Das System für bereichsübergreifendes Identitätsmanagement (SCIM) ermöglicht es dir, die Nutzerbereitstellung und -verwaltung zwischen Miro und deinem Identitätsanbieter (IdP) zu automatisieren.
Verfügbar für: Enterprise Preisplan
Einrichtung durch: Unternehmens-Admins
Wichtig zu wissen
-
SAML-basiertes Single Sign-on (SSO) muss in deinem Enterprise-Preisplan ordnungsgemäß eingerichtet und funktionsfähig sein, bevor du mit der Konfiguration der automatisierten Bereitstellung beginnst.
Siehe den Leitfaden zur Konfiguration von SAML Single Sign-on (SSO). -
Das Synchronisieren von Gruppen deines Identitätsanbieters mit Miro-Teams ist optional.
Du kannst optional die Gruppen deines Identitätsanbieters mit Teams in Miro verknüpfen und synchronisieren. Du kannst Teams nicht über den Identitätsanbieter erstellen oder löschen. Teams kannst du über die Teams-API erstellen und verwalten. Weitere Informationen dazu, wie die SCIM-API dir ermöglicht, Gruppen deines Identitätsanbieters zu verwalten, findest du in der Miro Developer-Dokumentation. -
Änderungen der E-Mail-Adresse in SCIM unterliegen folgenden Validierungsregeln:
- Prüfung verwalteter Nutzer: Wenn die aktuelle Domain des Nutzers nicht von der Organisation beansprucht wird, die die SCIM-Anfrage stellt, wird die E-Mail-Adressänderung blockiert und ein 400-Fehler zurückgegeben.
- Überprüfung der Ziel-E-Mail-Domain: Wenn die Ziel-Domain von einer anderen Organisation beansprucht wird als von der Organisation, die die SCIM-Anfrage stellt, wird die E-Mail-Änderung blockiert und es wird ein 400-Fehler zurückgegeben. Wenn die Ziel-Domain von der Organisation beansprucht wird, die die SCIM-Anfrage stellt, ist die E-Mail-Änderung ohne Bestätigung der E-Mail-Adresse zulässig. Audit-Protokolle zeichnen die Änderung in jeder Organisation auf, in der der Nutzer Mitglied ist.
-
Domainsteuerung und Single Sign-on (SSO): E-Mail-Updates werden basierend auf der Domain-Verifizierung über Domainsteuerung (IDC) oder Single Sign-on (SSO) erlaubt. Wenn die Ziel-E-Mail-Domain von der initiierenden Organisation per CD oder SSO verifiziert wurde, kann das Update durchgeführt werden.
Ein Diagramm des Validierungs-Workflows für SCIM-E-Mail-Änderungen
Regeln, nach denen Miro SCIM arbeitet
- Die mit SCIM synchronisierten Änderungen werden in erster Linie auf neu zugewiesene Nutzer angewendet. Der Status derjenigen, die bereits in deinem Abo sind, wird ergänzt, aber möglicherweise nicht überschrieben, da die Änderungen auf Gruppen-/Teamebene angewendet werden. Zum Beispiel:
a) Wenn ein Nutzer auf der Miro-Seite Mitglied von Team1 ist und dein Identitätsanbieter ein Update sendet, um ihn zu Team2 hinzuzufügen, bleibt sein Status in Team1 davon unberührt.
b) Wenn dein Identitätsanbieter sendet ein Update, das Änderungen an Nutzer1 enthält, sind die anderen Teammitglieder nicht betroffen. Wie in Unterstützte Funktionen > Gruppen synchronisieren und pushen erwähnt, initiiere einen neuen Push, um den Teamstatus zu überschreiben und alle Nutzer auf einmal neu zu synchronisieren.
- Allen unter SCIM eingerichteten Nutzern wird die Standardlizenz deines Abos zugewiesen:
a) Bei Enterprise-Abos ohne flexibles Lizenzmodell: eine Volllizenz. Wenn in deinem Abo keine Lizenzen mehr vorhanden sind, erhalten die Nutzer eine kostenlose eingeschränkte Lizenz.
b) Bei Enterprise-Abos mit aktiviertem flexiblem Lizenzmodell: Free- oder kostenlose eingeschränkte Lizenz, je nach Standardlizenz des Abos.
