Mit dem SAML-basierten Single Sign-on (SSO) können Personen über einen Identitätsanbieter (IdP) ihrer Wahl auf Miro zugreifen.
Verfügbar für: Enterprise-, Business-Preispläne
Einrichtung durch: Unternehmens-Admins
So funktioniert SAML SSO
- Wenn jemand versucht, sich über SSO bei Miro anzumelden, sendet Miro eine SAML-Anfrage (Security Assertion Markup Language) an den Identitätsanbieter (IdP)
- Der Identitätsanbieter validiert die Anmeldeinformationen der Person und sendet eine Antwort an Miro, um die Identität des Mitglieds zu bestätigen
- Miro bestätigt die Antwort und gewährt Zugriff, sodass sich das Mitglied bei seinem Miro-Konto anmelden kann
Was passiert nach der Aktivierung von SSO?
Erstmalige Aktivierung von SSO
Wenn du SSO zum ersten Mal einrichtest, können alle, die derzeit angemeldet sind, ohne Unterbrechung in Miro weiterarbeiten. Wenn sie sich jedoch das nächste Mal abmelden, ihre Sitzung abläuft oder sie versuchen, sich von einem neuen Gerät aus anzumelden, müssen sie sich über SSO anmelden.
Alle anderen Anmeldeoptionen werden deaktiviert, einschließlich Standardanmeldung + Passwort, Google, Facebook, Slack, AppleID und O365.
Time-out bei Inaktivität
Wenn du Time-out bei Inaktivität aktiviert hast, werden die Personen automatisch aus ihrem Miro-Profil abgemeldet und müssen sich erneut über SSO autorisieren.
Mehrere Teams und Organisationen
Wenn deine Nutzenden in mehrere Miro-Teams oder -Organisationen sind, kannst du es so konfigurieren, dass sie denselben Identitätsanbieter (IdP) für die Authentifizierung verwenden.
Wer muss sich mit SSO anmelden und wer nicht
Die Anmeldung über SSO ist nur für aktive Personen obligatorisch, die Teil deines Enterprise-Abos sind und für die eine Domain in deiner SSO-Konfiguration aufgeführt ist.
- Personen, die von Domains aus auf Miro zugreifen, die nicht in deinen SSO-Einstellungen hinzugefügt wurden, müssen sich nicht mit SSO anmelden, sondern sollten sich stattdessen über die gängigen Anmeldemethoden anmelden.
-
Personen aus einer verifizierten Domain, die keine Mitglieder deines Enterprise-Abos sind, müssen sich nicht über SSO anmelden.
⚠️ Wenn jemand Mitglied eines Miro-Teams außerhalb deines Enterprise-Abos ist, muss er sich trotzdem über SSO anmelden. Sie können jedoch weiterhin auf andere Teams zugreifen. Wenn du den Zugriff auf andere Teams verhindern möchtest, empfehlen wir dir die Domainsteuerung.
Nutzerdaten verwalten
Die Nutzerdaten werden nach erfolgreicher Anmeldung automatisch von deinem Identitätsanbieter in Miro zugewiesen. Einige Parameter wie der Name und das Passwort können nicht geändert werden. Andere Parameter wie Abteilungs- und Profilbilder sind optional.
- Die Nutzernamen bei Miro werden nach jeder erfolgreichen Authentifizierung aktualisiert. Weitere Informationen zum Einrichten von Nutzernamen bei Miro findest du in den erweiterten SSO-Einstellungen. Wenn du die E-Mail-Adresse einer Person ändern musst, kannst du dies nur über SCIM tun. Wenn du SCIM nicht verwendest, wende dich bitte an das Support-Team.
Domains in den SSO-Einstellungen
💡 Um eine Profilsperre zu verhindern, erstelle ein provisorisches Nutzerkonto mit einer E-Mail-Adresse, die eine Domain hat, die nicht in den SSO-Einstellungen aufgeführt ist, wie provisorischernutzer@gmail.com. Andernfalls kannst du dich an den Support wenden, der SSO für die gesamte Organisation deaktivieren kann.
