Inicio de sesión único (SSO) – Centro de ayuda de Miro

La característica de inicio de sesión único (o SSO, por su sigla en inglés) basada en el estándar SAML les brindará a tus usuarios finales acceso a la aplicación de Miro a través del proveedor de identidad (IdP, por su sigla en inglés) que tú elijas. Miro también es compatible con el estándar SCIM con cualquier proveedor de identidad que elijas (tanto inicios de sesión vía SP como vía IDP).

Disponible para: planes Enterprise, Business
Configurado por: admins de empresa

Reglas

Una vez que SSO esté habilitado para el plan, se aplicarán las siguientes reglas a los usuarios finales:

El proceso de SSO se aplica a los dominios corporativos que agregas a la configuración de SSO. Los usuarios finales del plan (miembros, invitados) de estos dominios corporativos deben iniciar sesión en Miro a través de la opción SSO mediante las credenciales de su proveedor de identidad.

Dominios en la configuración de SSO
Otras opciones de autorización (la combinación estándar de usuario y contraseña, y los botones de Google, Facebook, Slack y O365) no están habilitadas para ellos.
Esto también significa que puedes usar la misma configuración de proveedor de identidad con varias suscripciones de Miro siempre que las diferentes suscripciones tengan suscripciones distintas. Sin embargo, solo podrás aprovisionar vía SCIM una sola subscripción Enterprise de Miro (ya que cada instancia Enterprise tiene un token único, pero tu configuración de SCIM solo aceptará una de ellas).
✏️ Los usuarios finales con otros dominios no necesitan usar SSO y deberían, en cambio, iniciar sesión a través de los métodos estándar. Esta situación se da en el caso de los invitados, los contratistas independientes, etc. que tienen acceso solo a ciertos tableros de la empresa y tal vez no tengan perfiles en tu proveedor de identidad.
Si un usuario final es un miembro de cualquier equipo fuera de tu plan, igualmente deberá iniciar sesión a través de SSO tan pronto como la función esté habilitada. Sin embargo, podrán acceder a otros equipos. Si también quieres evitar que tus usuarios finales hagan eso, verifica la característica Control de dominio.
A los usuarios finales no se les permite cambiar su contraseña, su nombre o su apellido en Miro (las imágenes de perfil también pueden incluirse en este rango). En cambio, tu proveedor de identidad atribuye estos datos los atribuye de forma automática cuando se inicia sesión correctamente.

El nombre de usuario de Miro se actualiza después de cada autenticación de usuario correcta si SAMLResponse contiene nuevos valores no vacíos. Para obtener más información sobre cómo configurar el nombre de usuario de Miro, consulta la Configuración opcional a continuación.
✏️ Sin embargo, si necesitas cambiar las direcciones de email de los usuarios finales, puedes hacerlo solo vía SCIM.
Si no usas SCIM, es necesario que realices el siguiente procedimiento: el cambio de dirección de email debe hacerse primero en Miro (consulta al equipo de Soporte para obtener asistencia) y, luego, desde el proveedor de identidad, antes de que un usuario final intente usar sus nuevas credenciales para iniciar sesión en Miro. Nuestro sistema reconoce al usuario por su dirección de correo electrónico. Si no se notifica el cambio al sistema antes del siguiente inicio de sesión, se reconocerá a la persona como un usuario nuevo y se le registrará un perfil nuevo, en lugar de que se inicie sesión en su perfil existente.
Los usuarios que quieran iniciar sesión en las aplicaciones móviles, de escritorio o para tabletas de Miro mediante SSO, serán redirigidos automáticamente al navegador web para utilizar el SSO de la empresa. Cuando el SSO haya sido exitoso, se dirigirá automáticamente al usuario nuevamente a la aplicación nativa para que siga usando Miro.
Los usuarios de tu dominio que no sean miembros de tu plan no están sujetos al procedimiento SSO de tu plan.

Configurar SSO

Configurar tu IdP

Puedes utilizar el proveedor de identidad que elijas. A continuación verás las indicaciones para las soluciones de plataforma de identidad más populares:

Aquí también encontrarás un artículo sobre cómo configurar Jumpcloud SSO (y SCIM).

Primero, ve al panel de configuración de tu proveedor de identidad y sigue las instrucciones del proveedor para configurar el inicio de sesión único.