- Wenn du möchtest, dass einige Nutzer eine andere Lizenz als die Standardlizenz erhalten:
Wie oben beschrieben, erhalten alle Nutzer eine Standardlizenz. Du kannst jedoch alle oder einige von ihnen sofort aktualisieren, indem du das Attribut UserType mit dem Wert „Full“ verwendest. Nutzer, die mit diesem Attribut aktualisiert wurden, werden ohne Ausfallzeiten für den Nutzer auf die Volllizenz hochgestuft. - Alle unter SCIM provisionierten Nutzer sind außerdem von der Domainsteuerung betroffen. Das bedeutet, dass, wenn ein Nutzer in deinem Identitätsanbieter nur Mitglied einer Sicherheitsgruppe ist, deine Einstellungen für die Domainsteuerung jedoch drei Teams als vorgesehen definieren, dieser Nutzer auch zu diesen drei Teams hinzugefügt wird.
-
Um den Dienst zu schützen, begrenzt Miro die Anzahl der verfügbaren API-Aufrufe alle 30 Sekunden:
Art der AnfrageLimit-LevelGET scim/users
GET scim/users/{userId}
1. Rate-Limit-Stufe POST scim/users/{userId}
PUT scim/users/{userId}
PATCH scim/users/{userId}
DELETE scim/users/{userId}
3. Rate-Limit-Stufe GET scim/Groups
PATCH scim/Groups/{groupId}
4. Rate-Limit-Stufe GET scim/Groups/{groupId}
3. Rate-Limit-Stufe
Details zu den Limitstufen findest du hier. Wenn die Anzahl der Anfragen das Limit überschreitet, gibt Miro den Standardfehler 429 Too many requests zurück.
Unterstützte Funktionen
Das detaillierte Miro-SCIM-Schema findest du hier.
Miro unterstützt die folgenden Bereitstellungsfunktionen:
-
Neue Nutzer erstellen
Neue Nutzer, die der Miro-Anwendung im Identitätsanbieter zugewiesen sind, werden in deinem Miro Enterprise-Abo als Enterprise-Mitglieder angelegt. Nutzer, die zu einer Gruppe des Identitätsanbieters hinzugefügt werden, die mit einem Miro-Team mit demselben Namen synchronisiert ist, werden dem Team als Teammitglieder hinzugefügt. -
Profil-Updates übermitteln
Die unterstützten Attribute und Änderungen findest du weiter unten.
-
Synchronisieren und pushen Identitätsanbieter-Gruppen
Synchronisiere deine Identitätsanbieter-Gruppen und ihre Mitglieder mit den Teams in deinem Miro Enterprise-Abo, um die Mitgliedschaften der Nutzer automatisch zu verwalten. Die fortlaufende Synchronisierung sendet bestimmte Aktualisierungen bezüglich der Nutzer deiner Identitätsanbieter-Gruppe an das synchronisierte Miro-Team, während ein Push den Status des Teams überschreibt und die Identitätsanbieter-Gruppe als Quelle der Wahrheit behandelt (falls es manuelle Änderungen durch deine Unternehmens-Admins auf der Miro-Seite gab).
-
Namen der Identitätsanbieter-Gruppe und des Miro-Teams entkoppeln
Miro synchronisiert Identitätsanbieter Gruppen und Miro-Teams nach dem Namen, daher müssen sie exakt denselben Namen haben. Nach der ersten Synchronisierung kannst du jedoch einem oder sogar beiden einen Namen geben, der dir am besten passt. Ein Beispiel für diese Entkoppelung siehst du hier -
Nutzer aus Identitätsanbieter-Gruppe/Miro-Team entfernen (nicht aus dem Enterprise-Abo, siehe unten)
Das Entfernen eines Nutzers aus einer Identitätsanbieter-Gruppe entfernt ihn aus dem synchronisierten Miro-Team (beim nächsten Gruppen-Push) -
Nutzer deaktivieren
Das Deaktivieren/Löschen eines Nutzers oder das Entziehen des Zugriffs eines Nutzers auf die App im Identitätsanbieter wird den Nutzer deaktivieren in deinem Miro Enterprise-Preisplan. Je nach den Umständen kann die Deaktivierung eines Nutzers seine Inhalte den ältesten Team-Admins neu zuweisen:
- wenn du den Nutzer im Identitätsanbieter ihn aber weiterhin der Miro-App zuordnest, wird seine Team-Mitgliedschaft aufseiten von Miro nicht geändert und seine Inhalte werden nicht neu zugewiesen - er wird einfach von einem Aktiv in einen Deaktiviert Zustand (und im Nutzerbereich entsprechend) verschoben und verbraucht keine Lizenz mehr.
