Inicio de sesión único (SSO)

La característica de inicio de sesión único (o SSO, por su sigla en inglés) basada en el estándar SAML les brindará a tus usuarios finales acceso a la aplicación de Miro a través del proveedor de identidad (IdP, por su sigla en inglés) que tú elijas. Miro también es compatible con el estándar SCIM con cualquier proveedor de identidad que elijas (tanto inicios de sesión vía SP como vía IDP). 

Disponible para: planes Enterprise, BusinessConfigurado por:
Administradores de la empresa

Reglas

Una vez que SSO esté habilitado para el plan, se aplicarán las siguientes reglas a los usuarios finales:

1. El proceso de SSO se aplica a los dominios corporativos que agregas a la configuración de SSO. TLos usuarios finales del plan (miembros, invitados) con los dominios corporativos deben iniciar sesión en Miro mediante la opción SSO con sus credenciales de proveedor de identidad.
   
   Los dominios en los ajustes SSO
   Otras opciones de autorización (los botones de inicio de sesión estándar inicio de sesión + contraseña, Google, Facebook, Slack y O365) están deshabilitados para ellos. 
   Esto también significa que puedes usar la misma configuración del proveedor de identidad con varias subscripciones de Miro, siempre y cuando las diferentes subscripciones tengan diferentes dominios. Sin embargo, solo podrás proveer vía SCIM a una sola subscripción Enterprise de Miro (ya que cada instancia Enterprise tiene un token único, pero tu configuración de SCIM solo aceptará una de ellas)
   

   ✏️ Los usuarios finales con otros dominios no necesitan usar SSO y deberían, en cambio, iniciar sesión utilizando los métodos estándar. Esta situación se da en el caso de los invitados, contratistas independientes, etc. que tienen acceso solo a ciertos tableros de la empresa y tal vez no tengan perfiles con tu proveedor de identidad. 

2. Si un usuario final es un miembro de cualquier equipo fuera de tu plan, deberá iniciar sesión a través de SSO tan pronto como la función esté habilitada. Sin embargo, podrán acceder a otros equipos. Si también quieres evitar que tus usuarios finales hagan eso, verifica la característica Control de dominio. 
3. A los usuarios finales no se les permite cambiar su contraseña, su nombre o su apellido en Miro (las imágenes de perfil también pueden incluirse en este rango). En cambio, estos datos los atribuye automáticamente tu proveedor de identidad cuando se inicia sesión correctamente.
   
   El nombre de usuario de Miro se actualiza después de cada autenticación de usuario exitosa si SAMLResponse contiene nuevos valores no vacíos. Para obtener más información sobre cómo configurar el nombre de usuario de Miro, consulta la Configuración opcional a continuación.
   

   ✏️ Sin embargo, si necesitas cambiar las direcciones de correo electrónico de los usuarios finales, puedes hacerlo solo vía SCIM.

   Si no usas SCIM, es necesario que realices el siguiente procedimiento: el cambio de dirección de correo electrónico debe hacerse primero del lado de Miro (consulta al equipo de Soporte para obtener asistencia) y luego del lado del proveedor de identidad, antes de que un usuario final intente usar sus nuevas credenciales para iniciar sesión en Miro. Nuestro sistema reconoce al usuario por su dirección de correo electrónico. Si no se notifica el cambio al sistema antes del siguiente inicio de sesión, se reconocerá a la persona como un usuario nuevo y se le registrará un perfil nuevo, en lugar de que se inicie sesión en su perfil existente.
4. Los usuarios que quieran iniciar sesión en las aplicaciones móviles, de escritorio o para tablets de Miro utilizando SSO, serán redirigidos automáticamente al navegador web para utilizar el SSO de la empresa. Cuando el SSO haya sido exitoso, se dirigirá automáticamente al usuario nuevamente a la aplicación nativa para que siga usando Miro.
5. Los usuarios de tu dominio que no sean miembros de tu plan no están sujetos al procedimiento SSO de tu plan. 

Configurar SSO

Configurar tu IdP

Puedes utilizar el proveedor de identidad que elijas. A continuación verás las indicaciones para las soluciones de plataforma de identidad más populares:

• OKTA 
• Azure AD de Microsoft
• OneLogin
• ADFS de Microsoft
• Auth0
• Google SSO

Aquí también encontrarás un artículo sobre cómo configurar Jumpcloud SSO (y SCIM). 

Primero, ve al panel de configuración de tu proveedor de identidad y sigue las instrucciones del proveedor para configurar el inicio de sesión único.