Luego, asegúrate de agregar los siguientes datos (sin embargo, según el proveedor de identidad, es posible que tengas que completar más o menos campos. Te recomendamos que omitas los campos opcionales o que dejes todo con los valores predeterminados).

Especificaciones (metadatos)

Protocolo: SAML 2.0
Binding (vinculación):
HTTP Redirect para SP a IdP.
HTTP Post para IdP a SP.
Service URL (URL iniciada vía SP) (conocida como URL de inicio, URL de respuesta, URL de servicio SSO que proporciona acceso, URL de destino, URL de inicio de sesión SSO, Endpoint de proveedor de identidad, etc.): https://miro.com/sso/saml.
Assertion Consumer Service URL (conocida como URL de devolución de llamada permitida, URL de ACS personalizada, URL de respuesta): https://miro.com/sso/saml.
ID de entidad (identificador, identificador de la relación de confianza para usuario autentificado): https://miro.com/.
Default Relay State (estado de transmisión predeterminado): debe quedar vacío en tu configuración.
Signing Requirement (Requisito de firma):
una respuesta SAML no firmada con una Afirmación firmada.
Una respuesta SAML firmada con una Afirmación firmada.
SubjectConfirmation Method: “urn:oasis:names:tc:SAML:2.0:cm:bearer”.

La respuesta SAML del proveedor de identidad debe contener un Certificado x509 de clave pública emitido por el proveedor de identidad.

Aquí encontrarás ejemplos detallados. Puedes descargar aquí el archivo de metadatos de SP (XML).

⚠️ No se admite el cifrado ni el cierre de sesión único.

Credenciales de usuario (tipos de solicitud)

Atributo requerido (conocido como SAML_Subject, Primary Key, Logon Name, formato de nombre de usuario de la aplicación, etc.) - NameID: equivale a una dirección de correo electrónico de usuario (no mezclar con EmailAddress, que suele ser un atributo separado) - <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:email">
Atributos opcionales que se enviarán con la afirmación (se actualiza con cada nueva autenticación vía SSO y se usa cuando está presente):
- “DisplayName” o “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/displayname” (usar según preferencia).
- “FirstName” o “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname”.
- “LastName” o “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname”.
- “ProfilePicture”: la URL codificada de la imagen.

Una vez más, se puede configurar el resto con el valor predeterminado o no especificarse.

Habilitar SSO en Miro

Se recomienda enfáticamente probar el procedimiento de inicio de sesión en el modo incógnito del navegador. De esta manera, mantienes la sesión en la ventana estándar, lo que te permite desactivar la autorización de SSO en caso de que algo esté configurado de forma incorrecta. Si deseas configurar una instancia de prueba antes de activar SSO en producción, solicítalo a tu Account Executive o comunícate con el Equipo de soporte para recibir asistencia. Solo se agregará a esta instancia de prueba a quienes configuren SSO.

⚠️ Los admins de planes Business pueden encontrar la configuración de SSO en la pestaña Team settings (Ajustes de equipo) > Security (Seguridad). Para habilitar SSO en un plan Enterprise, ve a Company settings (Ajustes de empresa) > Enterprise integrations (Integraciones de Enterprise).

Especifica los siguientes valores:

URL de inicio de sesión de SAML (en la mayoría de los casos abre la página de tu proveedor de identidad donde tus usuarios finales deben ingresar sus credenciales)
Certificado x.509 de clave pública (emitido por tu proveedor de identidad)
La lista de dominios permitidos/requeridos para autenticar vía tu servidor SAML.

Configuración de SSO de Miro

Verifica tus dominios SSO

Configurado por: administradores de la empresa

Después de ingresar un nombre de dominio, se te pedirá que lo verifiques. Ingresa la dirección de email del dominio añadido para demostrar que lo representas y el sistema enviará una carta de verificación al email especificado. Ten en cuenta que un admin de empresa debe hacer clic en el enlace de verificación de la carta. Para terminar, haz clic en el botón Save (Guardar). Después de eso, tus usuarios finales del dominio verificado podrán comenzar a usar la autorización SSO.

