SCIM (System for Cross-domain Identity Management) ist eine domainübergreifende Identitätsverwaltung und automatisiert das Nutzer-Provisioning und die Nutzerverwaltung über deinen Identitätsanbieter.
Erhältlich für: Enterprise-Preisplan
Einrichtung durch: Unternehmens-Admin
Wichtig zu wissen
- SAML-basiertes SSO muss in deinem Enterprise-Preisplan ordnungsgemäß eingerichtet und funktionell sein, bevor du mit der Konfiguration der automatisierten Bereitstellung beginnen kannst.
Siehe diese Anleitung zur Konfiguration von SAML SSO. -
Alle zugewiesenen Gruppen müssen in deinem Miro-Abo als Teams mit den gleichen Namen existieren, bevor du sie verknüpfen kannst.
Teams können über die Teams API erstellt und verwaltet werden.
Wenn du deine Gruppen und Teams anders benennen möchtest, kannst du eine oder beide nach der Synchronisierung umbenennen. -
Für die Änderung von E-Mail-Adressen in SCIM gelten die folgenden Validierungsregeln:
-
Managed User Check: Wenn die aktuelle Domain des Nutzers nicht von der Organisation beansprucht wird, die die SCIM-Anfrage initiiert, wird die E-Mail-Aktualisierung blockiert und ein 400-Fehler ausgegeben.
- Ziel E-Mail Domain Bestätigung: Wenn die Ziel-E-Mail-Domain von einer anderen Organisation als derjenigen beansprucht wird, die die SCIM-Anfrage gestellt hat, wird die E-Mail-Aktualisierung blockiert und ein 400-Fehler ausgegeben. Wenn die Ziel-E-Mail-Domain von der Organisation beansprucht wird, die die SCIM-Anfrage initiiert, wird die E-Mail-Aktualisierung zugelassen, ohne dass eine E-Mail-Bestätigung erforderlich ist. Audit-Protokolle melden die Aktualisierung in jeder Organisation an, in der der Nutzer Mitglied ist.
-
Domainsteuerung und SSO: E-Mail-Updates werden auf Basis der Domainsteuerung (IDC) oder Single Sign-on (SSO) bestätigt. Wenn die E-Mail Domain des Ziels von der Organisation, die die Aktualisierung veranlasst hat, per CD oder SSO bestätigt wurde, kann die Aktualisierung durchgeführt werden.
Ein Diagramm des SCIM-Workflows zur Validierung von E-Mail-Änderungen
-
- Wenn ein Nutzer Mitglied von zwei oder mehr Enterprise Konten ist, kannst du seinen Benutzernamen (E-Mail-Adresse) nicht aktualisieren: Dies dient dazu, Konflikte mit den festgelegten Richtlinien zur gemeinsamen Nutzung zu vermeiden.
Um den Nutzer zu aktualisieren, stelle sicher, dass er zuerst aus dem zweiten Konto entfernt wird. Wenn du Hilfe brauchst, wende dich an den Miro-Support.
Regeln, die Miro-SCIM zugrunde liegen
-
Die mit SCIM synchronisierten Änderungen werden in erster Linie auf neu zugewiesene Nutzer angewendet. Der Status derjenigen, die bereits unter deinem Abo sind, wird ergänzt, aber möglicherweise nicht überschrieben, da die Änderungen auf Gruppen-/Teamebene vorgenommen werden. Zum Beispiel:
a) Wenn ein Nutzer Mitglied von Team1 auf der Miro-Seite ist und dein Identitätsanbieter ein Update sendet, um ihn zu Team2 hinzuzufügen, bleibt sein Status in Team1 davon unberührt.
b) Wenn dein Identitätsanbieter eine Aktualisierung mit Änderungen an Nutzer1 sendet, sind die anderen Teammitglieder davon nicht betroffen. Wie unter Unterstützte Funktionen > Sync und Push-Gruppen erwähnt, kannst du den Teamstatus überschreiben und alle Nutzer auf einmal neu synchronisieren und einen neuen Push initiieren.
