Erhältlich für: Enterprise-Preisplan
Erforderliche Rolle: Unternehmens-Admin
⚠️ Der Leitfaden enthält Schritte zur Konfiguration der Funktion. Die verfügbaren Funktionen, die Regeln, denen Miro-SCIM folgt, sowie mögliche Probleme und deren Behebung findest du hier.
Die Miro-Entwicklerdokumentation für SCIM findest du hier.
Einen ausführlichen Leitfaden zur Bereitstellung für Kunden, die das flexible Lizenzmodell nutzen, gibt es hier.
Voraussetzungen
Die Miro-SCIM-API wird von SSO-Partnern für die Bereitstellung und Verwaltung von Nutzern und Teams (Gruppen) verwendet. SAML-basiertes SSO muss in deinem Miro Enterprise-Preisplan ordnungsgemäß eingerichtet und funktionell sein, bevor du mit der Konfiguration der automatisierten Bereitstellung beginnst. Die Anweisungen zur Einrichtung von SSO findest du hier.
Deine Sicherheitsgruppen und Miro-Teams müssen bereits erstellt und auf die gleiche Weise benannt sein.
Einrichten der Bereitstellung
Sobald die App während der SSO-Konfiguration erstellt wurde, siehst du ihre Einstellungen:
Einstellungen der Miro-App
- Wähle im linken Feld das Element Bereitstellung und ändere dann den Bereitstellungsmodus von Manuell auf Automatisch:
- Gib die Anmeldeinformationen für den Admin an:
a) Verwende https://miro.com/api/v1/scim/ als Tenant-URL
b) Gib den geheimen Token an. Du erhältst ihn über den SSO-Abschnitt deiner Miro-Einstellungen wie folgt:
c) Klicke auf die Schaltfläche Verbindung testen direkt unter dem Bearbeitungsfeld Geheimer Schlüssel.
Wenn die Verbindung den Test besteht, erhältst du die folgende Benachrichtigung:
Benachrichtigung über einen erfolgreichen Verbindungstest
Wenn du keine Bestätigung erhältst, überprüfe die Tenant-URL noch einmal und stelle sicher, dass sie nicht von Firewalls oder anderen Datenverkehrskontrollsystemen in deinem Netzwerk blockiert wird, und dass das API-Token korrekt ist. - Speichere die Konfiguration:
Speichern der Konfiguration
Zuordnung
Miro SCIM API nutzt einen Teil der Metadaten, die Entra ID den Nutzern und Gruppen zuordnet. In diesem Abschnitt werden die erforderlichen Mappings zwischen Miro SCIM API und Entra ID-Attributen erläutert.
Nutzer
- Wähle den Tab Provisioning auf der linken Seite und klicke dann auf Entra Active Directory-Nutzer mit Miro synchronisieren:
Aktivierung der Synchronisierung - Die standardmäßigen Zuordnungen sollten ausreichen. Vergewissere dich jedoch, dass die Synchronisierung für Nutzer aktiviert ist und alle erforderlichen Methoden (Erstellen, Aktualisieren, Löschen) eingeschaltet sind:
Zuordnung der Attribute
Bitte beachte, dass Miro Entra-Nutzer nur anhand ihrer UPNs für den SP-initiierten Fluss erkennt.
Um eines der unterstützten Attribute hinzuzufügen, klicke auf die Option Erweiterte Optionen anzeigen und wähle Attributliste für Miro bearbeiten aus:
Erweiterte Optionen
Gib dann den Namen des Attributs ein, das du zuordnen möchtest, und speichere es. Die vollständige Liste der unterstützten Attribute findest du in unserer SCIM-Dokumentation.
Miro-Nutzer-Attribute
Jetzt kannst du die Option Neue Zuordnung hinzufügen aufrufen und das neue Attribut auswählen, das wir gerade hinzugefügt haben:
Damit du ein neues Attribut zuordnen kannst, musst du diese Option aktivieren, indem du über die folgende URL auf Entra zugreifst:
https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true
Weitere Informationen zum Hinzufügen neuer Attribute findest du in der Microsoft-Dokumentation hier und hier.
