Verfügbar für: Enterprise-, Business-Pläne
Einrichtung durch: Unternehmensadmins
💡 Es wird dringend empfohlen, die Funktion SSO in einem separaten Inkognito-Modus-Fenster deines Browsers zu konfigurieren. Auf diese Weise bleibt die Sitzung im Standardfenster und du kannst die SSO-Autorisierung deaktivieren, falls etwas nicht richtig konfiguiert ist.
Wenn du eine Testinstanz einrichten möchtest, bevor du SSO für die Produktion aktivierst, fordere sie bitte bei der Kundenberatung oder bei deinem/deiner Vertriebsberauftragten an. Es werden nur diejenigen zu dieser Testinstanz hinzugefügt, die SSO konfigurieren.
⚠️ In unserem Hauptartikel über SSO hier findest du Regeln, unterstützte Funktionen und die optionale Konfiguration auf der Miro-Seite.
Hinzufügen und Konfigurieren der App
1. Suche die vorkonfigurierte Miro-Anwendung in der Azure AD Enterprise Application Gallery (Enterprise Applications > +New Application)
Vorkonfigurierte Miro-Anwendung in der Azure AD Enterprise Application Gallery
2. Erstelle die Anwendung und klicke auf 2. Set up single sign-on (Single Sign-On einrichten) (oder wähle Single sign-On auf der linken Seite und wähle die SAML-Anmeldemethode).
Auswahl einer Single-Sign-on-Methode
3. Du wirst feststellen, dass die SAML-Basiskonfiguration bereits eingerichtet ist:
SAML-Basiskonfiguration
⚠️ Falls die SSO-Anmeldung nach der vollständigen Einrichtung fehlschlägt, solltest du versuchen, die Entity-ID von https://miro.com auf https://miro.com/ zu ändern.
⚠️ Sign-on URL (Anmelde-URL), Relay State und Logout URL (Abmelde-URL) (für Single Sign-Out) müssen leer gelassen werden, da diese Funktionen nicht unterstützt werden.
Auch die Attribute und Ansprüche sind bereits festgelegt:
Attribute und Ansprüche
⚠️ Hinweis:
a) Der UPN wird zum wichtigsten Parameter, an dem ein Benutzer in Miro zu erkennen ist. Dieser Parameter kann von Azure aus nicht aktualisiert werden. Wenn du die E-Mail-Adressen von Benutzern in Miro aktualisieren musst, ohne SCIM zu verwenden, wende dich bitte an unser Supportteam.
b) Miro akzeptiert GivenName (Vornamen), Surname (Nachnamen), DisplayName (Anzeigenamen) und ProfilePicture (Profilbilder). Andere Attribute werden über SSO nicht unterstützt, können aber über SCIM transferiert werden.
Erstellen des Zertifikats
1. Scrolle zum Abschnitt SAML Signing Certificate herunter und klicke auf Add a certificate (Ein Zertifikat hinzufügen):
2. Klicke auf +New Certificate (Neues Zertifikat) und wähle die Option Signing = Signed SAML Assertion oder Signed SAML response and assertion. Die Erklärung muss unterschrieben werden.
Auswahl der Option Signing
3. Klicke auf Speichern.
4. Klicke auf More options (Mehr Optionen) für das Zertifikat und mache das Zertifikat zunächst active (aktiv) und lade dann die Base64-Datei herunter.
Das Menü „More options“ (Weitere Optionen)
Konfigurieren von SSO in deinem Miro-Preisplan
1. Öffne die heruntergeladene Datei in einem Texteditor und kopiere und füge das x509-Zertifikat aus der Datei in das für Miro vorgesehene Feld in den SSO-Einstellungen ein.
2. Scrolle in den Azure-Einstellungen etwas nach unten und suche die Login URL und füge sie in die URL für SAML-Anmeldung in Miro ein.
Kopieren der Login URL
SSO-Einstellungen bei Miro
3. Vergewissere dich, dass du mindestens eine Firmendomäne hinzugefügt hast, bevor du auf die Schaltfläche Speichern klickst.
Das wars auch schon! Deine SSO-Konfiguration ist nun abgeschlossen.
Konfigurieren von Ansprüchen, wenn sich UPN und E-Mail-Adresse unterscheiden
Du kannst die Einstellungen so konfigurieren, dass jedes Azure-Attribut, das im E-Mail-Format vorliegt, als NameID in Miro verwendet wird.
