Single Sign-on (SSO)

Die SAML-basierte Funktion Single Sign-on (oder SSO) bei Miro bietet deinen Endnutzer*innen Zugang zu der Miro-Anwendung durch einen Identitätsanbieter (IdP) deiner Wahl. Miro unterstützt auch SCIM mit dem Identitätsanbieter deiner Wahl (SP- und IDP-initiiertes Anmelden). 

Verfügbar für: Enterprise-, Business-Preispläne
Einrichtung durch: Firmen-Administrator*innen

Regeln

Sobald SSO für den Preisplan aktiviert wurde, gelten die folgenden Regeln für die Endnutzer*innen:

1. Das SSO-Verfahren wird auf die Unternehmensdomains angewendet, die du zu den SSO-Einstellungen hinzufügst. Die Endnutzer*innen deines Preisplans (Mitglieder, Gäste) mit einer Unternehmensdomains müssen sich über die SSO-Option mit den Zugangsdaten ihres Identitätsanbieters bei Miro anmelden.
   
   Domains in den SSO-Einstellungen
   Andere Autorisierungsoptionen (Standard-Login + Passwort, Google, Facebook, Slack und O365-Schaltflächen) sind für sie deaktiviert. 
   Das bedeutet auch, dass du die gleiche Identitätsanbieterkonfiguration mit mehreren Miro-Abos verwenden kannst, solange die verschiedenen Abos verschiedene Domains beanspruchen. Du kannst jedoch nur ein einziges Enterprise-Abo von Miro über SCIM bereitstellen (da jede Enterprise-Instanz ein eindeutiges Token hat, deine SCIM-Konfiguration jedoch nur eines davon akzeptiert)
   

   ✏️ Endnutzer*innen mit anderen Domains müssen kein SSO verwenden und sollten sich stattdessen mit den Standardmethoden anmelden. Dieses Szenario existiert für Gäste, unabhängige Auftragnehmer usw., die nur auf bestimmte Boards des Unternehmens zugreifen können und möglicherweise keine Profile bei deinem Identitätsanbieter haben. 

2. Auch wenn ein*e Endnutzer*in Mitglied eines Teams ist, dass nicht zu deinem Preisplans gehört, muss er oder sie sich trotzdem über SSO anmelden, sobald die Funktion aktiviert ist. Jedoch können sie weiterhin auf andere Teams zugreifen. Wenn du deine Endnutzer*innen daran hindern möchtest, sieh dir die Funktion Domain-Steuerung an. 
3. Den Endnutzer*innen ist es nicht gestattet, ihr Passwort, Vornamen oder den Nachnamen in Miro zu ändern (Profilbilder können ebenfalls in die Liste aufgenommen werden). Die Daten werden stattdessen automatisch von deinem Identitätsanbieter nach erfolgreicher Anmeldung zugewiesen.
   
   Der Nutzername bei Miro wird nach jeder erfolgreichen Nutzerauthentifizierung aktualisiert, wenn die SAML-Antwort neue nicht-leere Werte enthält. Weitere Informationen zum Einrichten von Nutzernamen bei Miro findest du in den Optionalen Einstellungen unten.
   

   ✏️ Wenn du die E-Mail-Adressen deiner Endnutzer*innen ändern musst, kannst du das nur über SCIM tun.

   Wenn du kein SCIM verwendest, musst du folgende Schritte durchführen: Die Änderung der E-Mail-Adresse muss zuerst bei Miro vorgenommen werden (bitte kontaktiere das Support-Team für Hilfe) und danach beim Identitätsanbieter, bevor der*die Endnutzer*in seine neuen Zugangsdaten verwenden kann, um sich bei Miro anzumelden. Unser System erkennt den*die Nutzer*in anhand seiner*ihrer E-Mail-Adresse. Wenn das System vor dem nächsten Login nicht über die Änderung informiert wird, wird die Person als neue*r Nutzer*in erkannt und erhält ein neues Profil, anstatt in seinem*ihrem bestehenden Profil angemeldet zu werden.
4. Alle Nutzer*innen, die sich bei der Desktop-, Tablet- oder Mobile-App von Miro über SSO anmelden möchten, werden automatisch zu einem Webbrowser weitergeleitet, um das SSO des Unternehmens zu nutzen. Sobald das SSO im Browser erfolgreich war, werden die Nutzer*innen automatisch zu den ursprünglichen Apps zurückgeleitet, um Miro weiterzuverwenden.
5. Nutzer*innen aus deinen Domains, die kein Mitglied deines Preisplans sind, müssen sich nicht über SSO in deinem Preisplan anmelden. 