- Allen unter SCIM eingerichteten Nutzern wird die Standardlizenz deines Abos zugewiesen:
a) Bei Enterprise-Abos ohne flexibles Lizenzmodell: eine Volllizenz. Wenn in deinem Abo keine Lizenzen mehr vorhanden sind, erhalten die Nutzer eine kostenlose eingeschränkte Lizenz.
b) Bei Enterprise-Abos mit flexiblem Lizenzmodell: Kostenlose oder kostenlose eingeschränkte Lizenz, abhängig von der Standardlizenz für das Abo.
- Wenn du möchtest, dass einige Nutzer eine andere Lizenz als die Standardlizenz erhalten:
Wie oben beschrieben, erhalten alle Nutzer eine Standardlizenz. Du kannst jedoch alle oder einige von ihnen sofort aktualisieren, indem du das Attribut UserType mit dem Wert „Full“ verwendest. Nutzer, die mit dem Attribut aktualisiert wurden, werden unmittelbar auf die Volllizenz hochgestuft. - Alle unter SCIM eingerichteten Nutzer werden ebenfalls von der Funktion Domainsteuerung erfasst. Falls also ein Nutzer in deinem Identitätsanbieter nur einer Sicherheitsgruppe angehört, in deinen Einstellungen für die Domainsteuerung jedoch drei Teams als die vorgesehenen Teams definiert sind, wird dieser Nutzer auch zu diesen drei Teams hinzugefügt.
- Um den Dienst zu schützen, begrenzt Miro die Anzahl der verfügbaren API-Aufrufe alle 30 Sekunden:
Art der AnfrageLimit LevelGET scim/users
GET scim/users/{userId}
First Rate Limit Level 1
POST scim/users/{userId}
PUT scim/users/{userId}
PATCH scim/users/{userId}
DELETE scim/users/{userId}
Third Rate Limit Level 3 GET scim/Groups
PATCH scim/Groups/{groupId}
Fourth Rate Limit Level 4 GET scim/Groups/{groupId}
Third Rate Limit Level 4
Einzelheiten zu den Limit Level findest du hier. Wenn die Anzahl der Anfragen das Limit überschreitet, gibt Miro die Standardmeldung 429 Too many requests zurück.
Unterstützte Funktionen
Das detaillierte Miro SCIM-Schema findest du hier.
Miro unterstützt die folgenden Bereitstellungsfunktionen:
-
Neue Nutzer anlegen
Neue Nutzer, die der Miro-Anwendung im Identitätsanbieter zugewiesen sind, werden in deinem Miro Enterprise-Abo als Enterprise-Mitglieder angelegt. Nutzer, die zu einer Nutzergruppe hinzugefügt werden, die mit einem Miro-Team mit demselben Namen synchronisiert ist, werden dem Team als Teammitglieder hinzugefügt -
Aktualisierungen des Nutzerprofils pushen
Siehe unten für die unterstützten Attribute und Änderungen
-
Gruppen synchronisieren und pushen
Synchronisiere deine Identitätsanbieter-Gruppen und ihre Mitglieder mit den Teams innerhalb deines Miro Enterprise-Abos, um die Mitgliedschaft der Nutzer automatisch zu verwalten. Bei einer laufenden Synchronisierung werden bestimmte Aktualisierungen bezüglich der Nutzer deiner Gruppe an das synchronisierte Miro-Team gesendet. Bei einem Push dagegen wird der Status des Teams überschrieben, wobei die Gruppe als Quelle der Wahrheit behandelt wird (falls es manuelle Änderungen durch deine Unternehmens-Admins auf der Miro-Seite gab).
-
Gruppen-/Teamnamen entkoppeln
Miro synchronisiert Gruppen und Teams nach ihrem Namen, daher müssen sie exakt denselben Namen haben. Nach der ersten Synchronisierung kannst du jedoch einem oder sogar beiden einen Namen geben, der dir am besten passt. Ein Beispiel für eine Entkopplung findest du hier. -
Nutzer aus Gruppe/Team entfernen (nicht aus dem Enterprise-Abo, siehe unten)
Wenn du einen Nutzer aus einer Gruppe entfernst, wird er aus dem synchronisierten Miro-Team entfernt (beim nächsten Gruppen-Push). -
Nutzer deaktivieren
Das Deaktivieren/Löschen eines Nutzers oder das Deaktivieren des Zugriffs eines Nutzers auf die Anwendung im Identitätsanbieter deaktiviert den Nutzer in deinem Miro Enterprise-Preisplan. Je nach den Umständen kann die Deaktivierung eines Nutzers dazu führen, dass seine Inhalte den ältesten Team-Admins zugewiesen werden:
- Wenn du den Nutzer auf der Identitätsanbieter-Seite deaktivierst, ihn aber weiterhin der Miro-App zuordnest, wird seine Team-Mitgliedschaft auf der Miro-Seite nicht geändert und seine Inhalte werden nicht neu zugewiesen. Er wird einfach von einem aktiven in einen deaktivierten Status (bzw. in den entsprechenden Nutzerbereich) verschoben und verbraucht keine Lizenz mehr.