Konfiguration von SSO
Identitätsanbieter (IdP)
Verwende einen Identitätsanbieter deiner Wahl. Dies sind die beliebtesten Identitätsanbieter:
- OKTA
- Azure AD von Microsoft
- OneLogin
- ADFS von Microsoft
- Auth0
- Google SSO
- Jumpcloud SSO
So konfigurierst du deinen IdP
1. Gehe zum Konfigurationsbereich deines Identitätsanbieters und folge den Anweisungen des Anbieters, um Single Sign-On zu konfigurieren.
2. Füge die folgenden Metadaten hinzu. Wir empfehlen, alle optionalen Felder zu überspringen und alle Standardwerte so zu belassen, wie sie sind.
Spezifikationen (Metadaten)
Protokoll | SAML 2.0 |
Binding | HTTP Redirect für SP zu IdP HTTP Post für IdP zu SP |
Die Service-URL (von SP initiierte URL) Auch bekannt als Launch-URL, Antwort-URL, Relying Party SSO Service URL, Ziel-URL, SSO-Anmelde-URL, Identitätsanbieter-Endpunkt usw. |
https://miro.com/sso/saml |
Assertion Consumer Service URL Auch bekannt als Erlaubte Callback-URL, Benutzerdefinierte ACS-URL, Antwort-URL |
https://miro.com/sso/saml |
Entity-ID Auch bekannt als Identifier, Relying Party Trust Identifier |
https://miro.com/ |
Standard-Relay-Status | muss in deiner Konfiguration leer bleiben |
Signierungsanforderung |
Eine nicht signierte SAML-Antwort mit einer signierten Aussage
|
SubjectConfirmation Methode | "urn:oasis:names:tc:SAML:2.0:cm:bearer" |
Die SAML-Antwort des Identitätsanbieters muss ein x509-Zertifikat mit einem öffentlichen Schlüssel des Identitätsanbieters enthalten. Detaillierte SAML-Beispiele ansehen. Die Miro SP-Metadaten-Datei (XML) herunterladen. |
⚠️ Verschlüsselung und Single Log-Out werden nicht unterstützt.
Zugangsdaten
Alle zusätzlichen Felder außerhalb der unten genannten sind nicht erforderlich. Wir empfehlen, alle optionalen Felder zu überspringen und alle Standardwerte so zu belassen, wie sie sind.
Erforderliche Attribute der Zugangsdaten | |
NameID (entspricht der E-Mail-Adresse einer Person) Auch bekannt als SAML_Subject, Primärschlüssel, Anmeldename, Format des Nutzernamens der Anwendung usw. |
<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:email">
(Nicht verwechseln mit dem Attribut 'EmailAddress', das in der Regel ein separates Attribut ist) |
Optionale Attribute, die mit der Assertion gesendet werden (wird mit jeder neuen Authentifizierung über SSO aktualisiert, wird verwendet, wenn vorhanden/verfügbar) |
|
So aktivierst du SSO in deinen Miro-Einstellungen
✏️ Durch die Aktivierung von SSO in deinen Einstellungen wird SSO nicht sofort für die Personen aktiviert. Die Anmeldung via SSO steht erst zur Verfügung, nachdem deine Domains überprüft wurden.
2. Aktiviere SSO/SAML
2. Aktiviere SSO/SAML
⚠️ Wir empfehlen dringend, mit zwei geöffneten Fenstern zu arbeiten: Teste das Anmeldeverfahren im Inkognito-Modus, während du die Einstellungen im Standardbrowser-Fenster geöffnet lässt. Auf diese Weise kannst du die SSO-Autorisierung einfach deaktivieren, falls etwas falsch konfiguriert ist. Wenn du eine Testinstanz einrichten möchtest, bevor du SSO im Produktivsystem aktivierst, wende dich bitte an das Support-Team, um Unterstützung zu erhalten.
