Inicio de sesión único (SSO)

La característica de inicio de sesión único (o SSO, por su sigla en inglés) basada en el estándar SAML les brindará a tus usuarios finales acceso a la aplicación de Miro a través del proveedor de identidad (IdP, por su sigla en inglés) que tú elijas. Miro también es compatible con el estándar SCIM con cualquier proveedor de identidad que elijas (tanto inicios de sesión vía SP como vía IDP). 

Disponible para: planes Enterprise, Business. Configurado por:
Administradores de la empresa

Reglas

Una vez que se habilita el SSO para la cuenta, se aplican las siguientes reglas a los usuarios finales:

1. El proceso de SSO se aplica a los dominios corporativos que agregas a la configuración de SSO. Los usuarios finales de tu cuenta (miembros, invitados) con dominios corporativos deben iniciar sesión en Miro a través de la opción SSO utilizando las credenciales de su proveedor de identidad.
   
   Dominios en la configuración SSO
   Las otras opciones de autorización (la forma estándar de usuario+contraseña, Google, Facebook, Slack y botones de O365) están desactivadas para ellos.
   Esto también significa que puedes usar la misma configuración del proveedor de identidad con varias cuentas de Miro siempre que las diferentes cuentas reclamen dominios diferentes. Sin embargo, solo podrás proveer vía SCIM a una sola cuenta Enterprise de Miro (ya que cada cuenta Enterprise tiene un token único, pero tu configuración de SCIM solo aceptará una de ellas).
   

   ✏️ Los usuarios finales con otros dominios no necesitan usar SSO y deberían, en cambio, iniciar sesión utilizando los métodos estándar. Esta situación se da en el caso de los invitados, contratistas independientes, etc. que tienen acceso solo a ciertos tableros de la empresa y tal vez no tengan perfiles con tu proveedor de identidad.

2. Si un usuario final es miembro de algún equipo fuera de tu cuenta, de todos modos debe iniciar sesión vía SSO tan pronto como la característica esté activada. Sin embargo, podrán acceder a otros equipos y cuentas. Si también quieres evitar que tus usuarios finales hagan eso, verifica la característica Control de dominio. 
3. A los usuarios finales no se les permite cambiar su contraseña, su nombre o su apellido en Miro (las imágenes de perfil también pueden incluirse en este rango). En cambio, estos datos los atribuye automáticamente tu proveedor de identidad cuando se inicia sesión correctamente.
   
   El nombre de usuario de Miro se actualiza después de cada autenticación de usuario exitosa si SAMLResponse contiene nuevos valores no vacíos. Para obtener más información sobre cómo configurar el nombre de usuario de Miro, consulta la Configuración opcional a continuación.
   

   ✏️ Sin embargo, si necesitas cambiar las direcciones de correo electrónico de los usuarios finales, puedes hacerlo solo vía SCIM.

   Si no usas SCIM, es necesario que realices el siguiente procedimiento: el cambio de dirección de correo electrónico debe hacerse primero del lado de Miro (consulta al equipo de Soporte para obtener asistencia) y luego del lado del proveedor de identidad, antes de que un usuario final intente usar sus nuevas credenciales para iniciar sesión en Miro. Nuestro sistema reconoce al usuario por su dirección de correo electrónico. Si no se notifica el cambio al sistema antes del siguiente inicio de sesión, se reconocerá a la persona como un usuario nuevo y se le registrará un perfil nuevo, en lugar de que se inicie sesión en su perfil existente.
4. Los usuarios que quieran iniciar sesión en las aplicaciones móviles, de escritorio o para tablets de Miro utilizando SSO, serán redirigidos automáticamente al navegador web para utilizar el SSO de la empresa. Cuando el SSO haya sido exitoso, se dirigirá automáticamente al usuario nuevamente a la aplicación nativa para que siga usando Miro.
5. Los usuarios de tu dominio que no sean miembros de tu cuenta no están sujetos al procedimiento SSO de tu cuenta.

Configurar SSO

Configurar tu IdP

Puedes utilizar el proveedor de identidad que elijas. A continuación verás las indicaciones para las soluciones de plataforma de identidad más populares:

• OKTA 
• Azure AD de Microsoft
• OneLogin
• ADFS de Microsoft
• Auth0
• Google SSO

Aquí también encontrarás un artículo sobre cómo configurar Jumpcloud SSO (y SCIM). 