Konfiguration von SSO

Konfiguriere deinen Identitätsanbieter

Du kannst einen Identitätsanbieter deiner Wahl verwenden. Die Anleitungen für die gängigsten Identitätsplattform-Lösungen findest du im Folgenden:

• OKTA 
• Azure AD von Microsoft
• OneLogin
• ADFS von Microsoft
• Auth0
• Google SSO

Hier findest du auch einen Artikel über die Einrichtung von Jumpcloud SSO (und SCIM). 

Gehe zuerst in das Konfigurationsfeld deines Identitätsanbieters und folge den Anweisungen des Anbieters, um Single Sign-On zu konfigurieren.

Füge dann folgende Daten hinzu (je nach Identitätsanbieter gibt es mehr oder weniger Felder zum Ausfüllen. Wir empfehlen, optionale Felder zu überspringen oder alles auf Standardwerte festzulegen).

Spezifikationen der Konfiguration (Metadaten)

• Protokoll: SAML 2.0
• Binding:
       HTTP Redirect für SP zu IdP
       HTTP Post für IdP zu SP.
• Die Service-URL (SP-initiierte URL) (auch bekannt als Launch-URL, Reply-URL, Relying-Party-SSO-Service-URL, Target-URL, SSO-Login-URL, Identitätsanbieter-Endpunkt usw.): https://miro.com/sso/saml
• Assertion Consumer Service-URL (Erlaubte Rückruf-URL): https://miro.com/sso/saml
• Identifier (Entity-ID, Relying-Party-Trust-Identifier): https://miro.com/
  
• Default Relay State – muss in deiner Konfiguration leer gelassen werden
• Signierungsanforderung: 
      Eine nicht signierte SAML-Antwort mit einer signierten Assertion
      Eine signierte SAML-Antwort mit einer signierten Assertion
• SubjectConfirmation-Methode: „urn:oasis:names:tc:SAML:2.0:cm:bearer“

Die SAML-Antwort des Identitätsanbieters muss ein X. 509-Zertifikat des Identitätsanbieters enthalten.

Detaillierte Beispiele findest du hier. 

⚠️ Verschlüsselung und Single Log-Out werden nicht unterstützt. 

Zugangsdaten (Anspruchstypen)

• Erforderliches Attribut (auch bekannt als SAML_Subject, Primary Key, SAML_Subject, Application usw.) – NameID: entspricht der E-Mail-Adresse einer*eines Nutzer*in (bitte verwechsle es nicht mit der EmailAddress, die normalerweise ein separates Attribut ist) – <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:email">

• Optionale Attribute, die mit der Assertion zu senden sind (werden bei jeder neuen Authentifizierung über SSO aktualisiert, wenn vorhanden): 

  • „DisplayName“ oder „http://schemas.xmlsoap.org/ws/2005/05/identity/Claims/displayname“ (wird bevorzugt verwendet);
  • „FirstName“ oder „http://schemas.xmlsoap.org/ws/2005/05/identity/Claims/givenname“;
  • „LastName“ oder „http://schemas.xmlsoap.org/ws/2005/05/identity/Claims/surname“;
  • „ProfilePicture“ – Die verschlüsselte URL des Bildes.

Auch hier kann alles andere auf Standard gesetzt oder unspezifiziert gelassen werden.

Die SP-Metadaten-Datei von Miro (XML) kann hier heruntergeladen werden. 

Das detaillierte SSO- und SCIM-Schema findest du hier. 

SSO in Miro aktivieren

Es wird dringend empfohlen, das Anmeldeverfahren im Inkognito-Modus deines Browsers zu testen. Auf diese Weise bleibt die Sitzung im Standardfenster und du kannst die SSO-Autorisierung deaktivieren, falls etwas nicht richtig konfiguiert ist. Wenn du eine Testinstanz einrichten möchtest, bevor du SSO für das Produktivsystem aktivierst, fordere dies bitte bei deiner Kundenberatung an oder kontaktiere das Support- Team für Hilfe. Es werden nur diejenigen zu dieser Testinstanz hinzugefügt, die SSO konfigurieren.