- wenn du die Deaktivierung auslöst, indem du den Nutzer im Identitätsanbieter löschst oder ihm die Zuweisung zur Miro-App entziehst, und der Nutzer Mitglied einiger synchronisierter Teams ist, wird der Nutzer zusätzlich aus diesen Miro-Teams entfernt und seine Inhalte in den genannten Teams den ältesten Team-Admins neu zugewiesen.
- wenn du die Deaktivierung auslöst, indem du den Nutzer im Identitätsanbieter löschst oder ihm in der Miro-App die Zuweisung entziehst, wenn der Nutzer kein Mitglied eines synchronisierten Teams ist, wird die Teamzugehörigkeit des Nutzers nicht geändert und seine Inhalte werden nicht neu zugewiesen.
Das Entfernen eines Nutzers aus dem Enterprise-Abo wird standardmäßig nicht unterstützt.du kannst jedoch die Funktionalität manuell per API hinzufügen, um den Nutzer vollständig aus dem Abo zu entfernen, anstatt ihn auf den Deaktiviert-Status zu setzen. In diesem Szenario werden die Inhalte den jeweiligen Teammitgliedern neu zugewiesen. Es ist nicht möglich, festzulegen, welche Admins das Eigentum an automatisch neu zugewiesenen Inhalten erhalten. Das lässt sich jedoch festlegen, wenn du einen Nutzer manuell in den Miro-Einstellungen deaktivierst. -
Nutzer reaktivieren
Wenn du einen Nutzer wieder der App zuordnest oder sein Profil beim Identitätsanbieter, wird er in deinem Miro Enterprise-Abo wieder aktiviert, wenn er zuvor bereitgestellt und deaktiviert wurde. -
Automatisches Zuweisen zu Abrechnungsgruppen
Neue Nutzer per SCIM automatisch Abrechnungsgruppen zuweisen. Verknüpfe deine Kostenstellen mit deinen Abrechnungsgruppen, sobald dein Identitätsanbieter (IdP) eingerichtet ist. Dadurch wird sichergestellt, dass jeder aktuelle und zukünftige Nutzer aus diesen Kostenstellen automatisch in die richtige Abrechnungskategorie einsortiert wird.
Du kannst Nutzer in deinem Enterprise-Preisplan auch entfernen, indem du einen direkten Delete-API-Aufruf sendest – siehe die Dokumentation hier. Beachte, dass nur direkte Aufrufe die Nutzer entfernen. Delete-Ereignisse, die von deiner Identitätslösung initiiert werden, werden als Anfrage zur Deaktivierung behandelt.
Unterstützte Attribute
⚠️ Beachte, dass:
- E-Mail-Adresse / Der primäre Parameter / Eindeutige Kennung / Benutzername) ist der einzige Wert, der von Miro benötigt wird und muss in Form einer E-Mail-Adresse vorliegen.
- Die Aktualisierung der E-Mail-Adresse ist nur für bereits synchronisierte Nutzer möglich. Mit anderen Worten: Die erste Synchronisierung muss erfolgen, wenn ihre E-Mail-Adresse im Identitätsanbieter und in Miro gleich ist, andernfalls erkennt Miro den Nutzer nicht und es wird ein dupliziertes Miro-Profil unter der neuen E-Mail-Adresse erstellt.
- Die Aktualisierung der E-Mail-Adresse muss im Identitätsanbieter-Profil des Nutzers erfolgen, nicht in der Liste der Zuweisungen.