So aktivierst du SSO in deinen Miro-Einstellungen
Fülle folgende Felder aus, nachdem du die SSO/SAML-Funktion in den Single Sign-on-Einstellungen aktiviert hast:
- SAML Sign-in URL (in den meisten Fällen öffnet es die Website deines Identitätsanbieters, auf der die Nutzenden aufgefordert werden, ihre Zugangsdaten einzugeben)
- x.509-Zertifikat mit einem öffentlichen Schlüssel (von deinem Identitätsanbieter)
- Alle Domains und Subdomains sind erlaubt oder erforderlich (ACME.com oder ACME.dev.com), um sich über deinen SAML-Server zu authentifizieren
SSO-Einstellungen bei Miro
So verlängerst du dein SSO-/SAML-Zertifikat
Auch wenn dein x.509-Zertifikat mit einem öffentlichen Schlüssel abgelaufen ist, funktioniert das SSO weiterhin. Wir empfehlen jedoch dringend, es zu verlängern, damit du Miro weiterhin sicher verwenden kannst. x.509-Zertifikate mit öffentlichem Schlüssel gewährleisten die Sicherheit, den Datenschutz, die Authentifizierung und die Integrität der Daten, die zwischen deinem Identitätsanbieter und Miro ausgetauscht werden.
Diese Zertifikate sind nur für einen bestimmten Zeitraum gültig, der von deinem Identitätsanbieter definiert (und verifiziert) werden kann. Bitte erfrage das Ablaufdatum bei deinem Identitätsanbieter.
Dieser Vorgang erfolgt in zwei Schritten:
- Verlängere das Zertifikat bei deinem Identitätsanbieter. Bitte lies in dessen Anweisungen nach, wie dabei vorzugehen ist.
- Füge das verlängerte Zertifikat zu deiner SSO-Konfiguration bei Miro hinzu.
Verlängerte Zertifikate zu Miro hinzufügen
⚠️ Wir empfehlen, das x.509-Zertifikat zu einem Zeitpunkt auszutauschen, an dem dein Unternehmen nicht so stark ausgelastet ist (z. B. am Wochenende oder nach den Geschäftszeiten). So vermeidest du, dass es bei der Anmeldung zu Unterbrechungen kommt.
- Gehe in deinen Unternehmenseinstellungen auf Authentifizierung und dann auf Single Sign-on
- Lösche den Inhalt in dem Feld Schlüssel für das x.509-Zertifikat
- Füge den neuen Schlüssel in dieses Feld ein
- Srolle runter und klicke auf Speichern
Ein x.509-Zertifikat in Miro verlängern
Deine SSO-Domains verifizieren
Einrichtung durch: Unternehmens-Admins
💡 Domains, die bereits über die Domainsteuerung verifiziert wurden, müssen nicht erneut verifiziert werden.
Wenn du einen Domainnamen eingegeben hast, musst du ihn noch verifizieren. Solange die Domain in den SSO-Einstellungen nicht zur Domain-Liste hinzugefügt und noch nicht verifiziert wurde, steht SSO nicht zur Verfügung. Wenn eine Domain nicht verifiziert ist, wird in deinen SSO-Einstellungen der Hinweis E-MAIL-ADRESSE VERIFIZIEREN angezeigt.
Nicht verifizierte Domain in den SSO-Einstellungen von Miro
Bedingungen für eine erfolgreiche Domain-Verifizierung
- Die Person, die die Verifizierung durchführt, muss Unternehmens-Admin sein. Wenn du Unternehmens-Admin bist und die Bestätigungs-E-Mail an eine Person senden möchtest, die kein Unternehmens-Admin ist, kann diese Person die Bestätigungs-E-Mail mit dem Bestätigungslink an dich weiterleiten, um den Vorgang abzuschließen.
- Die verwendete E-Mail-Adresse muss existent sein (sie muss die Bestätigungs-E-Mail erhalten können).
- Öffentliche Domains (z. B. @gmail.com, @outlook.com usw.) sind nicht erlaubt.
- Die SSO-Funktion muss aktiviert sein und der Domainname in den SSO-Einstellungen hinzugefügt werden.
