Einrichtung einer automatisierten Bereitstellung mit Azure AD

Verfügbar im: Enterprise-Plan
Eingerichtet von: Unternehmens-Admins

⚠️ Der Leitfaden enthält Schritte zur Konfiguration der Bereitstellung für Miro-Enterprise-Konten. Die verfügbaren Funktionen, die Regeln, denen Miro-SCIM folgt, sowie mögliche Probleme und deren Behebung findest du hier.

Die Miro-Entwicklerdokumentation für SCIM findest du hier.

Einen ausführlichen Leitfaden zur Bereitstellung für Kund*innen, die das Programm für Gratislizenzen nutzen, gibt es hier. 

Voraussetzungen

Die Miro-SCIM-API wird von SSO-Partnern für die Bereitstellung und Verwaltung von Nutzer*innen und Teams (Gruppen) verwendet. SAML-basiertes SSO muss in deinem Miro-Enterprise-Konto ordnungsgemäß eingerichtet und funktionell sein, bevor du mit der Konfiguration der automatisierten Bereitstellung beginnst. Die Anweisungen zur Einrichtung von SSO findest du hier. 

Deine Sicherheitsgruppen und Miro-Teams müssen bereits erstellt und auf die gleiche Weise benannt sein.

Einrichten der Bereitstellung

Sobald die Anwendung während der SSO-Konfiguration erstellt wurde, werden ihre Einstellungen angezeigt:

Miro-Anwendungseinstellungen

1. Wähle auf der linken Seite das Element Bereitstellung und ändere dann den Bereitstellungsmodus von Manuell auf Automatisch:
2. Gib die Admin-Anmeldedaten an:
   a) Verwende https://miro.com/api/v1/scim/ als Mandanten-URL
   b) Gib das geheime Token an.  Dieses erhältst du aus dem SSO-Abschnitt deiner Miro-Einstellungen wie folgt:
   
   c) Klicke auf die Schaltfläche Verbindung testen direkt unter dem Bearbeitungsfeld Geheimer Schlüssel.
   Wenn die Verbindung den Test bestanden hat, erhältst du die folgende Benachrichtigung:
   
   Benachrichtigung über erfolgreichen Verbindungstest
   Wenn keine Bestätigung erfolgt, überprüfe die Mandanten-URL und stelle sicher, dass sie nicht von Firewalls oder anderen Verkehrsabfängern in deinem Netzwerk blockiert wird. Vergewissere dich auch, dass das API-Token korrekt ist.
3.  Speichere die Konfiguration:
   
   Speichern der Konfiguration

Mapping

Miro SCIM API nutzt einen Teil der Metadaten, die Azure AD Nutzer*innen und Gruppen zuordnet. Dieser Abschnitt erläutert das erforderliche Mapping zwischen Miro-SCIM-API und Azure AD-Attributen.

Nutzer*innen

1. Wähle auf der linken Seite die Registerkarte Bereitstellung und klicke dann auf Nutzer*innen von Azure-Active-Directory mit Miro synchronisieren:
   
   Aktivieren der Synchronisierung
2. Standard-Mapping sollte voraussichtlich ausreichen. Vergewissere dich jedoch, dass die Synchronisierung für die Nutzer*innen aktiviert ist und alle erforderlichen Methoden (Erstellen, Aktualisieren, Löschen) auf EIN stehen:
   
   Attribut-Mapping

Bitte beachte, dass Miro Azure-Nutzer*innen nur anhand ihrer UPNs für den SP-initiierten Fluss erkennt. 

Um eines der unterstützten Attribute hinzuzufügen, klicke auf die Option Erweiterte Optionen anzeigen und wähle Attributliste für Miro bearbeiten aus:

Erweiterte Optionen

Gib dann den Namen des Attributs ein, das du zuordnen möchtest, und speichere es. Eine vollständige Liste der unterstützten Attribute findest du in unserer SCIM-Dokumentation.

Miro-Nutzerattribute

Jetzt kannst du die Option Neues Mapping hinzufügen aufrufen und das neue Attribut auswählen, das wir gerade hinzugefügt haben:

Hinweis: Um ein neues Attribut zuordnen zu können, solltest du diese Option aktivieren, indem du Azure mit der folgenden URL aufrufst:

https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true

Weitere Informationen zum Hinzufügen neuer Attribute findest du in der Microsoft-Dokumentation hier und hier. 

⚠️ Das Attribut ProfilePicture wird von Azure nicht unterstützt. Du kannst diese Funktion anfordern, um ihre Entwicklung auf User Voice zu fördern.

Gruppen

1. Wähle auf der linken Seite die Registerkarte Bereitstellung und klicke dann auf Gruppen von Azure-Active-Directory mit Miro synchronisieren.
2. Standard-Mapping sollte voraussichtlich ausreichen. Versichere dich, dass die Synchronisierung für Gruppen aktiviert ist und deaktiviere die Methoden Erstellen und Löschen. Hinweis: Beachte, dass Miro-SCIM-API das Erstellen und Löschen von Teams nicht unterstützt.
   

   ⚠️ Wir empfehlen dringend, die Methoden zu deaktivieren, um ungeplante Änderungen zu vermeiden, wenn wir mit der Unterstützung der Methoden beginnen. 

   
3. Klicke auf Speichern.

Nutzer*in- und Gruppenzuweisungen

Die Miro-SCIM-Bereitstellung unterstützt dich bei der Bereitstellung und Aufhebung der Bereitstellung von Nutzer*innen für dein Enterprise-Konto sowie dabei, sie automatisch auf Teams zu verteilen. Nutzer*innen oder Gruppen aus Azure Active Directory sollten der Anwendung Miro SCIM Provisioner zugewiesen werden, damit sie automatisch in Miro verwaltet werden. Um Nutzer*innen und Gruppen der Anwendung zuzuordnen, befolge die folgenden Schritte.