Primero, ve al panel de configuración de tu proveedor de identidad y sigue las instrucciones del proveedor para configurar el inicio de sesión único.

Luego, asegúrate de agregar los siguientes datos (sin embargo, dependiendo del proveedor de identidad, es posible que tengas que completar más o menos campos; te recomendamos que omitas los campos opcionales o que dejes todo con los valores predeterminados).

Especificaciones de configuración (metadatos)

• Protocolo: SAML 2.0
• Binding (vinculación):
       HTTP Redirect para SP a IdP
       HTTP Post para IdP a SP.
• Service URL (URL iniciada vía SP) (conocida como URL de inicio, URL de respuesta, URL de servicio SSO que proporciona acceso, URL de destino, URL de inicio de sesión SSO, Endpoint de proveedor de identidad, etc.): https://miro.com/sso/saml
• Assertion Consumer Service URL (URL de devolución de llamada permitida): https://miro.com/sso/saml
• Identifier (identificador) (ID de identidad, Identificador de confianza de la parte que proporciona el acceso): https://miro.com/  
  
• Default Relay State (estado de transmisión predeterminado): debe quedar vacío en tu configuración
• Signing Requirement (Requisito de firma): 
      Una respuesta SAML no firmada con una Afirmación
  firmada    Una respuesta SAML firmada con una Afirmación firmada
• SubjectConfirmation Method (Método de confirmación de sujeto): "urn:oasis:names:tc:SAML:2.0:cm:bearer"

La respuesta SAML del proveedor de identidad debe contener unCertificado x509 de clave pública emitido por el proveedor de identidad.

Aquí encontrarás ejemplos detallados.

⚠️ No se admite encriptación ni cierre de sesión único. 

Credenciales de usuario (Tipos de reclamos)

• Required Attribute (Atributo requerido) (conocido como SAML_Subject, Clave principal, Nombre de inicio de sesión, Formato de nombre de usuario de aplicación, etc.) - NameID (Identificador de nombre): equivale a la dirección de correo electrónico de un usuario (no confundir con EmailAddress que suele ser un atributo separado) - <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:email">

• Atributos opcionales que se enviarán con la afirmación (se actualiza con cada nueva autenticación vía SSO, se usa cuando está presente):

  • "DisplayName" (Nombre de visualización) o "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/displayname" (usar según preferencia);
  • “FirstName” (Nombre) o "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname";
  • “LastName” (Apellido) o "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname";
  • “ProfilePicture“ - (Imagen de perfil): la URL codificada de la imagen.

Una vez más, cualquier otra cosa se puede configurar con el valor predeterminado o no especificarse.

Puedes descargar aquí el archivo de metadatos de SP (XML).

Consulta aquí el esquema detallado de SSO y SCIM.

Habilitar SSO en Miro

Se recomienda enfáticamente probar el procedimiento de inicio de sesión en el modo incógnito del navegador. De esta manera, mantienes la sesión en la ventana estándar, lo que te permite desactivar la autorización de SSO en caso de que algo esté configurado de forma incorrecta. Si deseas configurar una cuenta de prueba antes de activar SSO en producción, solicítalo a tu Ejecutivo de Cuenta o comunícate con el Equipo de Soporte para recibir asistencia. Solo se agregará a esta cuenta de prueba a quienes configuren SSO.

⚠️ Los administradores de planes Business pueden encontrar la configuración de SSO en la pestaña Configuración de equipo > Seguridad. Para habilitar SSO en una cuenta Enterprise, ve a Configuración de la empresa > Integraciones de Enterprise.

Especifica los siguientes valores:

1. URL de inicio de sesión de SAML (en la mayoría de los casos abre la página de tu proveedor de identidad donde tus usuarios finales deben ingresar sus credenciales)
2. Certificado x.509 de clave pública (emitido por tu proveedor de identidad)
3. La lista de dominios permitidos/requeridos a autenticar vía tu servidor SAML.

