English (US) Español Français 日本語 한국어(대한민국) Polski (Polska) Português do Brasil

Beiträge in diesem Abschnitt

So konfigurierst du Entra ID SSO

  • Aktualisiert

Erhältlich für: Business-Preisplan, Enterprise-Preisplan

Erforderliche Rolle: Unternehmens-Admin

 Es wird dringend empfohlen, die Funktion SSO in einem separaten Fenster im Inkognito-Modus deines Browsers zu konfigurieren. Auf diese Weise bleibt die Sitzung im Standardfenster und du kannst die SSO-Autorisierung deaktivieren, falls etwas nicht richtig konfiguriert ist.

Wenn du eine Testinstanz einrichten möchtest, bevor du SSO im Produktivsystem aktivierst, wende dich bitte an das Support-Team, um Unterstützung zu erhalten.  Es werden nur diejenigen zu dieser Testinstanz hinzugefügt, die SSO konfigurieren.

⚠️ In unserem Hauptartikel über SSO hier findest du Regeln, unterstützte Funktionen und die optionale Konfiguration auf der Miro-Seite.

Hinzufügen und Konfigurieren der App 

 1. Suche die vorkonfigurierte App Miro in der Entra ID Enterprise Application Gallery(Enterprise Applications > +New Application)

Miro_app_in_Entra_idp.jpg
Miro vorkonfigurierte App in der Entra ID Enterprise Application Gallery

2. Erstelle die App und klicke auf 2. Richte die einmalige Anmeldung ein (oder wähle auf der linken Seite einmalige Anmeldung und wähle die SAML-Anmeldemethode ).

set_up_sso_with_Miro.jpg
Auswahl einer Single-Sign-on-Methode

3. 3. Du wirst feststellen, dass die SAML-Basiskonfiguration bereits eingerichtet ist:

basic_SAML_.jpg
SAML-Basiskonfiguration
⚠️ Falls die SSO-Anmeldung nach der vollständigen Einrichtung fehlschlägt, solltest du versuchen, die Entity-ID von https://miro.com auf https://miro.com/ zu ändern.  
⚠️ Sign-on URL (Anmelde-URL), Relay State und Logout URL (Abmelde-URL) (für Single Sign-out) müssen leer gelassen werden, da diese Funktionen nicht unterstützt werden.  

Auch die Attribute und Ansprüche sind bereits festgelegt:

attributes_and_claims.jpg
Attribute und Ansprüche

⚠️ Bitte beachte Folgendes:
a) Der UPN wird zum wichtigsten Parameter, an dem ein Nutzer in Miro erkannt wird, und dieser Parameter kann nicht von der Entra-Seite aus aktualisiert werden. Wenn du die E-Mails von Nutzern in Miro aktualisieren musst, ohne SCIM zu verwenden, wende dich bitte an unser Support-Team
b) Miro akzeptiert Vornamen, Nachnamen, Anzeigenamen und Profilbild. Andere Attribute werden über SSO nicht unterstützt, können aber über SCIM transferiert werden.

 

Erstellen des Zertifikats

1. 1. Scrolle zum Abschnitt SAML Signing Certificate herunter und klicke auf Add a certificate (Ein Zertifikat hinzufügen):

2. 2. Klicke auf +New Certificate (Neues Zertifikat) und wähle die Option Signing = Signed SAML Assertion oder Signed SAML response and assertion. Die Erklärung muss unterschrieben werden. 

SAML_sign-in_certificate.jpg
Auswahl der Option Signing

3. Klicke auf Speichern.

4. 4. Klicke auf More options (Mehr Optionen) für das Zertifikat und mache das Zertifikat zunächst active (aktiv) und lade dann die Base64-Datei herunter. 

make_certificate_active.jpg
Das Menü „More options“

 

Konfigurieren von SSO in deinem Miro-Preisplan

1. 1. Öffne die heruntergeladene Datei in einem Texteditor und kopiere und füge das x509-Zertifikat aus der Datei in das für Miro vorgesehene Feld in den SSO-Einstellungen ein. 

2. Scrolle in den Entra-Einstellungen etwas nach unten und suche die Anmelde-URL und füge sie in die SAML-Anmelde-URL in Miro ein.

copy_URL.jpg
Kopieren der Login URL

paste_in_Miro_SSO_settings.jpg
SSO-Einstellungen bei Miro

3. Füge mindestens eine Company Domain hinzu.

⚠️ Vergewissere dich in Miro, dass Profilfotos von IdP synchronisieren nicht aktiviert ist. Entra ID unterstützt die Synchronisierung von Fotos aus dem Profil des Nutzers nicht. Wenn Profilfotos von IdP synchronisieren nicht aktiviert ist, können die Nutzer ihre eigenen Profilfotos einstellen.

4. Klicke auf Speichern.

Deine SSO-Konfiguration ist nun abgeschlossen.

 

Konfigurieren von Ansprüchen, wenn sich UPN und E-Mail-Adresse unterscheiden

Du kannst die Einstellungen so konfigurieren, dass jedes Entra-Attribut, das im E-Mail-Format vorliegt, als NameID in Miro verwendet wird. 

