Con el inicio de sesión único (SSO) basado en SAML, los usuarios pueden acceder a Miro a través del proveedor de identificación (IdP) de su elección.
Disponible para: planes Enterprise y Business
Configurado por: admins de empresa
Cómo funciona el SSO basado en SAML
- Cuando un usuario de Miro intenta iniciar sesión en Miro utilizando SSO, Miro envía una solicitud SAML (Lenguaje Marcado para Confirmaciones de Seguridad) al proveedor de identificación (IdP)
- El proveedor de identificación valida las credenciales del usuario y envía una respuesta a Miro para confirmar la identificación del miembro
- Miro reconoce la respuesta y otorga acceso, lo que permite al miembro iniciar sesión en su cuenta de Miro
¿Qué sucede cuando se habilita el SSO?
Habilitar el SSO por primera vez
La primera vez que configuras el SSO, los usuarios existentes pueden seguir trabajando en Miro sin interrupciones. Sin embargo, la próxima vez que cierren la sesión, que su sesión expire o intenten iniciar sesión desde un dispositivo nuevo, deberán iniciar sesión a través del SSO.
Las otras opciones de inicio de sesión quedarán deshabilitadas para los usuarios, incluyendo la opción estándar de nombre de usuario y contraseña y otras como Google, Facebook, Slack, AppleID y O365.
Tiempo de espera de sesión inactiva
Si habilitaste el Tiempo de espera de sesión inactiva, la sesión de los usuarios en su perfil de Miro se cerrará automáticamente y requerirá una nueva autorización vía SSO.
Múltiples equipos y organizaciones
Si los usuarios tienen varios equipos u organizaciones de Miro, puedes configurarlos para que usen el mismo proveedor de identificación (IdP) para la autenticación.
Quiénes deberán iniciar sesión con SSO y quiénes no
El inicio de sesión con SSO será obligatorio los para usuarios activos que sean parte de tu suscripción Enterprise y tengan un dominio que figure en tu configuración de SSO.
- Los usuarios que accedan a Miro desde dominios que no figuren en tu configuración no están obligados a iniciar sesión con SSO, sino que deben iniciar sesión usando los métodos estándar.
-
Los usuarios de un dominio verificado que no sean miembros de tu suscripción de Enterprise, no necesitan iniciar sesión a través de SSO.
⚠️ Si un usuario es miembro de un equipo de Miro que esté fuera de tu suscripción Enterprise, igual debe iniciar sesión a través de SSO. Sin embargo, podrán acceder a otros equipos. Si quieres evitar el acceso a otros equipos, te recomendamos Control de dominio.
Gestionar los detalles del usuario
Los datos del usuario se atribuyen por proveedor de identidad automáticamente en Miro luego del inicio de sesión exitoso. Algunos parámetros como el nombre y la contraseña no se pueden cambiar. Otros parámetros como la foto de perfil y el departamento son opcionales.
- Los nombres de usuario en Miro se actualizan después de cada autenticación de usuario exitosa. Para obtener más información sobre cómo configurar los nombres de usuario de Miro, consulta la configuración avanzada de SSO. Si necesitas cambiar la dirección de correo electrónico de un usuario, puedes hacerlo solo a través de SCIM. Si no usas SCIM, comunícate con el equipo de Soporte.
Dominios en la configuración de SSO
💡 Para evitar un bloqueo, crea un "usuario de emergencia" con un correo electrónico con un dominio que figure en la configuración de SSO, como acmebreaktheglass@gmail.com. De lo contrario, puedes comunicarte con el servicio de Soporte y este puede deshabilitar el SSO para toda la organización.
Configurar SSO
Proveedores de identificación (IdP)
Usa cualquier proveedor de identificación de tu elección. A continuación, se muestran las plataformas de proveedores de identificación más populares:
- OKTA
- Azure AD de Microsoft
- OneLogin
- ADFS de Microsoft
- Auth0
- SSO de Google
- SSO de Jumpcloud
Cómo configurar tu IdP
1. Ve al panel de configuración de tu proveedor de identidad y sigue las instrucciones del proveedor para configurar el inicio de sesión único.
2. Añade los siguientes metadatos. Recomendamos omitir los campos opcionales y dejar los valores predeterminados tal como están.