Configuración de SSO de Miro

Verifica tus dominios SSO

Configurado por: administradores de la empresa

Después de introducir un nombre de dominio, se te pedirá que lo verifiques. Introduce la dirección de correo electrónico del dominio añadido para demostrar que lo representas y el sistema enviará una carta de verificación al correo electrónico especificado. Ten en cuenta que un administrador de la empresa debe hacer clic en el enlace de verificación de la carta. Para finalizar, haz clic en el botón Guardar. Después de eso, tus usuarios finales del dominio verificado podrán comenzar a usar la autorización SSO.

Ventana emergente de verificación de dominio SSO

Los requisitos para una verificación exitosa son los siguientes:

• La persona que realiza la verificación (la inicia y/o la completa) debe ser un administrador de la empresa.
  Si eres un administrador de la empresa y deseas enviar la carta de verificación a la dirección de correo electrónico que pertenece a una persona que no es un administrador de la empresa, esa persona podría reenviarte el enlace de confirmación de la carta para que puedas completar el proceso.
• La dirección de correo electrónico utilizada debe ser real (y debe poder recibir correspondencia).
• No se admiten dominios públicos (p. ej., @gmail.com, @outlook.com, etc.).
• La característica SSO debe estar habilitada y no debe eliminarse el nombre de dominio del campo hasta que se haya completado la verificación (la carta de verificación llega en el transcurso de 15 minutos).

💡 Si administras muchos dominios y subdominios (los subdominios se reconocen como nombres separados y requieren una verificación separada), verifica al menos un nombre de dominio y envía una solicitud al Equipo de Soporte con una lista de los dominios (debe estar separada por comas) para que podamos confirmarlos de una vez para ti.

Hasta que el dominio se agregue a la lista y se lo verifique, los procesos SSO no se le aplican (si el campo no contiene ningún dominio confirmado, ningún usuario se ve afectado por SSO). Si no se verifica un dominio, verás una nota para Verificar el correo electrónico en la configuración.

Dominio no verificado en la configuración de SSO de Miro

Configuración opcional

La sección de configuración opcional la utilizan los usuarios avanzados que están familiarizados con la configuración de SSO. Para obtener más información, consulta la documentación sobre los estándares SAML2.0.

Provisión justo a tiempo para usuarios nuevos

Ayuda a tus usuarios finales a interactuar con Miro de inmediato, sin esperar a que alguien los invite a la cuenta o los haga pasar por el proceso de incorporación completo y evita que se creen cuentas gratuitas y de prueba fuera de tu cuenta administrada.

⚠️ La característica JIT (Justo a tiempo) de Miro afecta solo a los usuarios recién registrados. Los usuarios que ya tienen un perfil existente en Miro aún requieren una invitación a tu cuenta.

A todos los usuarios provistos según la característica JIT se les asigna la licencia predeterminada de tu suscripción:

• Para todas las suscripciones a planes Business y Enterprise sin Programa de licencia flexible: una licencia completa. En el plan Enterprise, si tu suscripción se queda sin licencias, los usuarios empiezan a recibir una licencia gratuita restringida (se aplica solo al plan Enterprise). En el plan Business, si tu suscripción se queda sin licencias, no se capturan usuarios automáticamente y JIT deja de funcionar.
• Para las suscripciones Enterprise con Programa de licencia flexible activado: Licencia gratuita o gratuita con restricciones, dependiendo de la licencia predeterminada de la cuenta.

Para habilitar la característica JIT de Miro abre la configuración de SSO > marca la casilla respectiva > y elige el equipo designado.

Habilita la característica de provisión Justo a tiempo en la página de integraciones de Enterprise.

Todos los usuarios recientemente registrados de los dominios que enumeres en la configuración se agregarán automáticamente bajo tu Cobertura Enterprise a este equipo en particular cuando se registren en Miro.

⚠️ En el plan Enterprise este equipo también aparecerá en la lista de equipos que se pueden descubrir si habilitas Descubrimiento de equipos.

Configurar el nombre de visualización como el nombre de usuario predeterminado

En Miro, el nombre de usuario está compuesto así:

• De forma predeterminada, Miro usará los atributos nombre y apellido.
• Alternativamente, puedes solicitar que se use DisplayName (nombre de visualización). Ponte en contacto con tu Customer Success Manager o con el Soporte de Miro para que DisplayName sea tu Nombre de usuario de SSO preferido.
• Si ninguno de los tres atributos están presentes en tu comunicación SAML, Miro mostrará la dirección de correo electrónico del usuario como nombre de usuario.