⚠️ Business-Preisplan-Admins können die SSO-Einstellungen in der Registrierkarte Teameinstellungen > Sicherheit finden. Um SSO in einem Enterprise-Preisplan zu aktivieren, gehe zu Unternehmenseinstellungen > Enterprise-Integrationen.

Spezifiziere die folgenden Werte:

1. SAML Sign-in URL (in den meisten Fällen öffnet es die Website deines Identitätsanbieters, auf der deine Endnutzer*innen aufgefordert werden, ihre Zugangsdaten einzugeben)
2. X. 509-Zertifikat (von deinem Identitätsanbieter)
3. Die Liste der erlaubten/für die Authentifizierung über deinen SAML-Server erforderlichen Domains.

SSO-Einstellungen bei Miro

Verifiziere deine SSO-Domains

Einrichtung durch: Firmen-Administrator*innen

Nachdem du einen Domainnamen eingegeben hast, musst du diesen verifizieren. Gib die E-Mail-Adresse von der hinzugefügten Domain ein, um zu beweisen, dass du diese repräsentierst und das System wird eine Verifizierungsmail an die angegebene E-Mail-Adresse senden. Beachte, dass der Verifizierungslink in der Mail von einem*einer Firmen-Administrator*in angeklickt werden sollte. Klicke auf die Schaltfläche Speichern, um den Vorgang abzuschließen. Danach können deine Endnutzer*innen von der verifizierten Domain die SSO-Autorisierung verwenden.

SSO-Domain-Verifizierung-Pop-up

Die Anforderungen für eine erfolgreiche Verifizierung sind wie folgt:

• Die Person, die die Verifizierung durchführt (diese initiiert und/oder abschließt), muss ein*e Firmen-Administrator*in sein.
  Wenn du ein*e Firmen-Administrator*in bist und die Verifizierungsmail an die E-Mail-Adresse einer Person senden möchtest, die kein*e Firmen-Administrator*in ist, kann diese dir den Bestätigungslink aus der Mail zurücksenden, um den Vorgang abzuschließen. 
• Die verwendete E-Mail-Adresse muss gültig sein (und E-Mails empfangen können).
• Öffentliche Domains (z. B. @gmail.com, @outlook.com usw.) sind nicht möglich. 
• Die SSO-Funktion muss aktiviert sein und der Domainname darf erst aus dem Feld gelöscht werden, wenn die Verifizierung abgeschlossen ist (die Verifizierungsmail kommt innerhalb von 15 Minuten). 

💡 Wenn du viele Domains und Subdomains verwaltest, (Subdomains werden als separate Namen erkannt und erfordern eine separate Verifizierung), überprüfe bitte mindestens einen Domainnamen und sende eine Anfrage an das Support-Team, in der du uns eine Liste der Domains (die Namen müssen durch ein Komma getrennt werden) sendest, damit wir sie auf einmal für dich bestätigen können. 

Solange die Domain nicht in der Liste aufgeführt und verifiziert ist, findet das SSO keine Anwendung (falls das Feld keine bestätigten Domains enthält, sind keine Benutzer vom SSO betroffen). Wenn eine Domain nicht verifiziert ist, wird in die Einstellungen der Hinweis E-Mail verifizieren angezeigt. 

Nicht verifizierte Domain in den SSO-Einstellungen von Miro

Optionale Einstellungen 

Der Abschnitt Optionale Einstellungen wird von fortgeschrittenen Nutzer*innen verwendet, die mit der Konfiguration von SSO vertraut sind. Weitere Informationen findest du in der Dokumentation zu den SAML2.0-Standards.

Just-in-Time-Zugriff (JIT) für neue Nutzer*innen 

Hilf deinen Endnutzer*innen, direkt mit Miro zu interagieren, ohne darauf zu warten, dass sie jemand einlädt oder sie den gesamten Onboarding-Prozess durchlaufen müssen, und vermeide die Erstellung von Test- und Free-Teams außerhalb deines verwalteten Abos. 