Especificaciones (metadatos)
| Protocolo | SAML 2.0 |
| Vinculación | HTTP redirigir para SP a Id P HTTP publicación para IdP a SP |
|
La URL del servicio (URL iniciada por SP) También se conoce como URL de lanzamiento, URL de respuesta, URL de servicio de SSO de la relación de confianza, URL de destino, URL de inicio de sesión de SSO, punto final del proveedor de identificación, etc. |
https://miro.com/sso/saml |
|
URL del servicio de consumidor de aserciones También se conoce como URL de devolución de llamada permitida, URL de ACS personalizada, URL de respuesta |
https://miro.com/sso/saml |
|
ID de entidad También se conoce como identificador, identificador de relación de confianza de la parte |
https://miro.com/ |
| Relé de estado predeterminado | Debe dejarse vacío en la configuración |
| Requisito de firma |
Una respuesta SAML sin firmar con una aserción firmada
|
| Método de SubejctConfirmation | "urn:oasis:names:tc:SAML:2.0:cm:bearer" |
|
La respuesta SAML del proveedor de identidad debe contener un Certificado x509 de clave pública emitido por el proveedor de identidad. Ver ejemplos detallados de SAML. Descarga el archivo de metadatos de Miro SP (XML). |
|
⚠️ No se admite el cifrado ni el cierre de sesión único.
Credenciales de usuario
No se requieren campos adicionales que no estén incluidos a continuación. Recomendamos omitir los campos opcionales y dejar los valores predeterminados tal como están.
| Atributos de credenciales de usuario requeridos | |
|
NameID (es igual a la dirección de correo electrónico de un usuario) También se conoce como SAML_Subject, clave primaria, nombre de inicio de sesión, formato de nombre de usuario de la aplicación, etc. |
<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:email">
(No confundir con el atributo "EmailAddress", que generalmente es un atributo separado) |
|
Atributos opcionales que se enviarán con la aserción (se actualiza con cada nueva autenticación a través de SSO, se usa cuando está presente/disponible) |
|
Cómo habilitar el SSO en tu configuración de Miro
✏️ Habilitar el SSO en tu configuración no habilita inmediatamente el SSO para los usuarios. El inicio de sesión de SSO solo estará disponible después de que se hayan verificado tus dominios.
2. Activa la opción SSO/SAML
2. Activa la opción SSO/SAML
⚠️ Recomendamos encarecidamente trabajar con dos ventanas abiertas: prueba el procedimiento de inicio de sesión en modo de incógnito mientras mantienes la configuración abierta en la ventana estándar del navegador. De esta manera, puedes desactivar fácilmente la autorización de SSO en caso de que algo se configure incorrectamente. Si quieres configurar una instancia de prueba antes de habilitar el SSO en la producción, comunícate con el equipo de Soporte para obtener asistencia.
Cómo activar el SSO en tu configuración de Miro
Después de activar la función de SSO/SAML en la configuración de inicio de sesión único, completa los siguientes campos:
- URL de inicio de sesión de SAML (en la mayoría de los casos abre la página de tu proveedor de identidad donde tus usuarios finales deben ingresar sus credenciales)
- Certificado x.509 de clave pública (emitido por tu proveedor de identidad)
- Todos los dominios y subdominios permitidos o requeridos (ACME.com o ACME.dev.com) para autenticarse a través de tu servidor SAML
Configuración de SSO de Miro
Renovar tu certificado de SSO/SAML
Si tu certificado de clave pública x.509 caducó, el SSO seguirá funcionando, pero recomendamos enfáticamente renovarlo para seguir usando Miro de forma segura. Los certificados de clave pública x.509 garantizan la seguridad, la privacidad, la autenticidad y la integridad de la información compartida entre tu proveedor de identificación y Miro.
Estos certificados solo son válidos por un período de tiempo que se puede especificar (y verificar) con tu proveedor de identificación. Consulta con tu proveedor de identificación para verificar la fecha de vencimiento.
Este proceso consta de dos pasos:
- Renovar el certificado con tu proveedor de identificación. Consulta sus instrucciones sobre cómo hacer lo anterior.
- Añadir el certificado renovado a tu configuración de SSO de Miro.
Añadir certificados renovados a Miro
⚠️ Recomendamos reemplazar tu certificado x.509 durante los períodos de menos actividad en tu organización (por ejemplo, el fin de semana o después del horario comercial) para evitar interrupciones durante el inicio de sesión.
- Ve a Configuración de empresa > Autenticación > Inicio de sesión único.
- Elimina el contenido dentro del campo Certificado de clave x.509.
- Pega la nueva clave dentro de este campo.