Luego, asegúrate de agregar los siguientes datos (sin embargo, dependiendo del proveedor de identidad, es posible que tengas que completar más o menos campos; te recomendamos que omitas los campos opcionales o que dejes todo con los valores predeterminados).

Especificaciones de configuración (metadatos)

• Protocolo: SAML 2.0
• Binding (vinculación):
       HTTP Redirect para SP a IdP
       HTTP Post para IdP a SP.
• Service URL (URL iniciada vía SP) (conocida como URL de inicio, URL de respuesta, URL de servicio SSO que proporciona acceso, URL de destino, URL de inicio de sesión SSO, Endpoint de proveedor de identidad, etc.): https://miro.com/sso/saml
• Assertion Consumer Service URL (URL de devolución de llamada permitida): https://miro.com/sso/saml
• Identifier (identificador) (ID de identidad, Identificador de veracidad del usuario de confianza): https://miro.com/
  
• Default Relay State (estado de transmisión predeterminado): debe quedar vacío en tu configuración
• Signing Requirement (Requisito de firma): 
      Una respuesta SAML no firmada con una Afirmación firmada
      Una respuesta SAML firmada con una Afirmación firmada
• SubjectConfirmation Method (Método de confirmación de sujeto): "urn:oasis:names:tc:SAML:2.0:cm:bearer"

La respuesta SAML del proveedor de identidad debe contener un Certificado x509 de clave pública emitido por el proveedor de identidad.

Aquí encontrarás ejemplos detallados.

⚠️ No se admite encriptación ni cierre de sesión único. 

Credenciales de usuario (Tipos de reclamos)

• Required Attribute (Atributo requerido) (conocido como SAML_Subject, Clave principal, Nombre de inicio de sesión, Formato de nombre de usuario de aplicación, etc.) - NameID (Identificador de nombre): equivale a la dirección de correo electrónico de un usuario (no confundir con EmailAddress que suele ser un atributo separado) - <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:email">

• Atributos opcionales que se enviarán con la afirmación (se actualiza con cada nueva autenticación vía SSO, se usa cuando está presente):

  • "DisplayName" (Nombre de visualización) o "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/displayname" (usar según preferencia);
  • “FirstName” (Nombre) o "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname";
  • “LastName” (Apellido) o "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname";
  • “ProfilePicture“ - (Imagen de perfil): la URL codificada de la imagen.

Una vez más, cualquier otra cosa se puede configurar con el valor predeterminado o no especificarse.

Puedes descargar aquí el archivo de metadatos de SP (XML).

Consulta aquí el esquema detallado de SSO y SCIM.

Habilitar SSO en Miro

Se recomienda enfáticamente probar el procedimiento de inicio de sesión en el modo incógnito del navegador. De esta manera, mantienes la sesión en la ventana estándar, lo que te permite desactivar la autorización de SSO en caso de que algo esté configurado de forma incorrecta. Si deseas configurar una instancia de prueba antes de activar SSO en producción, solicítalo a tu Account Executive o comunícate con el Equipo de soporte para recibir asistencia. Solo se agregará a esta instancia de prueba a quienes configuren SSO.

⚠️ Los admins de planes Business pueden encontrar la configuración de SSO en la pestaña Team settings (Ajustes de equipo) > Security (Seguridad). Para habilitar SSO en un plan Enterprise, ve a Company settings (Ajustes de empresa) > Enterprise integrations (Integraciones de Enterprise).

Especifica los siguientes valores:

1. URL de inicio de sesión de SAML (en la mayoría de los casos abre la página de tu proveedor de identidad donde tus usuarios finales deben ingresar sus credenciales)
2. Certificado x.509 de clave pública (emitido por tu proveedor de identidad)
3. La lista de dominios permitidos/requeridos a autenticar vía tu servidor SAML.

Configuración de SSO de Miro

Verifica tus dominios SSO

Configurado por: administradores de la empresa

Después de introducir un nombre de dominio, se te pedirá que lo verifiques. Introduce la dirección de correo electrónico del dominio añadido para demostrar que lo representas y el sistema enviará una carta de verificación al correo electrónico especificado. Ten en cuenta que un administrador de la empresa debe hacer clic en el enlace de verificación de la carta. Para finalizar, haz clic en el botón Guardar. Después de eso, tus usuarios finales del dominio verificado podrán comenzar a usar la autorización SSO.