Wir empfehlen die Bereitstellung von Nutzer*innen durch die Zuweisung von Gruppen. Wenn in diesem Fall ein*e Nutzer*in aus allen zugewiesenen Gruppen in Azure AD entfernt wird, wird derselbe*dieselbe Nutzer*in auch aus allen Teams in Miro entfernt (Hinweis: Er*sie bleibt weiterhin Mitglied des Enterprise-Kontos). Um eine*n Nutzer*in in deinem Enterprise-Konto zu deaktivieren, deaktiviere ihn*sie in Azure AD, wodurch eine entsprechende Anfrage an Miro gesendet wird. Um eine*n Nutzer*in aus Miro zu löschen, verwende die Seite Aktive Nutzer*innen in Miro.

1. Wähle auf der linken Seite die Registerkarte Bereitstellung aus. Vergewissere dich im Abschnitt Einstellungen, dass der Bereich so eingestellt ist, dass er mit Miro synchronisiert werden soll. Bitte wähle „Synchronisiere nur zugewiesene Nutzer*innen und Gruppen“.
2. Wähle im linken Bereich die Registerkarten Nutzer*innen und Gruppen. Klicke dann auf Nutzer*in hinzufügen:
   
   Registerkarte Nutzer*innen und Gruppen
3. Wähle auf dem Bildschirm Zuordnung hinzufügen die Registerkarte Nutzer*innen und Gruppen und wähle dann Nutzer*innen und Gruppen aus der Liste aus.  HINWEIS: Miro-SCIM-API erstellt keine neuen Teams in Miro. Die Liste der SCIM-Funktionen findest du hier. 
4. Klicke auf die Schaltflächen Auswählen und dann auf Zuweisen.
5. Zugewiesene Nutzer*innen und Gruppen erscheinen in der Liste.

Aktivieren und Deaktivieren der Bereitstellung

Wenn die ursprüngliche Einrichtung abgeschlossen ist, wechsle den Umschalter für den Bereitstellungsstatus, um die Bereitstellung zu aktivieren.

1. Wähle auf der linken Seite die Registerkarte Bereitstellung aus.
2. Klicke auf die Option Ein auf dem Umschalter für den Bereitstellungsstatus.
   
   Bereitstellungsstatus
3. Klicke auf Speichern. Damit beginnt die anfängliche Bereitstellung, die einige Zeit dauern kann. Kehre in etwa 20 Minuten zurück und überprüfe den Status unten auf der Seite.

Wähle bei Bedarf die Option Aus, um die Bereitstellung zu deaktivieren. Beachte, dass Azure die Daten in unregelmäßigen Abständen aktualisiert. Wenn du also eine dringende Aktualisierung benötigst, stoppe die Bereitstellung und starte sie dann erneut. Die Resynchronisierung erfolgt sofort und schließt auch die Aktualisierungen mit ein.

Entkopplung von Gruppen und Teams

Um SCIM zu aktivieren und deine Gruppen mit deinen Miro-Teams zu synchronisieren, müssen sie gleich benannt werden, da Miro die Synchronisierung auf der Grundlage des Namenswertes durchführt. Wenn du sie jedoch anders benennen möchtest, kannst du die Namen aller nach Abschluss der Synchronisierung ändern.  Bitte sieh dir das nachfolgende Beispiel an. 

Das geplante Ergebnis: In Azure gibt es eine Gruppe mit dem Namen sfo_hq_eng_support, während in Miro ein Team mit dem Namen Engineering Support existiert. Die Synchronisierung wird zwischen beiden durchgeführt.

Führe den Befehl curl aus, um alle Sicherheitsgruppen aufzulisten:

curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X GET http://miro.com/api/v1/scim/Groups 

Beispielantwort:

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:ListResponse"
  ],
  "totalResults": 1,
  "Resources": [
    {
      "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:Group"
      ],
      "id": "3074457345618261605",
      "displayName": "YourMiroTeamName",
      "members": [],
      "meta": {
        "resourceType": "Group",
        "location": "http://miro.com/api/v1/scim/Groups/3074457345618261605"
      }
    }
  ]
}

Zurzeit gibt es in Miro das Miro-Team namens Engineering Support und die Miro-Sicherheitsgruppe Engineering Support (mit der ID 3074457345618261605). Sie sind 1 : 1 zugeordnet.

Ziel ist es nun, den Namen der Sicherheitsgruppe Engineering Support in sfo_hq_eng_support zu ändern, während der Teamname unverändert bleibt. Um das zu erreichen, führe den Befehl curl aus:

curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X PATCH http://miro.com/api/v1/scim/Groups/3074457345618261605 \
-d '{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "Replace",
      "path": "displayName",
      "value": "YourSecurityGroupName"
    }
  ]
}'

Diese Änderung wird sofort auf der Seite der Miro-Unternehmensteams angezeigt.

Azure führt die Synchronisierung nach Plan alle 40 Minuten im Hintergrund aus. Bei der nächsten Synchronisierung sieht Azure die Sicherheitsgruppe sfo_hq_eng_support in Miro und verknüpft sie automatisch mit der entsprechenden Gruppe in Azure.

Zu diesem Zeitpunkt hast du deine Sicherheitsgruppe mit einem deiner Miro-Teams verbunden und hast sie anders benannt.