- Desplázate hacia abajo y haz clic en Guardar
.Renovar un certificado x.509 en Miro
Verifica tus dominios SSO
Configurado por: admins de empresa
💡 Los dominios ya verificados a través de Control de dominio no necesitan verificarse nuevamente.
Luego de que ingreses un nombre de dominio, se te pedirá que lo verifiques. El SSO no estará disponible para tus usuarios hasta que el dominio se agregue a la lista de dominios en la configuración de SSO y se verifique. Si no se verifica un dominio, verás una nota para VERIFICAR EL CORREO ELECTRÓNICO en la configuración de SSO.
Dominio no verificado en la configuración de SSO de Miro
Requisitos para la verificación de dominio exitosa
- La persona que realiza la verificación debe ser admin de empresa. Si eres admin de empresa y quieres enviar el correo electrónico de verificación a alguien que no lo es, esa persona puede reenviarte el correo electrónico de verificación con el enlace de confirmación para que completes el proceso.
- El correo electrónico utilizado debe ser real (es decir, apto para recibir el correo de verificación).
- No se admiten dominios públicos (p. ej., @gmail.com, @outlook.com, etc.).
- La función de SSO debe estar activada y el nombre de dominio debe agregarse a la configuración de SSO.
Cómo verificar tus dominios
- Después de agregar un dominio, se abrirá una ventana emergente pidiéndote que ingreses un correo electrónico para verificar el dominio. Ingresa la dirección de correo electrónico usando el mismo dominio que agregaste en tu configuración de SSO para demostrar que representas ese dominio
- Haz clic en Enviar verificación
- Recibirás el correo electrónico de verificación a más tardar en 15 minutos
- Deberás hacer clic en el enlace de verificación en el correo electrónico. Para completar este paso, debes ser admin de empresa
- Para terminar, haz clic en el botón Guardar
- Los usuarios del dominio verificado ahora pueden iniciar sesión con SSO
Ventana emergente de verificación de dominio SSO
💡 Si administras varios dominios y subdominios (los subdominios se reconocen como nombres separados y requieren una verificación separada), verifica al menos un nombre de dominio y envía una solicitud al equipo de Soporte con una lista de los dominios (debe estar separada por comas) para que podamos confirmarlos de una vez por ti. Si tienes más de 10 dominios, Miro los verificará por ti. Las organizaciones con menos de 10 dominios deben verificarse. Solo se pueden verificar 3 dominios por organización en el plan Business.
Configuración de SSO avanzada opcional
Los usuarios avanzados que están familiarizados con la configuración de SSO utilizan la sección de configuración opcional.
Provisión justo a tiempo para usuarios nuevos
Haz que sea más fácil para los usuarios comenzar a usar Miro de inmediato, sin tener que esperar una invitación o pasar por un proceso de incorporación demasiado extenso. Y asegúrate de que los equipos gratuitos no se creen fuera de tu suscripción gestionada (requiere control de dominio). Se requiere SSO para habilitar el aprovisionamiento justo a tiempo (JIT) de usuarios nuevos. A todos los usuarios provistos según la característica JIT se les asigna la licencia predeterminada de tu suscripción:
| Tipo de suscripción | Tipo de licencia | Comportamiento cuando se agotan las licencias |
| Plan Business | Licencia con acceso completo | Los usuarios no se agregan automáticamente; la función JIT deja de funcionar. |
| Plan Enterprise (sin el programa de licencia flexible) | Licencia con acceso completo | Usuarios aprovisionados bajo licencia gratuita limitada |
| Plan Enterprise (con el programa de licencia flexible activado) | Licencia gratuita o gratuita limitada | Depende de la configuración de licencia predeterminada |
Cómo habilitar el aprovisionamiento justo a tiempo
Cuando actives el aprovisionamiento justo a tiempo, se aplicará automáticamente a todos los usuarios nuevos que se registren en Miro. Sin embargo, los usuarios de Miro existentes seguirán necesitando una invitación para unirse a tu plan.
- Ve a la configuración de SSO
- Marca la casilla Añadir automáticamente a todos los usuarios recién registrados de los dominios que figuran en tu cuenta Enterprise
- Elige un equipo predeterminado para usuarios recién registrados en el menú desplegable
- Haz clic en Save (Guardar)
Cuando enumeres dominios específicos en tu configuración de inicio de sesión único (SSO), cualquier usuario que se registre con esos dominios se agregará automáticamente a tu suscripción Enterprise. Se asignarán al equipo que hayas seleccionado en tu configuración justo a tiempo (JIT).