⚠️ Das Attribut „ProfilePicture“ wird von Entra nicht unterstützt. Du kannst auf User Voice diese Funktion anfragen, um ihre Entwicklung zu fördern.
Gruppen
- Wähle den Tab Bereitstellung auf der linken Seite und klicke dann auf Entra Active Directory-Gruppen mit Miro synchronisieren.
-
Die standardmäßigen Zuordnungen sollten ausreichen. Versichere dich, dass die Synchronisierung für Gruppen aktiviert ist und deaktiviere die Methoden Erstellen und Löschen. Hinweis: Beachte, dass Miro SCIM API das Erstellen und Löschen von Teams nicht unterstützt.
⚠️ Wir empfehlen dringend, die Methoden zu deaktivieren, um ungeplante Änderungen zu vermeiden, wenn wir mit der Unterstützung der Methoden beginnen.
- Klicke auf Speichern.
Nutzer- und Gruppenzuweisungen
Die Miro-SCIM-Bereitstellung unterstützt dich bei der Bereitstellung und Aufhebung der Bereitstellung von Nutzern für dein Enterprise-Abo sowie dabei, sie automatisch auf Teams zu verteilen.
Nutzer oder Gruppen aus Entra Active Directory müssen der Miro SCIM Provisioner App zugewiesen werden, um automatisch in Miro verwaltet zu werden.
Um Nutzer und Gruppen der App zuzuordnen, gehe wie folgt vor.
- Wähle links den Tab Bereitstellung aus. Vergewissere dich im Abschnitt Einstellungen, dass der Umfang so eingestellt ist, wie er mit Miro synchronisiert werden soll. Bitte wähle Synchronisiere nur zugewiesene Nutzer und Gruppen.
- Wähle im linken Feld den Tab Nutzer und Gruppen und klicke dann auf Nutzer hinzufügen:
Der Tab „Nutzer und Gruppen“ - Auf dem Bildschirm Zuweisung hinzufügen gehst du zum Tab Nutzer und Gruppen und wählst dann Nutzer und Gruppen aus der Liste aus. HINWEIS: Miro SCIM API erstellt keine neuen Teams in Miro. Die Liste der SCIM-Funktionen findest du hier.
- Klicke auf Auswählen und dann auf Zuweisen.
- Zugewiesene Nutzer und Gruppen erscheinen in der Liste.
Die Lizenz eines Nutzers in Entra ID downgraden
Um die Lizenz eines Nutzers downzugraden, entferne ihn aus der Entra ID-Gruppe, der die App-Rolle Vollversion zugewiesen ist. Stelle dann sicher, dass der Nutzer Mitglied einer Gruppe ist, der die App-Rolle Nutzer zugewiesen ist. Aktualisiere in Miro dann seine Lizenz auf Kostenlos eingeschränkt.
⚠️ Wenn du einen Nutzer aus allen Entra ID-Gruppen entfernst, die der Miro-App zugewiesen sind, wird der Nutzer in Miro deaktiviert und verliert den Zugriff auf die Miro-App. Wenn der Nutzer, dessen Lizenz du downgraden willst, weiterhin mit einer kostenlosen eingeschränkten Lizenz auf Miro zugreifen muss, dann stelle sicher, dass der Nutzer Mitglied einer Entra ID-Gruppe ist, der die Rolle Nutzer zugewiesen ist.
✏️ Das Downgraden der Lizenz eines Nutzers von der Vollversion auf Kostenlos eingeschränkt über SCIM Provisioning wird noch nicht unterstützt.
Aktivieren und Deaktivieren der Bereitstellung
Wenn die ursprüngliche Einrichtung abgeschlossen ist, wechsle den Umschalter für den Bereitstellungsstatus, um die Bereitstellung zu aktivieren.
- Wähle links den Tab Bereitstellung aus.
- Klicke auf die Option Ein im Umschalter für den Bereitstellungsstatus.
Bereitstellungsstatus - Klicke auf Speichern. Damit beginnt die anfängliche Bereitstellung, die einige Zeit dauern kann. Kehre in etwa 20 Minuten zurück und überprüfe den Status unten auf der Seite.