- Wenn du die Deaktivierung auslöst, indem du den Nutzer im Identitätsanbieter löschst oder ihn aus der Miro-Anwendung entfernst, während der Nutzer Mitglied einiger synchronisierter Teams ist, wird der Nutzer zusätzlich aus diesen Miro-Teams entfernt und seine Inhalte in den genannten Teams werden den ältesten Team-Admins neu zugewiesen.
- Wenn du die Deaktivierung auslöst, indem du den Nutzer im Identitätsanbieter löschst oder seine Zuweisung zur Miro-Anwendung aufhebst, wird die Team-Mitgliedschaft des Nutzers nicht geändert und seine Inhalte werden nicht neu zugewiesen, wenn er kein Mitglied eines synchronisierten Teams ist.
Das Entfernen eines Nutzers aus dem Enterprise-Abo wird standardmäßig nicht unterstützt . Du kannst die Funktion jedoch manuell über die API hinzufügen, um den Nutzer vollständig aus dem Abo zu entfernen, anstatt ihn auf den Status Deaktiviert zu setzen. In diesem Szenario werden die Inhalte den jeweiligen Teammitgliedern neu zugewiesen. Es ist nicht möglich, festzulegen, welche Admins das Eigentum an automatisch neu zugewiesenen Inhalten erhalten. Das kann aber eingestellt werden, wenn du einen Nutzer in den Miro-Einstellungen manuell deaktivierst.
-
Nutzer reaktivieren
Wenn du einen Nutzer wieder der Anwendung zuordnest oder sein Profil im Identitätsanbieter reaktivierst, wird er in deinem Miro Enterprise-Abo wieder aktiviert, wenn er zuvor bereitgestellt und deaktiviert wurde. -
Automatisierung der Zuordnung zu Abrechnungsgruppen
Mit SCIM kannst du neue Nutzer automatisch Abrechnungsgruppen zuordnen. Sobald dein Identitätsanbieter (IdP) eingerichtet ist, verknüpfst du deine Kostenstellen mit deinen Abrechnungsgruppen. Dadurch wird sichergestellt, dass jeder aktuelle und zukünftige Nutzer aus diesen Kostenstellen automatisch in die richtige Abrechnungskategorie einsortiert wird.
Du kannst Nutzer auch aus deinem Enterprise-Preisplan entfernen, indem du einen direkten API-Aufruf zum Löschen sendest – siehe die Dokumentation hier. Bitte beachte, dass nur direkte Aufrufe zur Löschung der Nutzer führen. Löschvorgänge, die von deiner Identitätslösung initiiert werden, werden als Anfrage zur Deaktivierung behandelt.
Unterstützte Attribute
⚠️ Bitte beachte Folgendes:
- E-Mail / Der primäre Parameter / Eindeutige Kennung / Benutzername) ist der einzige Wert, der von Miro benötigt wird, und muss in Form einer E-Mail-Adresse angegeben werden.
- Die Aktualisierung der E-Mail-Adresse ist nur für bereits synchronisierte Nutzer möglich. Mit anderen Worten: Die erste Synchronisierung muss erfolgen, wenn die E-Mail im Identitätsanbieter und in Miro die gleiche ist. Andernfalls erkennt Miro den Nutzer nicht und es wird ein dupliziertes Miro-Profil unter der neuen E-Mail erstellt.
- Die Aktualisierung der E-Mail-Adresse muss im Identitätsanbieter-Profil des Nutzers erfolgen, nicht in der Zuweisungsliste.