Ventana emergente de verificación de dominio SSO

Los requisitos para una verificación exitosa son los siguientes:

• La persona que realiza la verificación (la inicia y/o la completa) debe ser un administrador de la empresa.
  Si eres un administrador de la empresa y deseas enviar la carta de verificación a la dirección de correo electrónico que pertenece a una persona que no es un administrador de la empresa, esa persona podría reenviarte el enlace de confirmación de la carta para que puedas completar el proceso.
• La dirección de correo electrónico utilizada debe ser real (y debe poder recibir correspondencia).
• No se admiten dominios públicos (p. ej., @gmail.com, @outlook.com, etc.).
• La característica SSO debe estar habilitada y no debe eliminarse el nombre de dominio del campo hasta que se haya completado la verificación (la carta de verificación llega en el transcurso de 15 minutos).

💡 Si administras muchos dominios y subdominios (los subdominios se reconocen como nombres separados y requieren una verificación separada), verifica al menos un nombre de dominio y envía una solicitud al Equipo de Soporte con una lista de los dominios (debe estar separada por comas) para que podamos confirmarlos de una vez para ti.

Hasta que el dominio se agregue a la lista y se lo verifique, los procesos SSO no se le aplican (si el campo no contiene ningún dominio confirmado, ningún usuario se ve afectado por SSO). Si no se verifica un dominio, verás una nota para Verificar el correo electrónico en la configuración.

Dominio no verificado en la configuración de SSO de Miro

Configuración opcional

La sección de configuración opcional la utilizan los usuarios avanzados que están familiarizados con la configuración de SSO. Para obtener más información, consulta la documentación sobre los estándares SAML2.0.

Provisión justo a tiempo para usuarios nuevos

Ayuda a tus usuarios finales a interactuar con Miro de inmediato, sin esperar a que alguien los invite o los haga pasar por el proceso de incorporación completo y evita que se creen equipos gratuitos y de prueba fuera de tu subscripción administrada.

⚠️ La característica JIT de Miro afecta automáticamente a todos los usuarios recientemente registrados. Los usuarios que ya tengan un perfil existente de Miro deberán recibir una invitación a tu plan, sin embargo, si habilitas la característica Team Discovery (Descubrimiento de equipos), el equipo que hayas establecido para JIT también aparecerá en la lista de equipos disponibles para unirse. 

A todos los usuarios provistos según la característica JIT se les asigna la licencia predeterminada de tu suscripción:

• Para todas las suscripciones a planes Business y Enterprise sin Programa de licencia flexible: una licencia completa. En el plan Enterprise, si tu suscripción se queda sin licencias, los usuarios empiezan a recibir una licencia gratuita restringida (se aplica solo al plan Enterprise). En el plan Business, si tu suscripción se queda sin licencias, no se capturan usuarios automáticamente y JIT deja de funcionar.
• Para las subscripciones Enterprise con Programa de licencias flexible activado: Licencia gratuita o gratuita limitada, según la licencia predeterminada.

Para habilitar la característica JIT de Miro abre la configuración de SSO > marca la casilla respectiva > y elige el equipo designado.

Habilita la característica de provisión Justo a tiempo en la página de integraciones de Enterprise.

Todos los usuarios recientemente registrados de los dominios que enumeres en la configuración se agregarán automáticamente bajo tu Cobertura Enterprise a este equipo en particular cuando se registren en Miro.

⚠️ En el plan Enterprise este equipo también aparecerá en la lista de equipos que se pueden descubrir si habilitas Descubrimiento de equipos.

Configurar el nombre de visualización como el nombre de usuario predeterminado

En Miro, el nombre de usuario está compuesto así:

• De forma predeterminada, Miro usará los atributos FirstName (nombre) y LastName (apellido).
• Alternativamente, puedes solicitar el uso de DisplayName (nombre para mostrar) En este caso, Miro usará DisplayName (nombre para mostrar) cuando esté presente en la solicitud SAML del usuario. Si DisplayName no está presente, pero FirstName (nombre) y LastName (apellido) sí, Miro usará FirstName (nombre) + LastName (apellido).
  Ponte en contacto con Soporte de Miro para hacer que DisplayName sea tu nombre de usuario SSO preferido
• Si ninguno de los tres atributos está presente en tu comunicación SAML, Miro mostrará la dirección de correo electrónico del usuario como nombre de usuario

Sincronizar imágenes del perfil de usuario desde el IdP

⚠️ Se recomienda habilitar esta opción si no habilitas SCIM o si lo haces, pero tu IdP no admite el atributo ProfilePicture (imagen de perfil) (por ejemplo, ProfilePicture no es compatible con Azure). En otros casos, se recomienda pasar ProfilePicture a través de SCIM con actualizaciones inmediatas. 