Wähle bei Bedarf die Option Aus, um die Bereitstellung zu deaktivieren. Beachte, dass Entra die Daten in unregelmäßigen Abständen aktualisiert. Wenn du also eine dringende Aktualisierung benötigst, halte die Bereitstellung an und starte sie dann erneut. Die Resynchronisierung erfolgt sofort und schließt auch die Aktualisierungen mit ein.
Entkopplung von Gruppen und Teams
Um SCIM zu aktivieren und deine Gruppen mit deinen Miro-Teams zu synchronisieren, müssen sie gleich benannt werden, da Miro die Synchronisierung auf der Grundlage des Namenswertes durchführt. Wenn du sie jedoch anders benennen möchtest, kannst du die Namen aller nach Abschluss der Synchronisierung ändern. Hier ist ein Beispiel:
Das geplante Ergebnis: In Entra gibt es eine Gruppe mit dem Namen sfo_hq_eng_support, in Miro ein Team mit dem Namen Engineering-Support, und die Synchronisierung erfolgt zwischen den beiden.
Führe den Befehl curl aus, um alle Sicherheitsgruppen aufzulisten (vergiss nicht, die Platzhalter durch deine eigenen Werte zu ersetzen):
curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X GET https://miro.com/api/v1/scim/Groups
Beispielantwort:
{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:ListResponse"
],
"totalResults": 1,
"Resources": [
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:Group"
],
"id": "3074457345618261605",
"displayName": "YourMiroTeamName",
"members": [],
"meta": {
"resourceType": "Group",
"location": "https://miro.com/api/v1/scim/Groups/3074457345618261605"
}
}
]
}
Zurzeit gibt es in Miro das Miro-Team namens Engineering Support und die Miro-Sicherheitsgruppe Engineering Support (mit der ID 3074457345618261605). Sie sind 1 : 1 zugeordnet.
Ziel ist es nun, den Namen der Sicherheitsgruppe Engineering Support in sfo_hq_eng_support zu ändern, während der Teamname unverändert bleibt. Um das zu erreichen, führe den Befehl curl aus:
curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605 \
-d '{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op": "Replace",
"path": "displayName",
"value": "YourSecurityGroupName"
}
]
}'
Diese Änderung wird sofort auf der Seite der Miro-Unternehmensteams angezeigt.
Entra führt die Synchronisierung im Hintergrund alle 40 Minuten durch. Bei der nächsten Synchronisierung sieht Entra die Sicherheitsgruppe sfo_hq_eng_support in Miro und verknüpft sie automatisch mit der entsprechenden Gruppe in Entra.
Zu diesem Zeitpunkt hast du deine Sicherheitsgruppe mit einem deiner Miro-Teams verbunden und hast sie anders benannt.
Mögliche Probleme und wie man sie löst
Probleme bei der Änderung der Nutzer-E-Mails
Wenn du E-Mail-Adressen von Personen aktualisiert hast, die Änderung jedoch bei Miro nicht siehst, überprüfe, ob das erwartete Attribut aktualisiert wurde. Dieses Problem tritt normalerweise auf, wenn du emails[type eq "work"] verwendest.
emails[type eq "work"] ist ein Standardattribut in Entra, Miro-Support unterstützt es also – aber nur insofern, als es schreibgeschützt ist und dynamisch aus userName generiert wird.
Beim Lesen von Nutzern geben wir Folgendes zurück:
Da emails[type eq "work"] auf unserer Seite schreibgeschützt ist, ignoriert Miro alle Versuche, es zu ändern. Der Grund dafür ist, dass eine Nutzer-E-Mail in Miro die Haupt-ID des Nutzers ist – daran erkennen wir Nutzer. Somit unterstützen wir keine zusätzlichen E-Mail-Adressen. Die SCIM-Struktur erfordert jedoch ein E-Mail-Array, daher unterstützen wir dessen Existenz.
Um die E-Mail-Adressen der Nutzer zu ändern , muss die Aktualisierung für userName und nicht für emails[type eq "work"] gesendet werden .
Fehlschlagen des Nutzer-Updates
Die Entra-Logs zeigen den Status Failed an:
Status Reason - "Failed to update user: Attribute emails does not have a multi-valued or complex value"
ErrorCode - SystemForCrossDomainIdentityManagementServiceIncompatible