⚠️ Die Miro-Funktion JIT betrifft automatisch alle neu registrierten Nutzer*innen. Auch die Nutzer*innen, die bereits ein Profil bei Miro haben, benötigen eine Einladung zu deinem Preisplan – wenn du jedoch unsere Funktion Team-Auffindbarkeit aktivierst, wird auch das Team, für das du JIT eingerichtet hast, in der Liste von Teams angezeigt, die für die Teilnahme verfügbar sind. 

Allen Nutzer*innen von JIT wird die Standardlizenz deines Abos zugewiesen:

• Für alle Business- und Enterprise-Abos ohne flexibles Lizenzprogramm: eine Volllizenz. Wenn dein Abo im Rahmen des Enterprise-Preisplans keine Lizenzen mehr hat, wird den Nutzer*innen eine eingeschränkte kostenlose Lizenz zur Verfügung gestellt (gilt nur für den Enterprise-Preisplan). Wenn dein Abo im Rahmen des Business-Preisplans keine Lizenzen mehr hat, werden die Nutzer*innen nicht automatisch erfasst und JIT funktioniert nicht mehr
• Für Enterprise-Abos mit einem flexiblen Lizenzprogramm: eine kostenlose Lizenz oder eine eingeschränkte kostenlose Lizenz, je nach Standardlizenz

Um die JIT-Funktion bei Miro zu aktivieren, öffne deine SSO-Einstellungen > klicke das entsprechende Kästchen an > und wähle das designierte Team aus.

Die Funktion JIT auf der Seite Enterprise-Integrationen aktivieren

Alle neu registrierten Nutzer*innen aus den Domains, die du in den Einstellungen aufführst, werden automatisch unter deinem Enterprise-Schirm zu diesem bestimmten Team hinzugefügt, wenn sie sich bei Miro anmelden.

⚠️ Dieses Team wird im Enterprise-Preisplan auch in der Liste der auffindbaren Teams angezeigt, wenn du Teamauffindbarkeit aktivierst. 

Display-Namen als Standardnutzernamen festlegen

Bei Miro setzt sich der Nutzername wie folgt zusammen:

• Miro verwendet standardmäßig Attritute des Vornamens und Nachnamens
• Alternativ kannst du auch einen Display-Namen anfordern. In diesem Fall verwendet Miro den Display-Namen, wenn er in der SAML-Anfrage des*der Nutzer*in steht. Wenn kein Display-Name vorliegt, aber der Vorname + Nachname, verwendet Miro den Vornamen + Nachnamen.
  Bitte wende dich an den Miro-Support, um den Display-Namen als deinen bevorzugten SSO-Nutzernamen zu verwenden
• Wenn keines der drei Attribute in der SAML-Kommunikation vorhanden ist, verwendet Miro die E-Mail-Adresse der*des Nutzer*in als Nutzername

Synchronisierung des Benutzerprofilbilds vom IdP

⚠️ Es wird empfohlen, diese Option zu aktivieren, wenn du SCIM nicht aktivierst, oder wenn du es aktivierst, aber dein IdP nicht das Attribut Profilbild unterstützt (z. B. wird das Profilbild nicht von Azure unterstützt). In anderen Fällen empfiehlt es sich, das Profilbild über SCIM mit sofortigen Updates zu übermitteln. 

Wenn diese Einstellung aktiviert ist:

• wird das Profilbild auf der Website des IDP als Profilbild im Miro-Profil des*der Nutzer*in angezeigt
• haben die Nutzer*innen keine Möglichkeit, ihr Profilbild selbst zu aktualisieren oder zu entfernen

⚠️ Wie beim Nutzernamen verlieren die Nutzer*innen die Möglichkeit, ihre Daten bei Miro sofort zu ändern, aber die Datensynchronisation erfolgt nicht sofort. Der Identitätsanbieter sendet das Update erst mit der nächsten SSO-Authentifizierung des*der Nutzer*in an Miro (vorausgesetzt, dass die Einstellung „Fotos des Benutzerprofils von IDP synchronisieren“ zu diesem Zeitpunkt aktiv ist).