- Anders als bei anderen Attributen erhält der Nutzer bei der Aktualisierung seiner E-Mail-Adresse eine Benachrichtigung: sowohl die alte als auch die neue E-Mail-Adresse erhalten eine Nachricht, in der der Nutzer darüber informiert wird, dass er sich nun mit seiner neuen E-Mail-Adresse bei Miro anmelden soll.
Name des Attributs |
SCIM-Attribut (Claim) |
|---|---|
E-Mail-Adresse |
Benutzername. Muss vorhanden und im E-Mail-Format sein |
| Die unten aufgeführten Attribute sind nicht erforderlich und werden von Miro akzeptiert, wenn sie vorhanden sind (andere an Miro gesendete Attribute werden ignoriert). | |
Name und Vorname |
displayName; formatted; givenName + " " + familyName; userName |
Benutzertyp |
userType Unterstützter Wert: "Full" |
Aktiv |
active Unterstützter Wert: "true" oder "false" |
Profilbild |
photos.^[type=='photo'].value oder Muss eine Text-URL zum Bild sein. Unterstützte Dateitypen: jpg, jpeg, bmp, png, gif
|
Nutzerrolle |
roles.^[primary==true].value (Okta) roles[primary eq "True"].value (Entra) unterstützte Werte: |
Personalnummer |
employeeNumber |
Kostenstelle |
costCenter |
| Organisation | organization |
| Bereich | division |
| Abteilung | department |
Vorgesetztenname |
manager.displayName |
Vorgesetzten-ID |
manager.value Das Feld „value“ hat im SCIM-Standard den Typ „String“, aber das interne Miro-Feld managerId |
⚠️ Passwortänderungen werden nicht unterstützt und es gibt derzeit keine Pläne, dies zu ändern.
⚠️ Username, UserType und roles.value können für deaktivierte Nutzer nicht aktualisiert werden.
Alle Attribute werden in der exportierten CSV-Nutzerliste angezeigt, die du aus dem Bereich „Aktive Nutzer“ herunterladen kannst.
Die Option, eine Liste der Nutzer herunterzuladen
Konfiguration von SCIM
Schritt 1: SCIM-Option in Miro aktivieren
Um SCIM für deinen Miro Enterprise-Preisplan zu aktivieren, gehe zu den Unternehmenseinstellungen > Enterprise-Integrationen, aktiviere die Funktion SCIM Provisioning. Dort erhältst du die Base URL und den API-Token zur Konfiguration deines Identitätsanbieters.
Schritt 2: Konfiguriere deinen Identitätsanbieter
Die Einrichtung hängt vom Identitätsanbieter ab, den du verwendest. Miro bietet vorkonfigurierte Integrationen für Okta und Entra ID, du kannst aber jeden Identitätsanbieter verwenden, solange er SCIM unterstützt.
OKTA - siehe die Setup-Anleitung hier.
Entra ID - siehe die Setup-Anleitung hier.
Neues Token generieren
1. Gehe zu den Unternehmen Einstellungen > Enterprise-Integrationen.
2. Im SCIM-Provisioning-Abschnitt klicke auf Neues Token generieren.
2. Im Neues SCIM-Token generieren-Fenster klicke auf Generieren.
3. Nachdem du ein Token generiert hast, musst du es in deinem Identitätsanbieter konfigurieren.
Mögliche Probleme und wie du sie löst
1. Nutzer werden aufgrund eines Fehlers in der Zulassungsliste nicht bereitgestellt.
Bitte stelle sicher, dass die Domain des Nutzers in deiner Zulassungsliste in den Sicherheit-Einstellungen eingetragen ist.
2. Wenn du deine Nutzer mit einer Identitätslösung (IDP1) authentifizierst, SCIM aber über eine andere Lösung (IDP2) aktivieren möchtest, ist dies unter zwei Bedingungen möglich:
- IDP2 kann API-Aufrufe mit dem Bearer-Token durchführen.
- Beide Identitätsanbieter sind synchronisiert (d. h. SCIM-Nutzer sind auch im IDP1 vorhanden und können sich daher bei Miro authentifizieren).