- Anders als bei anderen Attributen erhält der Nutzer bei der Aktualisierung seiner E-Mail-Adresse eine Benachrichtigung: Sowohl die alte als auch die neue E-Mail-Adresse erhalten eine Benachrichtigung, in der der Nutzer darüber informiert wird, dass er sich nun mit seiner neuen E-Mail-Adresse bei Miro anmelden soll.
Name des Attributs
|
SCIM-Attribut (Claim)
|
---|---|
|
Username. |
Die unten aufgeführten Attribute sind nicht erforderlich und werden von Miro akzeptiert, wenn sie vorhanden sind (andere an Miro gesendete Attribute werden ignoriert). | |
Full name |
displayName; formated; givenName + " " + familyName; userName |
User type |
userType |
Aktiv |
active |
Profile Picture |
photos.^[type=='photo'].value oder Muss eine Text-URL zum Bild sein. Unterstützte Dateitypen: jpg, jpeg, bmp, png, gif
|
User Role |
roles.^[primary==true].value (Okta) roles[primary eq "True"].value (Entra) Unterstützte Werte: |
Employee number |
employeeNumber |
Cost center |
costCenter |
Organization | organization |
Division | division |
Department | department |
Manager name |
manager.displayName |
Manager id |
manager.value Das Feld "Value" hat im SCIM-Standard den Typ String, aber managerId |
⚠️ Passwortänderungen werden nicht unterstützt und es gibt keine unmittelbaren Pläne, diese Änderung zu unterstützen.
⚠️ Username, UserType und roles.value können für deaktivierte Nutzer nicht aktualisiert werden.
Alle Attribute werden in der exportierten Nutzerliste (CSV-Format) angezeigt, die im Abschnitt Aktive Nutzer heruntergeladen werden kann.
Die Option, eine Liste der Nutzer herunterzuladen
Konfiguration von SCIM
Schritt 1: Aktiviere die SCIM-Option in Miro
Um SCIM für deinen Miro Enterprise-Preisplan zu aktivieren, gehe zu den Unternehmenseinstellungen > Enterprise-Integrationen und aktiviere die Funktion SCIM-Provisioning. Dort erhältst du die Basis-URL und das API-Token für die Konfiguration deines Identitätsanbieters.
SCIM in den Miro-Einstellungen
Schritt 2: Konfiguriere deinen Identitätsanbieter
Die Einrichtung hängt von dem Identitätsanbieter ab, den du verwendest. Miro-Support unterstützt vorkonfigurierte Okta- und Entra-IDs. Du kannst jedoch jeden Identitätsanbieter deiner Wahl verwenden, solange er die Einrichtung von SCIM erlaubt.
OKTA: Die Anleitung zur Einrichtung findest du hier.
Entra ID - siehe die Einrichtungsanleitung hier.
Neues Token generieren
1. Gehe zu Unternehmenseinstellungen > Enterprise-Integrationen.
2. Klicke im Abschnitt SCIM-Provisioning auf Neues Token generieren.
SCIM in den Miro-Einstellungen
2. Klicke im Fenster Neues SCIM-Token generieren auf Generieren.
3. Nachdem du ein neues Token erstellt hast, musst du das neue Token in deinem Identitätsanbieter konfigurieren.
Mögliche Probleme und ihre Lösung
1. Es erfolgt keine Nutzerbereitstellung aufgrund eines Fehlers in der Zulassungsliste.
Ein Beispiel für eine Fehlermeldung des Identitätsanbieters Okta
Vergewissere dich, dass die Domain-Adresse des Nutzers in den Sicherheitseinstellungen auf die Zulassungsliste gesetzt wurde.
2. Wenn du deine Nutzer mit einer Identitätslösung (IDP1) authentifizierst, SCIM aber über eine andere Lösung (IDP2) aktivieren möchtest, ist dies unter zwei Bedingungen möglich:
- IDP2 kann API-Aufrufe mit dem Bearer-Token durchführen.
- Beide Identitätsanbieter sind synchronisiert (d. h. SCIM-Nutzer sind auch im IDP1 vorhanden und können sich daher bei Miro authentifizieren).
Wenn du weitere Informationen hast, wende dich bitte an das Support-Team.