IDP- und SP-initiierte Anmeldungen
Bei der IDP-initiierten Anmeldung sendet Azure Miro den Wert, für den du dich als NameID entschieden hast (user.mail im Beispiel unten).
Nutzerattribute und -ansprüche
Bei diesem Flow greifen deine Endnutzer*innen über das Symbol in ihrer Portalkonsole auf Miro zu (zum Beispiel unter https://myapplications.microsoft.com/). Von dort wird eine Anfrage an Miro gesendet und der*die Nutzer*in wird mit der von dir definierten NameID eingeloggt. Miro erwartet, dass dieses Attribut mit der E-Mail-Adresse des*der Nutzer*in in Miro übereinstimmt. Eine Nichtübereinstimmung führt zu einer fehlgeschlagenen Authentifizierung.
Bei der SP-initiierten Anmeldung sendet Miro eine Anfrage speziell für die UPN des*der Nutzer*in und erwartet, dass diese mit der E-Mail-Adresse des*der Nutzer*in in Miro übereinstimmt. Eine Nichtübereinstimmung führt zu einer fehlgeschlagenen Authentifizierung.
Jetzt wird erwartet, dass das Feld mit der URL für die SAML-Anmeldung in deinen Miro-Einstellungen die Login-URL der Miro-App in deiner Azure-Instanz enthält. Dies ist die URL, zu der Miro den*die Nutzer*in von der Miro-Anmeldeseite weiterleitet.
Miro SSO-Einstellungen
Wenn der*die Nutzer*in von der App zur Login-URL weitergeleitet wird, wird die SAML-Anfrage generiert. Bei diesem Flow wird der*die Nutzer*in mit der E-Mail-Adresse eingeloggt, die er*sie auf der Miro-Anmeldeseite eingegeben hat und die Miro dann von Azure anfordert, wobei erwartet wird, dass sie das UPN-Attribut ist.
Vorgehensweise bei der Einrichtung
Damit deine Nutzer*innen mit ihrer Azure-E-Mail-Adresse und nicht mit dem UPN auf Miro zugreifen können, kannst du das Feld URL für SAML-Anmeldung in Miro mit der URL der App aus der Azure-Konsole ausfüllen. Dann sieht der SP-initiierte Flow wie folgt aus:
- Der*die Nutzer*in greift auf Miro zu, indem er*sie seine*ihre Miro-E-Mail-Adresse eingibt, die er*sie für Miro verwendet. Miro erkennt, dass die Person mit dem definierten Nutzerprofil eingeloggt sein sollte.
- der*die Nutzer*in wird zu seinem*ihrem App-Link weitergeleitet, der für die IDP-initiierte Anmeldung verwendet wird.
- Der Link verwendet das Attribut NameID, das du definiert hast, und sendet es an Miro.
- Der*die Nutzer*in wird also in Miro in dem zuvor definierten Nutzerprofil mit der von dir festgelegten NameID eingeloggt.
Schau dir diesen Artikel an, wenn du die automatische Bereitstellung für Miro aktivieren möchtest.
Sieh dir bitte diesen Artikel an, falls du während der Konfiguration auf Probleme gestoßen bist.
Azure Testing Tool
Um zum Testing Tool zu gelangen, wähle in den Einstellungen deiner Anwendung die Registerkarte Single Sign-in und scrolle bis zum Ende des Abschnitts herunter.
Azure empfiehlt, den Prozess zur Testanmeldung zu verwenden, um die Verbindung zu überprüfen und eine Fehlermeldung zu beheben. Nach dem Test erhältst du Anweisungen, wie du die Situation lösen kannst.
Testseite im Azure-Portal/der Azure-Konsole
Bitte denke daran, mit welchen von Azure/ADFS verwalteten Anmeldedaten deine Workstation authentifiziert ist. Wenn du dich mit anderen Anmeldedaten bei Miro einloggen möchtest, kann der Anmeldeversuch fehlschlagen, da der Identity Provider deine Hauptanmeldedaten übermittelt und es zu einer Nichtübereinstimmung kommt. Das kann zum Beispiel passieren, wenn du der SSO-Admin bist und das Anmeldeverfahren mit anderen Nutzer-Anmeldedaten testest.