Los requisitos para una verificación exitosa son los siguientes:

La persona que realiza la verificación (iniciada o completa) debe ser un admin de empresa. Si eres admin de empresa y quieres enviar la carta de verificación a la dirección de email que pertenece a una persona que no es un admin de empresa, esa persona puede reenviarte el enlace de confirmación de su carta para que puedas completar el proceso.
La dirección de correo electrónico utilizada debe ser real (y debe poder recibir correspondencia).
No se admiten dominios públicos (p. ej., @gmail.com, @outlook.com, etc.).
La característica SSO debe estar habilitada y no se debe eliminar el nombre de dominio del campo hasta que se haya completado la verificación (la carta de verificación llega en el transcurso de 15 minutos).

💡 Si administras muchos dominios y subdominios (los subdominios se reconocen como nombres separados y requieren una verificación separada), verifica al menos un nombre de dominio y envía una solicitud al Equipo de Soporte con una lista de los dominios (debe estar separada por comas) para que podamos confirmarlos de una vez por ti.

Ten en cuenta que en el plan Business solo puede verificar tres dominios por organización.

Hasta que el dominio se agregue a la lista y se lo verifique, los procesos SSO no se le aplican (si el campo no contiene ningún dominio confirmado, ningún usuario se ve afectado por SSO). Si no se verifica un dominio, verás una nota para VERIFICAR EL EMAIL en la configuración.

Dominio no verificado en la configuración de SSO de Miro

Configuración opcional

La sección de configuración opcional la utilizan los usuarios avanzados que están familiarizados con la configuración de SSO. Para obtener más información, consulta la documentación de los estándares SAML2.0.

Siempre hacer cumplir la autenticación en IdP

Esta característica está actualmente en (versión) beta.

Esta configuración permite a los administradores hacer cumplir la seguridad siempre que lo necesiten, por ejemplo, en espacios públicos o cuando se trabaja con información altamente confidencial.

Cuando esta configuración está habilitada, el mecanismo SSO de IdP no considerará sesiones autenticadas previamente y requerirá que el usuario vuelva a iniciar sesión.

Cumplir con la autenticación a través de la configuración “Siempre requiere autenticación”

Provisión justo a tiempo para usuarios nuevos

Ayuda a tus usuarios finales a interactuar con Miro de inmediato, sin esperar a que alguien los invite o los haga pasar por el proceso de incorporación completo, y evita que se creen equipos gratuitos y de prueba fuera de tu subscripción administrada.

⚠️ La característica MiroJIT afecta de forma automática a todos los usuarios recientemente registrados. Los usuarios que ya tengan un perfil existente de Miro igualmente deberán recibir una invitación a tu plan. Sin embargo, si habilitas la característica Team Discovery (Descubrimiento de equipos), el equipo que hayas establecido para JIT también aparecerá en la lista de equipos disponibles para unirse.

A todos los usuarios provistos según la característica JIT se les asigna la licencia predeterminada de tu suscripción:

Para todas las suscripciones a planes Business y Enterprise sin Programa de licencia flexible: una licencia completa. En el plan Enterprise, si tu subscripción se queda sin licencias, se les asigna a los usuarios licencias gratuitas limitadas (corresponde solo al plan Enterprise). En el plan Business, si tu subscripción se queda sin licencias, los usuarios no son capturados automáticamente y JIT deja de funcionar.
Para las subscripciones Enterprise con Programa de licencias flexible activado: Licencia gratuita o gratuita limitada, según la licencia predeterminada.

Para habilitar la característica JIT de Miro abre la configuración de SSO > marca la casilla respectiva > y elige el equipo designado.

Habilita la característica de provisión Justo a tiempo en la página de integraciones de Enterprise.

Todos los usuarios recientemente registrados de los dominios que enumeres en la configuración se agregarán de forma automática en tu cobertura Enterprise a este equipo en particular cuando se registren en Miro.

⚠️ En el plan Enterprise este equipo también aparecerá en la lista de equipos que se pueden descubrir si habilitas Descubrimiento de equipos.

Configurar el nombre de visualización como el nombre de usuario predeterminado

En Miro, el nombre de usuario está compuesto así:

De forma predeterminada, Miro usará los atributos FirstName (nombre) y LastName (apellido).
Alternativamente, puedes solicitar el uso de DisplayName (nombre para mostrar) En este caso, Miro usará DisplayName (nombre para mostrar) cuando esté presente en la solicitud SAML del usuario. Si DisplayName no está presente, pero FirstName (nombre) y LastName (apellido) sí, Miro usará FirstName (nombre) + LastName (apellido).
Ponte en contacto con Soporte de Miro para hacer que DisplayName sea tu nombre de usuario SSO preferido.
Si ninguno de los tres atributos está presente en tu comunicación SAML, Miro mostrará la dirección de correo electrónico del usuario como nombre de usuario

Sincronizar imágenes del perfil de usuario desde el IdP

⚠️ Recomendamos habilitar esta opción si no habilitas SCIM o si lo haces pero tu IdP no admite el atributo ProfilePicture (imagen de perfil); por ejemplo, si ProfilePicture no es compatible con Azure. En otros casos, se recomienda pasar ProfilePicture a través de SCIM con actualizaciones inmediatas.

