Con el inicio de sesión único (SSO) basado en SAML, los usuarios pueden acceder a Miro a través de un proveedor de identidad (IdP) de su elección.
Disponible para: planes Business y Enterprise
Rol requerido: admin de empresa
Cómo funciona el SSO basado en SAML
- Cuando un usuario de Miro intenta iniciar sesión en Miro utilizando SSO, Miro envía una solicitud SAML (Lenguaje Marcado para Confirmaciones de Seguridad) al proveedor de identificación (IdP)
- El proveedor de identificación valida las credenciales del usuario y envía una respuesta a Miro para confirmar la identificación del miembro
- Miro reconoce la respuesta y otorga acceso, lo que permite al miembro iniciar sesión en su cuenta de Miro
¿Qué sucede cuando se habilita el SSO?
Habilitar el SSO por primera vez
La primera vez que configuras el SSO, los usuarios existentes pueden seguir trabajando en Miro sin interrupciones. Sin embargo, la próxima vez que cierren la sesión, que su sesión expire o intenten iniciar sesión desde un dispositivo nuevo, deberán iniciar sesión a través del SSO.
Las otras opciones de inicio de sesión quedarán deshabilitadas para los usuarios, incluyendo la opción estándar de nombre de usuario y contraseña y otras como Google, Facebook, Slack, AppleID y O365.
Tiempo de espera de sesión inactiva
Si habilitaste el Tiempo de espera de sesión inactiva, la sesión de los usuarios en su perfil de Miro se cerrará automáticamente y requerirá una nueva autorización vía SSO.
Múltiples equipos y organizaciones
Si los usuarios tienen varios equipos u organizaciones de Miro, puedes configurarlos para que usen el mismo proveedor de identificación (IdP) para la autenticación.
Quién debe iniciar sesión con SSO
El inicio de sesión con SSO será obligatorio los para usuarios activos que sean parte de tu suscripción Enterprise y tengan un dominio que figure en tu configuración de SSO.
-
Los usuarios que accedan a Miro desde dominios que no figuren en tu configuración no están obligados a iniciar sesión con SSO, sino que deben iniciar sesión usando los métodos estándar.
- Los usuarios de un dominio verificado, que no formen parte de tu suscripción a Miro Empresa, sólo tienen que iniciar sesión a través del inicio de sesión único (SSO) si está habilitado el aprovisionamiento justo a tiempo (JIT). Estos usuarios se añadirán automáticamente a un equipo preconfigurado y deberán utilizar SSO para iniciar sesión.
- Los usuarios gestionados que pertenezcan a un equipo Miro fuera de tu suscripción de Empresa deben seguir utilizando el inicio de sesión único (SSO) para la autenticación. Estos usuarios tendrán acceso a otros equipos. Para restringir el acceso a equipos concretos, actualiza la configuración de control de dominios.
Gestionar los detalles del usuario
Los datos del usuario se atribuyen por proveedor de identidad automáticamente en Miro luego del inicio de sesión exitoso. Algunos parámetros como el nombre y la contraseña no se pueden cambiar. Otros parámetros como la foto de perfil y el departamento son opcionales. /span>
- Los nombres de usuario en Miro se actualizan después de cada autenticación de usuario exitosa. Para obtener más información sobre cómo configurar los nombres de usuario de Miro, consulta la configuración avanzada de SSO. Si necesitas cambiar la dirección de correo electrónico de un usuario, puedes hacerlo solo a través de SCIM. Si no usas SCIM, comunícate con el equipo de Soporte.
de en la configuración SSO
Para evitar un bloqueo, crea un usuario para "romper el cristal" con un correo electrónico con un dominio que figure en la configuración de SSO, como acmebreaktheglass@gmail.com. De lo contrario, puedes comunicarte con el servicio de Soporte y este puede deshabilitar el SSO para toda la organización.