Cuando esta configuración está activada:

• La imagen de perfil establecida del lado del IdP será la imagen del perfil de Miro del usuario.
• Los usuarios no podrán actualizar ni eliminar su imagen de perfil por sí mismos.

⚠️ Al igual que con el nombre de usuario, los usuarios pierden la opción de cambiar sus datos del lado de Miro de inmediato, pero la sincronización de datos no es inmediata. El lado del IdP envía la actualización a Miro solo con la siguiente autenticación SSO del usuario, siempre que la configuración “Sincronizar las fotografías de perfil del usuario desde el IdP" todavía esté activa en ese momento.

Si la imagen del perfil está configurada en el IdP y deseas que el atributo se pase en la comunicación SAML, Miro esperará el siguiente esquema:

<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>

Cómo configurar MFA para usuarios fuera de SSO

Si te gustaría que los usuarios que no tengan tus dominios verificados por SSO y no estén obligados a usar SSO sigan un procedimiento de inicio de sesión más seguro, podrás obligarlos a usar MFA (próximamente).

Posibles dificultades y cómo resolverlas

1. La configuración de SSO no acepta las direcciones de mi dominio: mensaje "DomainName is busy" (El nombre de dominio está siendo utilizado
   ). Por razones de seguridad, admitimos los dominios de una organización solo sujetas a una empresa (subscripción Enterprise). Es posible que tus dominios ya estén siendo utilizados para otro plan Business o en un plan Enterprise, lo que te impide habilitar SSO con los dominios deseados. Consulta esto con tus compañeros antes.
   
   
2. Sigo el enlace en el correo electrónico de verificación de dominio, pero la verificación no se realiza.
   El enlace debería dirigirte a la página de integraciones de Enterprise. Si no te lleva allí, consulta si estás utilizando algún software anti-phishing que pueda interrumpir el flujo.
   
   
3. Necesitamos cambiar las direcciones de correo electrónico de nuestros usuarios finales / Hemos cambiado las direcciones de correo electrónico de nuestros usuarios y ahora no pueden acceder a sus tableros.
   Si tu empresa cambia su nombre de dominio y, por lo tanto, las direcciones de correo electrónico de los usuarios finales necesitan un cambio de credenciales de SSO, comunícate con nuestro Equipo de Soporte para recibir asistencia.
   
   
4. Nos gustaría usar una puerta de enlace separada (por ejemplo, MFA, como Duo Dag) para el procedimiento de SSO
   . Definitivamente puedes hacerlo, Miro admitirá tu solución preferida siempre que funcione con SAML 2.0.
   
   
5. Habilitamos SSO pero los datos de los perfiles de usuario (nombres, imágenes de perfil, si el IdP las admite) en Miro no se sincronizan con los del IdP.
   El nombre de usuario y la imagen de perfil se actualizan después de cada autenticación de usuario exitosa si SAMLResponse contiene nuevos valores no vacíos. Para obtener más información sobre cómo configurar el nombre de usuario de Miro, consulta Configuración opcional.

Si uno de tus usuarios o todos ellos experimentan un error al intentar iniciar sesión en Miro, consulta esta lista de errores comunes y cómo resolverlos.

Preguntas frecuentes

1. Cuando activo el SSO, ¿se cierra automáticamente la sesión de los usuarios y se los fuerza a iniciar sesión vía SSO?
   Los usuarios permanecerán conectados y podrán usar Miro. Si un usuario cierra sesión/la sesión expira/inicia sesión desde un dispositivo nuevo, tendrá que realizar la autorización vía SSO. Esto solo se aplica a los usuarios finales de tu plan Enterprise con dominios corporativos.
   
   

2. Si tengo habilitado JIT, ¿los usuarios registrados recientemente inician sesión vía SSO?
   Sí, se requiere SSO para la provisión JIT.
   
   

3. Si habilito el SSO, ¿los clientes/socios/usuarios podrán externos acceder a Miro de todos modos?
   - Sí. El SSO solo será obligatorio para usuarios que formen parte de tu subscripción Enterprise y tengan un dominio que figure en tu configuración de SSO. Si tus clientes, socios o usuarios externos tienen un dominio diferente (que no aparece en tu configuración de SSO), no se verán afectados por el SSO de tu plan.