werte enthält.

Synchronisierung des Benutzerprofilbilds vom IdP

⚠️ Im Allgemeinen wird empfohlen, diese Option zu aktivieren, wenn du SCIM nicht aktivierst oder dein IdP das Attribut ProfilePicture nicht unterstützt (beispielsweise wird ProfilePicture nicht von Azure unterstützt). In anderen Fällen empfiehlt es sich, das ProfilePicture über SCIM mit sofortigen Updates zu übermitteln.

Wenn diese Einstellung aktiviert ist:

  • wird das Profilbild auf der Website des IDP als Profilbild im Miro-Profil der Person angezeigt
  • können die Personen ihr Profilbild nicht selbst aktualisieren oder entfernen

⚠️ Wie auch bei dem Attribut Nutzernamen, können die Nutzenden ihre Daten bei Miro nicht sofort zu ändern. Die Datensynchronisation erfolgt jedoch nicht zeitgleich. Der Identitätsanbieter sendet das Update erst mit der nächsten SSO-Authentifizierung der Person an Miro (die Einstellung „Fotos des Nutzerprofils von IDP synchronisieren“ muss zu diesem Zeitpunkt aktiv sein).

Wenn das Profilbild beim IDP festgelegt wurde und du möchtest, dass das Attribut in der SAML-Kommunikation weitergegeben wird, erwartet Miro das folgende Schema:

<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>

SSO mit Datenspeicherung

Wenn du die Unterstützung der Datenresidenz von Miro nutzt und eine eigene URL hast (workspacedomain.miro.com), musst du die Konfiguration deines Identitätsanbieters anpassen.

Dazu musst du deine [ORGANIZATION_ID] zur URL hinzufügen.

Du findest deine ORGANIZATION_ID in deinem Miro-Dashboard. Klicke dazu in der oberen rechten Ecke auf dein Profil und dann auf Einstellungen. Sie wird dir dann in der URL in der Adressleiste angezeigt.

  Standardwert Wert in der Datenspeicherung
Assertion Consumer Service URL (auch bekannt als Rückruf-URL, Custom-ACS-URL, Antwort-URL): https://miro.com/sso/saml https://workspace-domain.miro.com/
sso/saml/ORGANIZATION_ID
Entity-ID (Kennung, Relying Party Trust Identifier): https://miro.com/ https://miro.com/ https://workspace-domain.miro.com/
ORGANIZATION_ID

Einrichten der Mehr-Faktor-Authentifizierung (2FA) für Personen, die kein SSO nutzen

Die Zwei-Faktor-Authentifizierung (2FA) bietet eine zusätzliche Sicherheitsebene. Bei der 2FA muss ein zusätzlicher Schritt während der Anmeldung durchgeführt werden, um die Identität zu verifizieren. Durch diese zusätzliche Maßnahme wird sichergestellt, dass nur autorisierte Personen auf dein Abo zugreifen können.
Weitere Informationen findest du in unserem Admin-Leitfaden zur Zwei-Faktor-Authentifizierung.

Mögliche Issues und wie man sie löst

Meine Domainadressen werden in den SSO-Einstellungen nicht akzeptiert. Die Meldung lautet: „Domainname wird bereits verwendet“.
Aus Sicherheitsgründen müssen alle Domains eines Unternehmens unter dem gleichen Enterprise-Schirm (Enterprise-Abo) angesiedelt sein. Möglicherweise werden deine Domains bereits in einem anderen Business-Preisplan oder einem Enterprise-Preisplan verwendet. Dadurch wird verhindert, dass du das SSO für die gewünschte Domain aktivieren kannst. Bitte kläre das vorab mit deinen Kollegen und Kolleginnen.
Ich habe auf den Link der E-Mail zur Domainverifizierung geklickt. Die Überprüfung wird aber nicht durchgeführt.
Über diesen Link sollst du zu der Seite Enterprise-Integrationen weitergeleitet werden. Wenn du nicht zu dieser Seite geleitet wirst, überprüfe bitte, ob du eine Anti-Phishing-Software verwendest, die die Weiterleitung verhindert. Außerdem musst du Unternehmens-Admin von Miro sein, wenn du auf den Link klickst. Nur Unternehmens-Admins können auf die Einstellungsseiten zugreifen. 
Wir müssen die E-Mail-Adressen unserer Nutzenden ändern. / Wir haben die E-Mail-Adressen unserer Nutzenden geändert. Jetzt können sie nicht mehr auf ihre Boards zugreifen.
Bitte wende dich an unser Support-Team, wenn dein Unternehmen seinen Domainnamen ändert und daher die SSO-Anmeldedaten der E-Mail-Adressen der Nutzenden angepasst werden müssen.
Wir würden für das SSO-Verfahren gern ein separates Gateway (z. B. MFA, wie Duo Dag) verwenden.
Das könnt ihr selbstverständlich tun. Miro unterstützt die von euch bevorzugte Lösung. Sie muss jedoch unter SAML 2.0 funktionieren.
Wir haben SSO aktiviert. Die Daten der Miro-Nutzerprofile (Namen, Profilbilder – falls von eurem IdP unterstützt) werden aber nicht mit denen im IdP synchronisiert.
Der Nutzername und das Profilbild werden bei Miro nach jeder erfolgreichen Nutzerauthentifizierung aktualisiert, wenn die SAML-Antwort neue, nicht-leere Werte enthält. Weitere Informationen zum Einrichten von Benutzernamen bei Miro findest du in den erweiterten, optionalen SSO-Einstellungen.

Wenn einer oder alle deine Nutzenden bei der Anmeldung in Miro eine Fehlermeldung erhalten, schau dir bitte diese Liste der häufigsten Fehler und deren Behebung an.

War dieser Artikel hilfreich?
Ja, danke Nicht wirklich
Das tut mir leid! Warum war der Artikel nicht hilfreich?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Zurück an den Anfang

Verwandte Beiträge