Configurar SSO
Proveedores de identificación (IdP)
Usa cualquier proveedor de identificación de tu elección. A continuación, se muestran las plataformas de proveedores de identificación más populares:
- OKTA
- Entra ID por Microsoft
- OneLogin
- ADFS de Microsoft
- Auth0
- Google SSO
- SSO de Jumpcloud
Cómo configurar tu IdP
💡 Si tu organización empresarial desea añadir varios proveedores de identidades (IdPs), inscríbete en nuestra beta privada.
1. 1. Ve al panel de configuración de tu proveedor de identidad y sigue las instrucciones del proveedor para configurar el inicio de sesión único.
2. 2. Añade los siguientes metadatos. Recomendamos omitir los campos opcionales y dejar los valores predeterminados tal como están.
Especificaciones (metadatos)
Protocolo | SAML 2.0 |
Enlace | Redirección HTTP del SP al IdP HTTP Post para IdP a SP |
La URL del servicio (URL iniciada por SP) También se conoce como URL de lanzamiento, URL de respuesta, URL de servicio de SSO de la relación de confianza, URL de destino, URL de inicio de sesión de SSO, punto final del proveedor de identificación, etc. |
https://miro.com/sso/saml |
URL del servicio de consumidor de aserciones También se conoce como URL de devolución de llamada permitida, URL de ACS personalizada, URL de respuesta |
https://miro.com/sso/saml |
ID de entidad También se conoce como identificador, identificador de relación de confianza de la parte |
https://miro.com/ |
Relé de estado predeterminado | Debe dejarse vacío en la configuración |
Requisito de firma |
Una respuesta SAML sin firmar con una aserción firmada
|
Método de SubejctConfirmation | "urn:oasis:names:tc:SAML:2.0:cm:bearer" |
La respuesta SAML del proveedor de identidad debe contener un Certificado x509 de clave pública emitido por el proveedor de identidad. Ver ejemplos detallados de SAML. Descarga el archivo de metadatos de Miro SP (XML). |
⚠️ No se admite el cifrado ni el cierre de sesión único.
Credenciales de usuario
No se requieren campos adicionales que no estén incluidos a continuación. Recomendamos omitir los campos opcionales y dejar los valores predeterminados tal como están.
Atributos de credenciales de usuario requeridos | |
NameID (es igual a la dirección de correo electrónico de un usuario) También se conoce como SAML_Subject, clave primaria, nombre de inicio de sesión, formato de nombre de usuario de la aplicación, etc. |
<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> |
Atributos opcionales que se enviarán con la aserción (se actualiza con cada nueva autenticación a través de SSO, se usa cuando está presente/disponible) |
mceclip0.png
|
Cómo habilitar el SSO en tu configuración de Miro
✏️ Habilitar el SSO en tu configuración no habilita inmediatamente el SSO para los usuarios. El inicio de sesión de SSO solo estará disponible después de que se hayan verificado tus dominios.
2. Activa la opción SSO/SAML
2. Activa la opción SSO/SAML
Cómo activar el SSO en tu configuración de Miro
Antes de habilitar el SSO, tienes que seleccionar un dominio verificado en la configuración de Control de dominios.
Tras activar la función SSO/SAML en la configuración del inicio de sesión único, rellena los siguientes campos:
- URL de inicio de sesión de SAML (en la mayoría de los casos abre la página de tu proveedor de identidad donde tus usuarios finales deben ingresar sus credenciales)
- Certificado x.509 de clave pública (emitido por tu proveedor de identidad)
- Todos los dominios y subdominios permitidos o requeridos (ACME.com o ACME.dev.com) para autenticarse a través de tu servidor SAML
de SSO de
Renovar tu certificado de SSO/SAML
Si tu certificado de clave pública x.509 caducó, el SSO seguirá funcionando, pero recomendamos enfáticamente renovarlo para seguir usando Miro de forma segura. Los certificados de clave pública x.509 garantizan la seguridad, la privacidad, la autenticidad y la integridad de la información compartida entre tu proveedor de identificación y Miro.
Estos certificados solo son válidos por un período de tiempo que se puede especificar (y verificar) con tu proveedor de identificación. Consulta con tu proveedor de identidad para verificar la fecha de caducidad.