Sincronizar imágenes del perfil de usuario desde el IdP

Cuando esta configuración está activada:

• La imagen de perfil establecida del lado del IdP será la imagen del perfil de Miro del usuario.
• Los usuarios no podrán actualizar o eliminar la imagen de perfil por sí mismos.

⚠️ Al igual que con el nombre de usuario, los usuarios pierden la opción de cambiar sus datos del lado de Miro de inmediato, pero la sincronización de datos no es inmediata. El lado del IdP envía la actualización a Miro solo con la siguiente autenticación SSO del usuario, siempre que la configuración “Sincronizar las fotografías de perfil del usuario desde el IdP" todavía esté activa en ese momento.

⚠️ El atributo ProfilePicture (Imagen de perfil) no es compatible con Azure.

Si la imagen del perfil está configurada en el IdP y deseas que el atributo se pase en la comunicación SAML, Miro esperará el siguiente esquema:

<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>

Posibles dificultades y cómo resolverlas

1. La configuración de SSO no acepta las direcciones de mi dominio: mensaje "DomainName is busy" (El nombre de dominio está siendo utilizado)
   ). Por razones de seguridad, admitimos los dominios de una organización bajo la cobertura de una Compañía (cuenta Enterprise) solamente. Es posible que tus dominios ya estén siendo utilizados para otra cuenta de un plan Business o un plan Enterprise, lo que te impide habilitar SSO con los dominios deseados. Consulta esto con tus compañeros antes.
   
   
2. Sigo el enlace en el correo electrónico de verificación de dominio, pero la verificación no se realiza.
   El enlace debería dirigirte a la página de integraciones de Enterprise. Si no te lleva allí, consulta si estás utilizando algún software anti-phishing que pueda interrumpir el flujo.
   
   
3. Necesitamos cambiar las direcciones de correo electrónico de nuestros usuarios finales / Hemos cambiado las direcciones de correo electrónico de nuestros usuarios y ahora no pueden acceder a sus tableros.
   Si tu empresa cambia su nombre de dominio y, por lo tanto, las direcciones de correo electrónico de los usuarios finales necesitan un cambio de credenciales de SSO, comunícate con nuestro Equipo de Soporte para recibir asistencia.
   
   
4. Nos gustaría usar una puerta de enlace separada (por ejemplo, MFA, como Duo Dag) para el procedimiento de SSO
   . Definitivamente puedes hacerlo, Miro admitirá tu solución preferida siempre que funcione con SAML 2.0.
   
   
5. Habilitamos SSO pero los datos de los perfiles de usuario (nombres, imágenes de perfil, si el IdP las admite) en Miro no se sincronizan con los del IdP.
   El nombre de usuario y la imagen de perfil se actualizan después de cada autenticación de usuario exitosa si SAMLResponse contiene nuevos valores no vacíos. Para obtener más información sobre cómo configurar el nombre de usuario de Miro, consulta Configuración opcional.

Si uno de tus usuarios o todos ellos experimentan un error al intentar iniciar sesión en Miro, consulta esta lista de errores comunes y cómo resolverlos.

Preguntas frecuentes

1. Cuando activo el SSO, ¿se cierra automáticamente la sesión de los usuarios y se los fuerza a iniciar sesión vía SSO?
   Los usuarios permanecerán conectados y podrán usar Miro. Si un usuario cierra sesión/la sesión expira/inicia sesión desde un dispositivo nuevo, tendrá que realizar la autorización vía SSO. Esto solo se aplica a los usuarios finales de tu cuenta Enterprise con dominios corporativos.
   
   

2. Si tengo habilitado JIT, ¿los usuarios registrados recientemente inician sesión vía SSO?
   Sí, se requiere SSO para la provisión JIT.
   
   

3. Si habilito el SSO, ¿los clientes/socios/usuarios podrán externos acceder a Miro de todos modos?
   - Sí. Solo se requerirá SSO para los usuarios que forman parte de tu cuenta Enterprise y que tienen un dominio listado en tu configuración de SSO. Si tus clientes/socios/usuarios externos tienen un dominio diferente (que no aparece en tu configuración de SSO), no se verán afectados por el SSO de tu cuenta.