So verifizierst du deine Domains
- Nachdem du eine Domain hinzugefügt hast, öffnet sich ein Pop-up-Fenster, in dem du aufgefordert wirst, eine E-Mail-Adresse einzugeben, um die Domain zu verifizieren. Gib die E-Mail-Adresse unter Verwendung derselben Domain ein, die du in deinen SSO-Einstellungen hinzugefügt hast, um zu beweisen, dass du diese Domain repräsentierst
- Klicke auf Verifizierung senden
- Du erhältst die Verifizierungs-E-Mail innerhalb von 15 Minuten
- Du musst auf den Verifizierungslink in der E-Mail klicken. Um diesen Schritt abzuschließen, musst du Unternehmens-Admin sein
- Klicke abschließend auf Speichern
- Jetzt können sich alle aus der verifizierten Domain mit SSO anmelden
Pop-up zur Verifizierung der SSO-Domain
💡 Wenn du mehrere Domains und Subdomains verwaltest (Subdomains werden als separate Namen erkannt und erfordern eine separate Verifizierung), überprüfe bitte zuerst mindestens einen Domainnamen und sende eine Anfrage an das Support-Team. Schicke uns bitte eine komplette Liste der Domains (die Namen müssen durch ein Komma getrennt werden), damit wir sie alle mit einem Klick für dich bestätigen können. Wenn du mehr als 10 Domains hast, verifiziert Miro diese für dich. Organisationen mit weniger als 10 Domains müssen diese selbst verifizieren. Im Business-Preisplan können nur 3 Domains pro Organisation verifiziert werden.
Optionale, erweiterte SSO-Einstellungen
Der Abschnitt „optionale Einstellungen“ kann von fortgeschrittenen Nutzenden verwendet werden, die mit der Konfiguration von SSO vertraut sind.
Just-in-Time-Zugriff (JIT) für neue Personen
Erleichtere es deinen Teammitgliedern, sofort mit Miro zu beginnen, ohne auf eine Einladung warten oder einen langwierigen Onboarding-Prozess durchlaufen zu müssen. Außerdem solltest du sicherstellen, dass keine Free-Teams außerhalb deines verwalteten Abos erstellt werden (erfordert eine Domainsteuerung). SSO ist erforderlich, um die Just-in-Time-Bereitstellung (JIT) für neue Personen zu aktivieren. Allen Personen mit JIT werden die Standardlizenz deines Abos zugewiesen:
Abo-Typ | Lizenztyp | Was passiert, wenn die Lizenzen ausgeschöpft sind |
Business-Preisplan | Volllizenz | Es werden keine Personen automatisch hinzugefügt; die JIT-Funktion funktioniert nicht mehr. |
Enterprise-Preisplan (ohne Flexibles Lizenzprogramm) | Volllizenz | Personen mit einer eingeschränkten kostenlosen Lizenz |
Enterprise-Preisplan (mit Flexiblen Lizenzprogramm) | Kostenlose oder eingeschränkte kostenlose Lizenz | Hängt von den Standardlizenzeinstellungen ab |
So aktivierst du die Just-in-Time-Bereitstellung
Wenn du die Just-in-Time-Bereitstellung aktivierst, gilt sie automatisch für alle, die sich neu bei Miro registrieren. Allerdings benötigen diejenigen, die Miro bereits nutzen, weiterhin eine Einladung, um deinem Preisplan beizutreten.
- Gehe zu deinen SSO-Einstellungen
- Aktiviere das Kontrollkästchen Alle neu registrierten Personen aus den aufgeführten Domains automatisch zu deinem Enterprise-Konto hinzufügen
- Wähle ein Standardteam für neu registrierte Nutzende aus dem Dropdown-Menü aus
- Klicke auf Speichern
Wenn du bestimmte Domains in deinen Single Sign-On (SSO)-Einstellungen auflistest, werden alle, die sich mit diesen Domains registrieren, automatisch zu deinem Enterprise-Abo hinzugefügt. Sie werden dem Team zugewiesen, das du in deinen Just-in-Time-Einstellungen (JIT) ausgewählt hast.
Die Funktion JIT auf der Seite Enterprise-Integrationen aktivieren
Alle neu registrierten Personen aus den Domains, die du in den Einstellungen aufführst, werden automatisch unter deinem Enterprise-Abo zu diesem bestimmten Team hinzugefügt, wenn sie sich bei Miro anmelden.
⚠️ Dieses Team wird im Enterprise-Preisplan auch in der Liste der auffindbaren Teams angezeigt, wenn du Teamauffindbarkeit aktivierst.
DisplayName als Standardnutzername festlegen
Miro verwendet standardmäßig die Attritute FirstName und LastName. Alternativ kannst du auch einen DisplayName anfordern. In diesem Fall verwendet Miro den DisplayName, wenn er in der SAML-Antwort der Person steht.
Wenn kein DisplayName vorliegt, aber der FirstName + LastName, verwendet Miro den FirstName + LastName. Bitte wende dich an den Miro-Support, um DisplayName als deinen bevorzugten SSO-Nutzernamen zu verwenden.
