English (US) Español Français 日本語 한국어(대한민국) Polski (Polska) Português do Brasil

Beiträge in diesem Abschnitt

Einrichtung einer automatischen Bereitstellung mit Entra ID

  • Aktualisiert

Erhältlich für: Enterprise-Plan
Erforderliche Rolle: Unternehmensadministrator
 

⚠️ Der Leitfaden enthält Schritte zur Konfiguration des Features. Für verfügbare Funktionen, die Regeln, denen das Miro-SCIM folgt, sowie mögliche Probleme und deren Behebung, sieh bitte zuerst hier nach.
Die Miro-Dokumentation für Entwickler bezüglich SCIM findest du hier

Eine detaillierte Anleitung zur Bereitstellung für Kunden, die das flexible Lizenzmodell nutzen, findest du hier

Voraussetzungen

Die Miro-SCIM-API wird von SSO-Partnern für die Bereitstellung, Verwaltung von Nutzern und Teams (Gruppen) verwendet. SAML-basiertes SSO muss in deinem Miro Enterprise-Plan ordnungsgemäß eingerichtet und funktionell sein, bevor du mit der Konfiguration der automatisierten Bereitstellung beginnst. Die Anweisungen zur Einrichtung von SSO findest du hier

Deine Sicherheitsgruppen und Miro-Teams müssen bereits erstellt und auf die gleiche Weise benannt sein.

Bereitstellung einrichten

Sobald die App während der SSO-Konfiguration erstellt wurde, siehst du ihre Einstellungen:
Miro_app_settings.jpg
Miro-App-Einstellungen

  1. Wähle im linken Feld den Eintrag Provisioning und ändere dann den Provisioning-Modus von Manuell auf Automatisch:
  2. Gib die Admin-Anmeldeinformationen ein:
    a) Verwende https://miro.com/api/v1/scim/ als Tenant-URL.
    b) Gib das Geheimtoken ein. Du kannst es wie folgt aus dem SSO-Abschnitt deiner Miro-Einstellungen erhalten:
    c) Klicke auf die Schaltfläche Verbindung testen direkt unterhalb des Bearbeitungsfelds Geheimschlüssel.
    Wenn die Verbindung den Test besteht, erhältst du die folgende Benachrichtigung:
    mceclip0.png
    Benachrichtigung über erfolgreichen Verbindungstest
    Wenn du keine Bestätigung erhältst, überprüfe die Tenant URL noch einmal und stelle sicher, dass sie nicht von Firewalls oder anderen Datenverkehrskontrollsystemen in deinem Netzwerk blockiert wird und dass das API-Token korrekt ist.
  3. Speichere die Konfiguration:
    save_configuration.jpg
    Speichern der Konfiguration

Mappings

Die Miro SCIM API nutzt einen Teil der Metadaten, die Entra ID den Nutzern und Gruppen zuordnet. In diesem Abschnitt werden die erforderlichen Mappings zwischen Miro SCIM API und Entra ID-Attributen erläutert.

Nutzer

  1. Wähle auf der linken Seite den Provisioning-Reiter und klicke dann auf Synchronisieren von Entra Active Directory-Nutzern mit Miro:
    synchronize_users.jpg
    Aktivierung der Synchronisierung
  2. Standard-Mapping sollte voraussichtlich ausreichen. Vergewissere dich jedoch, dass die Synchronisierung für die Nutzer aktiviert ist und alle erforderlichen Methoden (Erstellen, Aktualisieren, Löschen) eingeschaltet sind:
    attribute_mapping.jpg
    Attribut-Mapping

Bitte beachte, dass Miro Entra-Nutzer nur anhand ihrer UPNs für den SP-initiierten Fluss erkennt.

Um eines der unterstützten Attribute hinzuzufügen, klicke auf die Option Erweiterte Optionen anzeigen und wähle Attributliste für Miro bearbeiten:

attribute_mappings.jpg
Erweiterte Optionen

Gib dann den Namen des Attributs ein, das du zuordnen möchtest, und speichere es. Eine vollständige Liste der unterstützten Attribute findest du in unserer SCIM-Dokumentation.

Miro_user_attrbutes.jpg
Miro-Nutzerattribute

Jetzt kannst du die Option Neues Mapping hinzufügen aufrufen und das neue Attribut auswählen, das wir gerade hinzugefügt haben:

edit_attribute.jpg

Bitte beachten Sie, dass Sie, um ein neues Attribut zuzuordnen, diese Option aktivieren müssen, indem Sie über die folgende URL auf Entra zugreifen:

https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true

Für weitere Informationen zum Hinzufügen neuer Attribute besuchen Sie bitte die Microsoft-Dokumentation hier und hier

⚠️ Das Attribut „ProfilePicture“ wird von Entra nicht unterstützt. Sie können die Entwicklung dieser Funktion fördern, indem Sie auf User Voice anfragen.