Wenn das Profilbild beim IDP festgelegt wurde und du möchtest, dass das Attribut in der SAML-Kommunikation weitergegeben wird, erwartet Miro das folgende Schema:

<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>

Einrichtung der MFA für Nutzer*innen, die kein SSO verwenden

Wenn du möchtest, dass Nutzer*innen, die sich nicht in deinen SSO-verifizierten Domains befinden und sich somit nicht über SSO anmelden müssen, trotzdem eine sicherere Anmeldeprozedur verfolgen, kannst du für sie MFA implementieren (in Kürze verfügbar).

Mögliche Issues und wie man sie löst

1. Meine Domain-Adressen werden in den SSO-Einstellungen nicht akzeptiert – Nachricht: „Domain-Name ist besetzt“.
   - Aus Sicherheitsgründen unterstützen wir die Domain(s) einer Organisation nur unter einem Unternehmensschirm (Enterprise-Abo). Es ist möglich, dass deine Domains bereits in einem anderen Business-Preisplan oder einem Enterprise-Preisplan verwendet werden, wodurch verhindert wird, dass du SSO für die gewünschte Domain aktivieren kannst. Du solltest das vielleicht vorher mit deinen Kolleg*innen abklären.
   
   
2. Ich folge dem Link in der E-Mail zur Verifizierung der Domain, aber die Verifizierung wird nicht durchgeführt.
   - Der Link soll dich auf die Website der Enterprise-Integrationen führen. Wenn du da nicht hinkommst, überprüfe bitte, ob du eine Anti-Phishing-Software verwendest, die die Weiterleitung verhindert. 
   
   
3. Wir müssen die E-Mail-Adressen unserer Endnutzer*innen ändern / Wir haben die E-Mail-Adressen unserer Nutzer*innen geändert und jetzt können die Nutzer*innen nicht auf ihre Boards zugreifen.
   - Wenn dein Unternehmen seinen Domainnamen ändert und deshalb die E-Mail-Adressen der Endnutzer*innen eine Änderung ihrer SSO-Anmeldeinformationen benötigen, wende dich bitte an das Support-Team, um Unterstützung zu erhalten.
   
   
4. Wir möchten ein separates Gateway (z. B. MFA, wie Duo Dag) für das SSO verwenden. 
   – Das könnt ihr gern tun. Miro unterstützt eure bevorzugte Lösung, solange sie unter SAML 2.0 funktioniert. 
   
   
5. Wir haben SSO aktiviert, aber die Daten der Nutzerprofile (Namen, Profilbilder – falls sie von deinem IdP unterstützt werden) in Miro werden nicht mit denen des Identitätsanbieters synchronisiert.
   - Der Nutzername und das Profilbild werden in Miro nach jeder erfolgreichen Nutzerauthentifizierung aktualisiert, wenn die SAML-Antwort neue nicht-leere Werte enthält. Weitere Informationen zum Einrichten von Nutzernamen bei Miro findest du in den Optionalen Einstellungen.

Wenn eine*r oder alle deine Nutzer*innen bei der Anmeldung in Miro eine Fehlermeldung erhalten, schau dir bitte diese Liste der häufigsten Fehler und deren Behebung an. 

Häufige Fragen

1. Wenn ich SSO aktiviere, werden die Nutzer*innen automatisch eingeloggt und gezwungen, sich über SSO anzumelden?
   - Die Nutzer*innen bleiben weiterhin angemeldet und können Miro verwenden. Wenn ein*e Nutzer*in sich abmeldet, die Sitzung abläuft oder sich von einem neuen Gerät aus anmeldet, wird er*sie aufgefordert, sich über SSO zu autorisieren. Dies gilt nur für Endnutzer*innen deines Enterprise-Preisplans mit einer Unternehmensdomain.
   
   

2. Wenn ich JIT aktiviert habe, melden sich die neu registrierten Nutzer*innen über SSO an?
   - Ja, SSO ist für die Bereitstellung von JIT erforderlich.
   
   

3. Wenn ich SSO aktiviere, können Kunden/Partner/Externe weiterhin auf Miro zugreifen?
   - Ja. Die Anmeldung über SSO wird nur für Nutzer*innen obligatorisch, die Teil deines Enterprise-Abos sind und für die eine Domain in deiner SSO-Konfiguration aufgeführt ist. Wenn deine Kunden/Partner/Externe eine andere Domain haben, die nicht in deiner SSO-Konfiguration aufgeführt ist, ist für sie keine SSO in deinem Preisplan erforderlich.