Das System für das bereichsübergreifende Identitätsmanagement, auch bekannt als SCIM, bietet eine automatisierte Bereitstellung und ein Benutzermanagement für Enterprise-Abos von Miro über deinen Identitätsanbieter (IdP).
Verfügbar für: Enterprise-Preisplan
Einrichtung durch: Firmen-Admins
Wichtig zu wissen
- SAML-basiertes SSO muss in deinem Enterprise-Preisplan ordnungsgemäß eingerichtet und funktionell sein, bevor du mit der Konfiguration der automatisierten Bereitstellung beginnen kannst.
Siehe dazu den Leitfaden zur Konfiguration von SAML SSO. Alle zugewiesenen Gruppen müssen in deinem Miro-Abo als Teams mit den gleichen Namen existieren, bevor du sie verknüpfen kannst.
Teams können mit Teams API erstellt und verwaltet werden.
Wenn du deine Gruppen und Teams anders benennen möchtest, kannst du eins oder beide nach der Synchronisation umbenennen.Das Ändern von Kennwörtern wird nicht unterstützt.
Es gibt keine unmittelbaren Pläne, diese Änderung zu unterstützen.- Wenn ein*e Nutzer*in Mitglied von zwei oder mehr Enterprise-Konten ist, kannst du seinen*ihren Benutzernamen (E-Mail-Adresse) nicht aktualisieren: Dies dient dazu, Konflikte mit den eingerichteten Freigaberichtlinien zu vermeiden.
Um den*die Nutzer*in zu aktualisieren, vergewissere dich, dass er*sie zuerst aus dem zweiten Konto entfernt wird. Wenn du Hilfe benötigst, wende dich an den Miro-Support.
Regeln, die Miro SCIM zugrunde liegen
- Die mit SCIM synchronisierten Änderungen werden in erster Linie auf neu zugewiesene Benutzer angewendet. Der Status derjenigen, die sich bereits in deinem Abonnement befinden, wird ergänzt, aber nicht überschrieben, da die Änderungen auf Gruppen-/Teamebene angewendet werden. Ein Beispiel:
a) wenn ein Benutzer ein Mitglied von Team1 bei Miro ist und dein IDP ein Update sendet, um ihn zu Team2 hinzuzufügen, bleibt sein Status in Team1 unberührt.
b) wenn dein IDP ein Update sendet, das Änderungen zu Benutzer1 enthält, sind die anderen Teammitglieder davon nicht betroffen. Wie in den Unterstützte Funktionen > Gruppen synchronisieren und pushen erwähnt, initiiere einen neuen Push, um den Teamstatus zu überschreiben und alle Nutzer*innen auf einmal neu zu synchronisieren. - Allen unter SCIM eingerichteten Benutzern wird die Standardlizenz deines Abonnements zugewiesen:
a) Für Enterprise-Abonnements ohne Flexibles Lizenzierungsprogramm: eine Volllizenz. Wenn dein Abo keine Lizenzen mehr hat, erhalten die Nutzer*innen eine eingeschränkte kostenlose Lizenz.
b) Für Enterprise-Abos mit einem aktivierten flexiblen Lizenzmodell: eine kostenlose Lizenz oder eine eingeschränkte kostenlose Lizenz, abhängig von der Standardlizenz des Abos.
- Wenn du einigen Nutzer*innen eine andere Lizenz als die Standardlizenz zur Verfügung stellen möchtest:
Wie oben erwähnt, erhalten alle Nutzer*innen die Standardlizenz. Du kannst jedoch alle oder einige davon sofort aktualisieren, indem du das Attribut UserType mit dem Wert Full verwendest. Benutzer, die mit dem Attribut aktualisiert wurden, erhalten eine Volllizenz, ohne dass es zu Verzögerungen auf der Benutzerseite kommt. - Alle unter SCIM eingerichteten Benutzer werden ebenfalls von der Funktion Domänen-Steuerung erfasst. Das bedeutet, dass ein Benutzer, der in deinem Identitätsanbieter nur Mitglied einer Sicherheitsgruppe ist, in deinen Domänensteuerungseinstellungen jedoch drei Teams als die vorgesehenen Teams definiert sind, auch zu diesen drei Teams hinzugefügt wird.
- Um den Dienst zu schützen, begrenzt Miro die Anzahl der verfügbaren API-Aufrufe alle 30 Sekunden:Art der AnfrageLimit Levels
GET scim/users
GET scim/users/{userId}
1. Rate Limit Level 1
POST scim/users/{userId}
PUT scim/users/{userId}
PATCH scim/users/{userId}
DELETE scim/users/{userId}
3. Rate Limit Level 3 GET scim/Groups
PATCH scim/Groups/{groupId}
4. Rate Limit Level 4 GET scim/Groups/{groupId}
3. Rate Limit Level 4
Details zu den Limit Levels findest du hier. Wenn die Anzahl der Anfragen das Limit übersteigt, schickt Miro die Standardmeldung 429 zu viele Anfragen zurück.