IDP- und SP-initiierte Anmeldungen

Bei der IDP-gestützten Anmeldung sendet Entra Miro den Wert, den du als NameID verwendest(user.mail im Beispiel unten). 
user_attributes_and_Claims.jpg
Nutzerattribute und -ansprüche

Bei diesem Flow greifen deine Personen über das Symbol in ihrer Portalkonsole auf Miro zu (zum Beispiel unter https://myapplications.microsoft.com/). Von dort wird eine Anfrage an Miro gesendet und der Nutzer wird mit der von dir definierten NameID eingeloggt.  Miro erwartet, dass dieses Attribut mit der E-Mail-Adresse des Nutzers in Miro übereinstimmt. Eine Nichtübereinstimmung führt zu einer fehlgeschlagenen Authentifizierung.

Bei der SP-initiierten Anmeldung sendet Miro eine Anfrage speziell für die UPN des Nutzers und erwartet, dass diese mit der E-Mail-Adresse des Nutzers in Miro übereinstimmt. Eine Nichtübereinstimmung führt zu einer fehlgeschlagenen Authentifizierung.

Das Feld SAML-Anmelde-URL in deiner Miro-Einstellung sollte nun die Anmelde-URL der Miro-App deiner Entra-Instanz enthalten. Dies ist die URL, zu der Miro den Nutzer von der Miro-Login-Seite aus weiterleitet.
paste_in_Miro_SSO_settings.jpg
SSO-Einstellungen bei Miro

Wenn der Nutzer von der App zur Login-URL weitergeleitet wird, wird die SAML-Anfrage generiert. Bei diesem Ablauf wird der Nutzer mit der E-Mail-Adresse angemeldet, die er auf der Miro-Anmeldeseite eingegeben hat und die Miro dann von Entra anfragt, wobei es sich um das UPN-Attribut handeln muss. 

Vorgehensweise bei der Einrichtung

Um deinen Nutzern den Zugriff auf Miro mit ihrer E-Mail statt mit ihrem UPN zu ermöglichen, kannst du das SAML-Anmelde-URL-Feld in Miro mit der URL der App aus der Entra-Konsole ausfüllen. Dann sieht der SP-initiierte Flow wie folgt aus:

  1. Der Nutzer öffnet Miro, indem er seine Miro-E-Mail-Adresse eingibt, die er für Miro verwendet. Miro erkennt, dass die Person mit dem definierten Nutzerprofil eingeloggt sein sollte.  
  2. Der Nutzer wird zu seinem App-Link weitergeleitet, der für die IDP-initiierte Anmeldung verwendet wird. 
  3. Der Link verwendet das Attribut NameID, das du definiert hast, und sendet es an Miro.
  4. Der Nutzer wird also in Miro in dem zuvor definierten Nutzerprofil mit der von dir festgelegten NameID eingeloggt.

Schau dir diesen Artikel an, wenn du die automatische Bereitstellung für Miro aktivieren möchtest.

Sieh dir bitte diesen Artikel an, falls du während der Konfiguration auf Probleme gestoßen bist.

 

Das Entra Testing Tool

Um zum Testing Tool zu gelangen, wähle in den Einstellungen deiner Anwendung die Registerkarte Single Sign-in und scrolle bis zum Ende des Abschnitts herunter.

Entra empfiehlt, den Testanmeldeprozess zu verwenden, um die Verbindung zu überprüfen und eine Fehlermeldung zu beheben. Nach dem Test erhältst du Anweisungen, wie du die Situation lösen kannst.

test_page.jpg
Testseite im Entra Portal/Konsole

Bitte beachte, mit welchen Anmeldeinformationen, die von Entra/ADFS verwaltet werden, dein Arbeitsplatz authentifiziert ist. Wenn du dich mit anderen Anmeldedaten bei Miro einloggen möchtest, kann der Anmeldeversuch fehlschlagen, da der Identity Provider deine Hauptanmeldedaten übermittelt und es zu einer Nichtübereinstimmung kommt. Das kann zum Beispiel passieren, wenn du der SSO-Admin bist und das Anmeldeverfahren mit anderen Nutzer-Anmeldedaten testest.

Alternativ kannst du auch in Miro testen

  1. Führe die obigen Schritte aus, um deine SSO-Einstellungen zu konfigurieren.
  2. Klicke auf die Schaltfläche SSO-Konfiguration testen.
  3. Überprüfe die Ergebnisse:
    1. Wenn keine Probleme gefunden werden, wird die Meldung SSO Konfigurationstest war erfolgreich angezeigt.
    2. Wenn Probleme gefunden werden, wird die Meldung SSO-Konfigurationstest fehlgeschlagen angezeigt, gefolgt von detaillierten Fehlermeldungen, die dir zeigen, was behoben werden muss.
    test-sso.pngSSO-Konfiguration von Miro testen

 

War dieser Artikel hilfreich?
Ja, danke Nicht wirklich
Das tut mir leid! Warum war der Artikel nicht hilfreich?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Zurück an den Anfang

Verwandte Beiträge