Gruppen

  1. Wähle den Bereitstellung Tab auf der linken Seite und klicke Entra Active Directory-Gruppen mit Miro synchronisieren.

  2. Voraussichtlich sollten die Standard-Abbildungen ausreichen. Überprüfe, dass die Synchronisierung für Gruppen aktiviert ist und deaktiviere die Methoden Erstellen und Löschen – beachte, dass die Miro SCIM API das Erstellen und Löschen von Teams nicht unterstützt.
     

    ⚠️ Wir empfehlen dringend, diese Methoden zu deaktivieren, um ungeplante Änderungen zu vermeiden, wenn wir beginnen, die Methoden zu unterstützen. 

    mceclip0.png

  3. Klicke auf Speichern.

Benutzer- und Gruppenzuweisungen

Die Miro-SCIM-Bereitstellung unterstützt dich bei der Bereitstellung und Aufhebung der Bereitstellung von Nutzern für dein Enterprise-Abo sowie dabei, sie automatisch auf Teams zu verteilen. 

Nutzer oder Gruppen aus Entra Active Directory müssen der Miro SCIM Provisioner App zugewiesen werden, um automatisch in Miro verwaltet zu werden. 

Um Nutzer und Gruppen der App zuzuordnen, gehe wie folgt vor.

  1. Wähle links den Bereitstellung Tab aus. Vergewissere dich im Abschnitt Einstellungen, dass der Geltungsbereich so eingestellt ist, wie du ihn mit Miro zu synchronisieren erwartest. Bitte wähle „Synchronisiere nur zugewiesene Nutzer und Gruppen“.
  2. Wähle im linken Feld die Tabs Nutzer und Gruppen und klicke dann auf Nutzer hinzufügen:
    user_and_groups.jpg
    Der Tab "Nutzer und Gruppen"
  3. Auf dem Bildschirm Zuweisung hinzufügen wähle im Tab Nutzer und Gruppen aus, dann wähle Nutzer und Gruppen aus der Liste. HINWEIS: Miro-SCIM-API erstellt keine neuen Teams in Miro. Die Liste der SCIM-Funktionen findest du hier.
  4. Klicke auf die Schaltflächen Auswählen und dann auf Zuweisen.
  5. Zugewiesene Nutzer und Gruppen erscheinen in der Liste.

✏️ Das Entfernen der Zuordnung für Gruppen in Entra ID entfernt keine Nutzer aus dem synchronisierten Team in Miro und deaktiviert sie nicht. Um Nutzer erfolgreich zu entfernen, trenne sie von allen Entra ID-Gruppen, die mit Miro verbunden sind:

Einen Nutzer downgraden

Um einen Nutzer downzugraden, gehe wie folgt vor:

  1. In Entra ID gehe wie folgt vor:
    1. Entferne den Nutzer aus der Gruppe, der die Vollversion-Rolle zugewiesen ist.
    2. Stelle sicher, dass der Nutzer Mitglied einer anderen Gruppe ist, der die Nutzer-Rolle zugewiesen ist.
  2. Aktualisiere in Miro dann seine Lizenz auf Kostenlos eingeschränkt.

⚠️ Wenn du einen Nutzer aus allen Entra ID-Gruppen entfernst, die der Miro-App zugewiesen sind, wird der Nutzer in Miro deaktiviert und verliert den Zugriff auf die Miro-App. Wenn der Nutzer, dessen Lizenz du downgraden willst, weiterhin mit einer Kostenlos eingeschränkt-Lizenz auf Miro zugreifen muss, dann stelle sicher, dass der Nutzer Mitglied einer Entra ID-Gruppe ist, der die Nutzer-Rolle zugewiesen ist.

✏️ Das Downgraden der Lizenz eines Nutzers von einem Voll zu Kostenlos eingeschränkt über SCIM Provisioning wird noch nicht unterstützt.

Aktivieren und Deaktivieren der Bereitstellung

Wenn die ursprüngliche Einrichtung abgeschlossen ist, wechsle den Umschalter für den Bereitstellungsstatus, um die Bereitstellung zu aktivieren.

  1. Wähle links den Bereitstellung-Tab aus.
  2. Klicke auf die Option Ein im Umschalter für den Bereitstellungsstatus.
    provisioning_status.jpg
    Bereitstellungsstatus
  3. Klicke auf Speichern. Damit beginnt die anfängliche Bereitstellung, die einige Zeit dauern kann. Kehre in etwa 20 Minuten zurück und überprüfe den Status unten auf der Seite.