Este proceso consta de dos pasos:
- Renovar el certificado con tu proveedor de identificación. Consulta sus instrucciones sobre cómo hacer lo anterior.
- Añadir el certificado renovado a tu configuración de SSO de Miro.
Añadir certificados renovados a Miro
⚠️ Recomendamos reemplazar tu certificado x.509 durante los períodos de menos actividad en tu organización (por ejemplo, el fin de semana o después del horario comercial) para evitar interrupciones durante el inicio de sesión.
- Ve a Configuración de empresa > Autenticación > Inicio de sesión único.
- Elimina el contenido dentro del campo Certificado de clave x.509.
- Pega la nueva clave dentro de este campo.
- Desplázate hacia abajo y haz clic en Guardar.
un certificado x.509 en Miro
Probar tu configuración SSO
Prueba tu configuración de SSO antes de habilitarla para reducir las posibilidades de que tus usuarios tengan problemas de inicio de sesión.
- Completa los pasos anteriores para configurar tus ajustes SSO.
- Haz clic en el botón Probar configuración SSO.
- Revisa los resultados:
- Si no se encuentra ningún problema, se mostrará un mensaje de confirmación de que la prueba de configuración SSO se ha realizado correctamente.
- Si se encuentran problemas, se mostrará un mensaje de confirmación Prueba de configuración SSO fallida, seguido de mensajes de error detallados para orientarte sobre lo que hay que arreglar.
la configuración del SSO
Configuración de SSO avanzada opcional
La sección de configuración opcional la utilizan los usuarios avanzados que están familiarizados con la configuración de SSO.
Provisión justo a tiempo para usuarios nuevos
Haz que sea más fácil para los usuarios comenzar a usar Miro de inmediato, sin tener que esperar una invitación o pasar por un proceso de incorporación demasiado extenso. Y asegúrate de que los equipos gratuitos no se creen fuera de tu suscripción gestionada (requiere control de dominio). Se requiere SSO para habilitar el aprovisionamiento justo a tiempo (JIT) de usuarios nuevos. A todos los usuarios provistos según la característica JIT se les asigna la licencia predeterminada de tu suscripción:
Tipo de suscripción | Tipo de licencia | Comportamiento cuando se agotan las licencias |
Plan Business | licencia con acceso completo | Los usuarios no se agregan automáticamente; la función JIT deja de funcionar. |
Plan Enterprise (sin el programa de licencia flexible) | licencia con acceso completo | Usuarios aprovisionados bajo licencia gratuita limitada |
Plan Enterprise (con el programa de licencia flexible activado) | Licencia gratuita o gratuita limitada | Depende de la configuración de licencia predeterminada |
Cómo habilitar el aprovisionamiento justo a tiempo
Cuando actives el aprovisionamiento justo a tiempo, se aplicará automáticamente a todos los usuarios nuevos que se registren en Miro. Sin embargo, los usuarios de Miro existentes seguirán necesitando una invitación para unirse a tu plan.
- Ve a la configuración de SSO
- Marca la casilla Añadir automáticamente a todos los usuarios recién registrados de los dominios que figuran en tu cuenta Enterprise
- Elige un equipo predeterminado para usuarios recién registrados en el menú desplegable
- Haz clic en Guardar
Cuando enumeres dominios específicos en tu configuración de inicio de sesión único (SSO), cualquier usuario que se registre con esos dominios se agregará automáticamente a tu suscripción Enterprise. Se asignarán al equipo que hayas seleccionado en tu configuración justo a tiempo (JIT).
Habilita la función de aprovisionamiento Justo a Tiempo en la página de integraciones de empresas
Todos los usuarios recientemente registrados de los dominios que enumeres en la configuración se agregarán de forma automática en tu cobertura Enterprise a este equipo en particular cuando se registren en Miro.
⚠️ En el plan Enterprise este equipo también aparecerá en la lista de equipos que se pueden descubrir si habilitas Descubrimiento de equipos.
Configurar el nombre de visualización como el nombre de usuario predeterminado
De forma predeterminada, Miro usará los atributos FirstName y LastName . Alternativamente, puedes solicitar el uso de DisplayName En este caso, Miro usará DisplayName cuando esté presente en la solicitud SAML del usuario.