Unterstützte Funktionen
Das detaillierte Miro SCIM-Schema findest du hier.
Miro unterstützt die folgenden Bereitstellungsfunktionen:
- Neue Nutzer*innen erstellen
Neue Nutzer*innen, die der Miro-Anwendung über IdP zugewiesen werden, werden in deinem Enterprise-Abo bei Miro als Enterprise-Mitglieder hinzugefügt. Benutzer, die einer Benutzergruppe hinzugefügt werden, die mit einem Miro-Team mit demselben Namen synchronisiert ist, werden dem Team als Teammitglieder hinzugefügt - Aktualisierungen des Nutzerprofils übermitteln
Im Folgenden findest du die unterstützten Attribute und Änderungen. - Gruppen synchronisieren und pushen
Synchronisiere deine IDP-Gruppen und ihre Mitglieder mit den Teams in deinem Enterprise-Abo von Miro, um die Mitgliedschaft von Nutzer*innen automatisch zu verwalten. Laufende Synchronisierung sendet spezifische Aktualisierungen in Bezug auf die Benutzer deiner Gruppe an das synchronisierte Miro-Team, während ein Push den Status des Teams überschreibt, wobei die Gruppe als Quelle der Wahrheit behandelt wird (wenn es irgendwelche manuellen Änderungen durch deine Unternehmensadministratoren bei Miro gab) - Namen der Gruppe/des Teams entkoppeln
Miro synchronisiert Gruppen und Teams nach dem Namen, sodass sie den gleichen Namen haben müssen. Nach der ersten Synchronisierung kannst du jedoch einem oder sogar beiden einen Namen geben, der dir am besten passt. Ein Beispiel für eine Entkopplung findest du hier. - Entferne Nutzer*innen aus der Gruppe/dem Team (nicht aus dem Enterprise-Abo – siehe unten)
Das Entfernen von Nutzer*innen aus einer Gruppe entfernt sie aus dem synchronisierten Miro-Team (beim nächsten Gruppen-Push) - Nutzer*innen deaktivierenDas Deaktivieren/Löschen von Nutzer*innen oder das Deaktivieren des Zugriffs von Nutzer*innen auf die Anwendung in der IDP führt zur Deaktivierung der Nutzer*innen in deinem Enterprise-Abo bei Miro. Je nach den Umständen kann die Deaktivierung eines*einer Nutzer*in dazu führen, dass ihre*seine Inhalte den ältesten Team-Admins neu zugewiesen wird:
– wenn du die Nutzer*innen auf der IDP-Seite deaktivierst, sie aber der Miro-App zugewiesen lässt, wird ihre Team-Mitgliedschaft auf der Miro-Seite nicht geändert und ihre Inhalte werden nicht neu zugewiesen – sie werden einfach von einem aktiven in einen deaktivierten Zustand verschoben (bzw. in den Abschnitt über Nutzer*innen), und beanspruchen keine Lizenz mehr.
– wenn du die Deaktivierung auslöst, indem du den*die Nutzer*in im IDP löschst oder ihm*ihr die Zuweisung der Miro-App entziehst, während der*die Nutzer*in Mitglied einiger synchronisierter Teams ist, wird der*die Nutzer*in zusätzlich aus diesen Miro-Teams entfernt und ihre*seine Inhalte in den genannten Teams werden den ältesten Team-Admins zugewiesen.
– wenn du die Deaktivierung auslöst, indem du den*die Nutzer*in im IDP löschst oder ihm*ihr die Zuweisung der Miro-App entziehst, wenn der*die Nutzer*in kein Mitglied eines synchronisierten Teams ist, wird die Team-Mitgliedschaft des*der Nutzer*in nicht geändert und die Inhalte werden nicht neu zugewiesen.
Das Entfernen von Nutzer*innen aus dem Enterprise-Abo wird standardmäßig nicht unterstützt. Dennoch kannst du die Funktionalität mit der API manuell hinzufügen, um Nutzer*innen vollständig aus dem Abo zu entfernen, anstatt ihren Status auf deaktiviert zu setzen. In diesem Szenario wird der Inhalt den jeweiligen Team-Mitgliedern zugeteilt. Es kann nicht festgelegt werden, welche Admins die Eigentumsrechte an automatisch neu zugeteilten Inhalten erhalten. Dies kann jedoch eingestellt werden, wenn du Nutzer*innen in den Miro-Einstellungen manuell deaktivierst. - Personen reaktivieren
Die erneute Zuweisung von Personen zu der Anwendung oder die erneute Aktivierung des Nutzerprofils beim IdP reaktiviert sie in deinem Enterprise-Abo von Miro, wenn sie zuvor aktiv waren und deaktiviert wurden.
Du kannst Nutzer*innen auch aus dem Enterprise-Preisplan entfernen, indem du einen direkten API-Aufruf zum Löschen sendest – die entsprechenden Informationen dazu findest du hier. Hinweis: Nur direkte Aufrufe führen zur Löschung der Nutzer*innen. Ereignisse zu löschen, die von deiner Identitätslösung initiiert wurden, werden als eine Anfrage zur Deaktivierung behandelt.