Wenn keines der drei Attribute in der SAML-Kommunikation vorhanden ist, verwendet Miro die E-Mail-Adresse der*des Nutzer*in als Nutzername
Einstellung | Standardnutzername |
Nutzername bei Miro | FirstName + LastName |
Alternative Einstellung | DisplayName (falls in der SAML-Anfrage der Person vorhanden) |
Alternativlösung | FirstName + LastName (wenn DisplayName nicht vorhanden ist) |
Bevorzugter SSO-Nutzername | DisplayName (wende dich an den Miro-Support) |
Keine Attribute vorhanden | E-Mail-Adresse wird als Benutzername angezeigt |
Wenn du etwas anderes siehst als erwartet, musst du dich möglicherweise über SSO authentifizieren, oder es kann sein, dass die SAML-Antwort nicht die für die Aktualisierung erforderlichen Werte enthält.
Synchronisierung des Benutzerprofilbilds vom IdP
⚠️ Im Allgemeinen wird empfohlen, diese Option zu aktivieren, wenn du SCIM nicht aktivierst oder dein IdP das Attribut ProfilePicture nicht unterstützt (beispielsweise wird ProfilePicture nicht von Azure unterstützt). In anderen Fällen empfiehlt es sich, das ProfilePicture über SCIM mit sofortigen Updates zu übermitteln.
Wenn diese Einstellung aktiviert ist:
- wird das Profilbild auf der Website des IDP als Profilbild im Miro-Profil der Person angezeigt
- können die Personen ihr Profilbild nicht selbst aktualisieren oder entfernen
⚠️ Wie auch bei dem Attribut Nutzernamen, können die Nutzenden ihre Daten bei Miro nicht sofort zu ändern. Die Datensynchronisation erfolgt jedoch nicht zeitgleich. Der Identitätsanbieter sendet das Update erst mit der nächsten SSO-Authentifizierung der Person an Miro (die Einstellung „Fotos des Nutzerprofils von IDP synchronisieren“ muss zu diesem Zeitpunkt aktiv sein).
Wenn das Profilbild beim IDP festgelegt wurde und du möchtest, dass das Attribut in der SAML-Kommunikation weitergegeben wird, erwartet Miro das folgende Schema:
<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>
SSO mit Datenspeicherung
Wenn du die Unterstützung der Datenresidenz von Miro nutzt und eine eigene URL hast (workspacedomain.miro.com), musst du die Konfiguration deines Identitätsanbieters anpassen.
Dazu musst du deine [ORGANIZATION_ID] zur URL hinzufügen.
Du findest deine ORGANIZATION_ID in deinem Miro-Dashboard. Klicke dazu in der oberen rechten Ecke auf dein Profil und dann auf Einstellungen. Sie wird dir dann in der URL in der Adressleiste angezeigt.
Standardwert | Wert in der Datenspeicherung | |
---|---|---|
Assertion Consumer Service URL (auch bekannt als Rückruf-URL, Custom-ACS-URL, Antwort-URL): | https://miro.com/sso/saml | https://workspace-domain.miro.com/ sso/saml/ORGANIZATION_ID |
Entity-ID (Kennung, Relying Party Trust Identifier): https://miro.com/ | https://miro.com/ | https://workspace-domain.miro.com/ ORGANIZATION_ID |
Einrichten der Mehr-Faktor-Authentifizierung (2FA) für Personen, die kein SSO nutzen
Die Zwei-Faktor-Authentifizierung (2FA) bietet eine zusätzliche Sicherheitsebene. Bei der 2FA muss ein zusätzlicher Schritt während der Anmeldung durchgeführt werden, um die Identität zu verifizieren. Durch diese zusätzliche Maßnahme wird sichergestellt, dass nur autorisierte Personen auf dein Abo zugreifen können.
Weitere Informationen findest du in unserem Admin-Leitfaden zur Zwei-Faktor-Authentifizierung.
Mögliche Issues und wie man sie löst
Wenn einer oder alle deine Nutzenden bei der Anmeldung in Miro eine Fehlermeldung erhalten, schau dir bitte diese Liste der häufigsten Fehler und deren Behebung an.