Wähle bei Bedarf die Option Aus, um die Bereitstellung zu deaktivieren. Beachte, dass Entra die Daten in unregelmäßigen Abständen aktualisiert. Wenn du also eine dringende Aktualisierung benötigst, halte die Bereitstellung an und starte sie dann erneut. Die Resynchronisierung erfolgt sofort und schließt auch die Aktualisierungen mit ein.

Entkoppelung von Gruppen und Teams

Um SCIM zu aktivieren und deine Gruppen mit deinen Miro-Teams zu synchronisieren, müssen sie gleich benannt werden, da Miro die Synchronisierung auf der Grundlage des Namenswertes durchführt. Wenn du sie jedoch anders benennen möchtest, kannst du die Namen aller nach Abschluss der Synchronisierung ändern. Bitte sieh dir das nachfolgende Beispiel an.

Das geplante Ergebnis: In Entra gibt es eine Gruppe mit dem Namen sfo_hq_eng_support , während in Miro ein Team mit dem Namen Engineering Support existiert, und die Synchronisierung wird zwischen beiden durchgeführt.

Führe den Befehl curl aus, um alle Sicherheitsgruppen aufzulisten (vergiss nicht, die Platzhalter durch deine eigenen Werte zu ersetzen):

curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X GET https://miro.com/api/v1/scim/Groups

Beispielantwort:

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:ListResponse"
  ],
  "totalResults": 1,
  "Ressourcen": [
    {
      "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:Group"
      ],
      "id": "3074457345618261605",
      "displayName": "YourMiroTeamName",
      "members": [],
      "meta": {
        "resourceType": "Group",
        "location": https://miro.com/api/v1/scim/Groups/3074457345618261605
      }
    }
  ]
}

Zurzeit gibt es in Miro das Miro-Team namens Engineering Support und die Miro-Sicherheitsgruppe Engineering Support (mit der ID 3074457345618261605). Sie sind 1:1 zugeordnet.

Ziel ist es nun, den Namen der Sicherheitsgruppe Engineering Support in sfo_hq_eng_support zu ändern, während der Teamname unverändert bleibt. Um das zu erreichen, führe den Befehl curl aus:

curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605 \
-d '{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "Replace",
      "path": "displayName",
      "value": "YourSecurityGroupName"
    }
  ]
}'

Diese Änderung wird sofort auf der Miro Unternehmensteams-Seite angezeigt.

mceclip0.png

Entra führt die Synchronisierung im Hintergrund alle 40 Minuten durch. Bei der nächsten Synchronisierung sieht Entra die sfo_hq_eng_support-Sicherheitsgruppe in Miro und verknüpft sie automatisch mit der entsprechenden Gruppe in Entra.

Zu diesem Zeitpunkt hast du deine Sicherheitsgruppe mit einem deiner Miro-Teams verbunden und sie unterschiedlich benannt. 

Mögliche Probleme und wie man sie löst

Probleme bei der Änderung der Nutzer-E-Mails

Wenn du E-Mail-Adressen von Nutzern aktualisiert hast, die Änderung jedoch bei Miro nicht siehst, überprüfe, ob das erwartete Attribut aktualisiert wurde. Dieses Problem tritt normalerweise auf, wenn du emails[type eq "work"].

emails[type eq "work"] ist ein Standardattribut in Entra, also unterstützt Miro es - aber nur insofern, als es schreibgeschützt ist und dynamisch aus userName erstellt wird. 
Beim Lesen von Nutzern geben wir Folgendes zurück: 

mceclip1.pngDa emails[type eq "work"] auf unserer Seite schreibgeschützt ist, ignoriert Miro alle Versuche, es zu ändern. Dies liegt daran, dass eine Nutzer-E-Mail in Miro die primäre ID des Nutzers ist; daran erkennen wir die Nutzer, daher unterstützen wir keine zusätzlichen E-Mails. Aber die SCIM-Struktur erfordert ein E-Mail-Array, daher unterstützen wir dessen Existenz. 

Um E-Mail-Adressen der Nutzer zu ändern, muss die Aktualisierung für userName gesendet werden, nicht für emails[type eq "work"]

mceclip0.png

Fehler „Nutzer-Update fehlgeschlagen“

Die Entra-Logs zeigen den Status Failed an:

Statusgrund - "Nutzer konnte nicht aktualisiert werden: Attribut E-Mails hat keinen Mehrwert oder komplexen Wert"
ErrorCode - SystemForCrossDomainIdentityManagementServiceIncompatible

War dieser Artikel hilfreich?
Ja, danke Nicht wirklich
Das tut mir leid! Warum war der Artikel nicht hilfreich?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Zurück an den Anfang

Verwandte Beiträge