Unterstützte Attribute
⚠️ Beachte, dass:
- E-Mail-Adresse / Der primäre Parameter / eindeutige Kennung / Benutzername) der einzige Wert ist, der von Miro benötigt wird und in Form einer E-Mail-Adresse vorliegen muss.
- Die Aktualisierung der E-Mail-Adresse ist nur für bereits synchronisierte Personen möglich. Mit anderen Worten, die erste Synchronisierung muss erfolgen, wenn ihre E-Mail-Adresse im IdP und Miro gleich ist, andernfalls erkennt Miro die Person nicht und es wird ein doppeltes Miro-Profil unter der neuen E-Mail-Adresse erstellt.
- Die E-Mail-Aktualisierung muss im IdP-Profil der Person erfolgen, nicht in der Zuweisungsliste.
- Im Gegensatz zu anderen Attributen wird bei der Aktualisierung der E-Mail-Adresse der Person eine Benachrichtigung gesendet: Es wird eine E-Mail sowohl an die alte als auch ab die neue E-Mail-Adresse gesendet, in dem die Person darüber informiert wird, dass sie sich jetzt mit ihrer neuen E-Mail-Adresse bei Miro anmelden kann.
Name des Attributs
|
SCIM-Attribut (Anspruch)
|
---|---|
Benutzername. |
|
Die unten aufgeführten Attribute sind nicht erforderlich und werden von Miro akzeptiert, wenn sie vorhanden sind (andere an Miro gesendete Attribute werden ignoriert). | |
Name und Vorname |
displayName; formated; givenName + " " + familyName; userName |
Benutzertyp |
userType |
Aktiv |
active |
Profilbild |
photos.^[type=='photo'].value oder Muss eine Text-URL zum Bild sein. Unterstützte Dateitypen: jpg, jpeg, bmp, png, gif
|
Nutzerrolle |
roles.^[primary==true].value (Okta) roles[primary eq "True"].value (Azure) unterstützte Werte: |
Mitarbeiternummer |
employeeNumber |
Kostenstelle |
costCenter |
Organisation | organization |
Bereich | division |
Abteilung | department |
Name des Managers |
manager.displayName |
ID des Managers |
manager.value Das Feld „Wert“ hat im SCIM-Standard den Typ „String“, aber das interne Miro-Feld managerId |
⚠️ Das Ändern von Kennwörtern wird nicht unterstützt und es gibt keine unmittelbaren Pläne, diese Änderung zu unterstützen.
⚠️ Der Benutzername, UserType und rollen.wert können für deaktivierte Nutzer*innen nicht aktualisiert werden.
Alle Attribute werden in der exportierten Nutzerliste (CSV-Format) angezeigt, die im Abschnitt Aktive Nutzer*innen heruntergeladen werden kann.
Die Option, eine Liste der Nutzer*innen herunterzuladen
Konfiguration von SCIM
Schritt 1: SCIM in Miro aktivieren
Um SCIM für deinen Enterprise-Plan bei Miro zu aktivieren, geh zu den Unternehmenseinstellungen > Enterprise-Integrationen und aktiviere die Funktion SCIM-Bereitstellung. Dort erhältst du die Basis-URL und den API-Token zur Konfiguration deines IdP.
SCIM in den Einstellungen von Miro
Schritt 2: Konfiguriere deinen Identitätsanbieter
Die Einrichtung hängt von dem von dir verwendeten Identitätsanbieter ab. Miro unterstützt vorkonfigurierte Okta und Azure AD. Du kannst jedoch jeden Identitätsanbieter deiner Wahl verwenden, solange er die Einrichtung von SCIM erlaubt.
OKTA – die Anleitung zur Einrichtung findest du hier.
Azure AD – die Anleitung zur Einrichtung findest du hier.
Mögliche Issues und wie man sie löst
1. Nutzer*innen erhalten aufgrund eines Fehlers in der Zulassungsliste keine Bereitstellung.
Ein Beispiel für eine Fehlermeldung vom Identitätsanbieter Okta
Bitte stellt sicher, dass die Domänenadresse des Benutzers zu eurer Zulassen-Liste 1---in den 2---Sicherheitseinstellungen2 hinzugefügt wurde.
2. Wenn du deine Endbenutzer mit einer Identitätsanbieterlösung (IDP1) authentifizierst, aber SCIM über eine andere (IDP2) aktivieren möchtest, ist dies unter zwei Bedingungen möglich:
- Die IDP2 kann API-Aufrufe mit dem Überbringer-Token durchführen.
- beide Identitätsanbieter sind synchronisiert (d. h. SCIM-Benutzer sind auch im IDP1 vorhanden und können sich daher bei Miro authentifizieren).
Wenn du weitere Informationen hast, wende dich bitte an das Support-Team.