Si DisplayName no está presente, pero FirstName y LastName sí, Miro usará FirstName + LastName. Ponte en contacto con el servicio de Soporte de Miro para hacer que DisplayName sea tu nombre de usuario SSO preferido.
Si ninguno de los tres atributos está presente en tu comunicación SAML, Miro mostrará la dirección de correo electrónico del usuario como nombre de usuario
Configurar | Nombre de usuario predeterminado |
Nombre de usuario de Miro | FirstName + LastName |
Configuración alternativa | DisplayName (si está presente en la solicitud SAML del usuario) |
Respaldo | FirstName + LastName (si DisplayName no está presente) |
Nombre de usuario SSO preferido | DisplayName (comunícate con el servicio de Soporte de Miro) |
No hay atributos presentes | La dirección de correo electrónico se muestra como Nombre de usuario |
Si ves algo diferente de lo esperado, es posible que debas autenticarte mediante SSO o que la respuesta SAML no contenga los valores necesarios para actualizar.
Sincronizar imágenes del perfil de usuario desde el IdP
⚠️ Por lo general, se recomienda habilitar esta opción si no habilitas SCIM o si tu IdP no es compatible con el atributo ProfilePicture (por ejemplo, ProfilePicture no es compatible con Azure). En otros casos, se recomienda pasar ProfilePicture a través de SCIM con actualizaciones inmediatas.
Cuando esta configuración está activada:
- La imagen de perfil establecida del lado del IdP será la imagen del perfil de Miro del usuario.
- Los usuarios no podrán actualizar ni eliminar su imagen de perfil por sí mismos.
⚠️ Al igual que con el atributo de nombre de usuario, los usuarios no podrán cambiar sus datos en Miro de inmediato, pero la sincronización de datos no es inmediata. Desde IdP se envía la actualización a Miro solo con la siguiente autenticación SSO del usuario, siempre que la configuración “Sincronizar las fotografías de perfil del usuario desde el IdP” todavía esté activa en ese momento.
Si la imagen del perfil está configurada en el IDP y deseas que el atributo se pase en la comunicación SAML, Miro esperará el siguiente esquema:
<saml2:Atributo Name="ImagenPerfil"NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:ValorAtributo
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Atributo>
SSO con residencia de datos
Si haces uso del Soporte de residencia de datos de Miro y tienes una URL específica (workspacedomain.miro.com), debes ajustar la configuración de tu proveedor de identidad de la siguiente manera:
Para hacerlo, deberás agregar tu [ORGANIZATION_ID] a la URL.
Puedes encontrar tu ORGANIZATION_ID del panel de Miro si haces clic en tu Perfil en la esquina superior derecha > Configuración > que se muestra en la URL de la barra de direcciones.
Valor estándar | Valor bajo residencia de datos | |
---|---|---|
URL del servicio de consumidor de aserciones (también conocida como URL de devolución de llamada permitida, URL ACS personalizada, URL de respuesta): | https://miro.com/sso/saml | https://workspace-domain.miro.com/ sso/saml/ID_ORGANIZACIÓN |
ID de entidad (identificador, identificador de la relación de confianza para usuario autentificado): https://miro.com/. | https://miro.com/ | https://workspace-domain.miro.com/ ID DE LA ORGANIZACIÓN |
Configurar la autenticación multifactor (2FA) para usuarios que no utilicen SSO
La autenticación de dos factores (2FA) proporciona una capa de seguridad adicional. Con 2FA, los usuarios deben completar un paso adicional durante el inicio de sesión para verificar su identificación. Esta medida adicional garantiza que sólo las personas autorizadas puedan acceder a tu suscripción.
Obtén más información en nuestra Guía de admins de autenticación de dos factores.
Posibles dificultades y cómo resolverlas
Si uno de tus usuarios o todos ellos experimentan un error al intentar iniciar sesión en Miro, consulta esta lista de errores comunes y cómo resolverlos.