Habilita la característica de provisión Justo a tiempo en la página de integraciones de Enterprise.
Todos los usuarios recientemente registrados de los dominios que enumeres en la configuración se agregarán de forma automática en tu cobertura Enterprise a este equipo en particular cuando se registren en Miro.
⚠️ En el plan Enterprise este equipo también aparecerá en la lista de equipos que se pueden descubrir si habilitas Team Discoverability (Descubrimiento de equipos).
Configurar el nombre de visualización como el nombre de usuario predeterminado
De forma predeterminada, Miro usará los atributos FirstName y LastName. Alternativamente, puedes solicitar el uso de DisplayName En este caso, Miro usará DisplayName cuando esté presente en la solicitud SAML del usuario.
Si DisplayName no está presente, pero FirstName y LastName sí, Miro usará FirstName + LastName. Ponte en contacto con el servicio de Soporte de Miro para hacer que DisplayName sea tu nombre de usuario SSO preferido.
Si ninguno de los tres atributos está presente en tu comunicación SAML, Miro mostrará la dirección de correo electrónico del usuario como nombre de usuario
| Configurar | Nombre de usuario predeterminado |
| Nombre de usuario de Miro | FirstName + LastName |
| Configuración alternativa | DisplayName (si está presente en la solicitud SAML del usuario) |
| Respaldo | FirstName + LastName (si DisplayName no está presente) |
| Nombre de usuario SSO preferido | DisplayName (comunícate con el servicio de Soporte de Miro) |
| No hay atributos presentes | La dirección de correo electrónico se muestra como Nombre de usuario |
Si ves algo diferente de lo esperado, es posible que debas autenticarte mediante SSO o que la respuesta SAML no contenga los valores necesarios para actualizar.
Sincronizar imágenes del perfil de usuario desde el IdP
⚠️ Por lo general, se recomienda habilitar esta opción si no habilitas SCIM o si tu IdP no es compatible con el atributo ProfilePicture (por ejemplo, ProfilePicture no es compatible con Azure). En otros casos, se recomienda pasar ProfilePicture a través de SCIM con actualizaciones inmediatas.
Cuando esta configuración está activada:
- La imagen de perfil establecida del lado del IdP será la imagen del perfil de Miro del usuario.
- Los usuarios no podrán actualizar ni eliminar su imagen de perfil por sí mismos.
Al igual que con el atributo de nombre de usuario, los usuarios no podrán cambiar sus datos en Miro de inmediato, pero la sincronización de datos no es inmediata. Desde IdP se envía la actualización a Miro solo con la siguiente autenticación SSO del usuario, siempre que la configuración “Sincronizar las fotografías de perfil del usuario desde el IdP” todavía esté activa en ese momento.
Si la imagen del perfil está configurada en el IDP y deseas que el atributo se pase en la comunicación SAML, Miro esperará el siguiente esquema:
<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>
SSO con residencia de datos
Si haces uso del Soporte de residencia de datos de Miro y tienes una URL específica (workspacedomain.miro.com), debes ajustar la configuración de tu proveedor de identidad.
Para hacerlo, deberás agregar tu [ORGANIZATION_ID] a la URL.
Puedes encontrar tu ORGANIZATION_ID del panel de Miro si haces clic en tu Perfil en la esquina superior derecha > Configuración > que se muestra en la URL de la barra de direcciones.
| Valor estándar | Valor bajo residencia de datos | |
|---|---|---|
| URL del servicio de consumidor de aserciones (también conocida como URL de devolución de llamada permitida, URL ACS personalizada, URL de respuesta): | https://miro.com/sso/saml | https://workspace-domain.miro.com/ sso/saml/ORGANIZATION_ID |
| ID de entidad (identificador, identificador de la relación de confianza para usuario autentificado): https://miro.com/ | https://miro.com/ | https://workspace-domain.miro.com/ ORGANIZATION_ID |
Configurar la autenticación multifactor (2FA) para usuarios que no utilicen SSO
La autenticación de dos factores (2FA) proporciona una capa de seguridad adicional. Con 2FA, los usuarios deben completar un paso adicional durante el inicio de sesión para verificar su identificación. Esta medida adicional garantiza que solo las personas autorizadas puedan acceder a tu suscripción.
Obtén más información en nuestra guía de admin de autenticación de dos factores.
Posibles dificultades y cómo resolverlas
Si uno de tus usuarios o todos ellos experimentan un error al intentar iniciar sesión en Miro, consulta esta lista de errores comunes y cómo resolverlos.