Cuando esta configuración está activada:

La imagen de perfil establecida del lado del IdP será la imagen del perfil de Miro del usuario.
Los usuarios no podrán actualizar ni eliminar su imagen de perfil por sí mismos.

⚠️ Al igual que con el nombre de usuario, los usuarios pierden la opción de cambiar sus datos en Miro de inmediato, pero la sincronización de datos no es inmediata. Desde IdP se envía la actualización a Miro solo con la siguiente autenticación SSO del usuario, siempre que la configuración “Sincronizar las fotografías de perfil del usuario desde el IdP” todavía esté activa en ese momento.

Si la imagen del perfil está configurada en el IDP y deseas que el atributo se pase en la comunicación SAML, Miro esperará el siguiente esquema:

<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>

SSO con residencia de datos

Si haces uso del soporte de residencia de datos de Miro y tienes una URL dedicada (workspacedomain.miro.com), debes ajustar la configuración de tu proveedor de identidad de la siguiente manera:

	Valor estándar	Valor bajo residencia de datos
Assertion Consumer Service URL (también conocida como URL de devolución de llamada permitida, URL ACS personalizada, URL de respuesta):	https://miro.com/sso/saml	https://workspace-domain.miro.com/ sso/saml/ORGANIZATION_ID
ID de entidad (identificador, identificador de la relación de confianza para usuario autentificado): https://miro.com/.	https://miro.com/	https://workspace-domain.miro.com/ ORGANIZATION_ID

Puedes encontrar tu ORGANIZATION_ID del panel de Miro si haces clic en tu Perfil en la esquina superior derecha > Settings (Configuración) > que se muestra en la URL de la barra de direcciones.

Cómo configurar MFA (2FA) para usuarios fuera de SSO

Consulta el artículo sobre la característica aquí.

Posibles dificultades y cómo resolverlas

Mis direcciones de dominio no se aceptan en la configuración SSO - Mensaje “DomainName is busy” (DomainName está ocupado).

Por razones de seguridad, respaldamos los dominios de una organización en un grupo de la empresa (subscripción Enterprise) solamente. Es posible que tus dominios ya estén siendo utilizados para otro plan Business o en un plan Enterprise, lo que te impide habilitar SSO con los dominios deseados. Tal vez quieras comprobarlo con tus colegas de antemano.

Sigo el enlace del email de verificación de dominio, pero la verificación no se realiza.

Se supone que el enlace debe enviarte a la página de integraciones de Enterprise. Si no te lleva allí, consulta si estás utilizando algún software anti-phishing que pueda interrumpir el flujo.

Necesitamos cambiar las direcciones de email de nuestros usuarios finales/Hemos cambiado los emails de nuestros usuarios y ahora no pueden acceder a sus tableros.

Si tu empresa cambia su nombre de dominio y, por lo tanto, las direcciones de email de los usuarios finales necesitan un cambio de las credenciales de SSO, comunícate con el equipo de Soporte para obtener asistencia.

Nos gustaría usar una puerta de enlace separada (por ejemplo, MFA, como Dag Duo) para el procedimiento SSO.

Ciertamente puedes hacerlo. Miro admitirá tu solución preferida siempre que funcione con SAML 2.0.

Habilitamos SSO, pero los datos de los perfiles de usuario (nombre e imágenes de usuario si los admite tu IdP) en Miro no se sincronizan con los que están en IdP.

El nombre de usuario y la imagen de perfil de Miro se actualizan después de cada autenticación de usuario correcta si SAMLResponse contiene nuevos valores no vacíos. Para obtener más información sobre cómo configurar el nombre de usuario de Miro, consulta Configuración opcional.

Si uno de tus usuarios o todos ellos experimentan un error al intentar iniciar sesión en Miro, consulta esta lista de errores comunes y cómo resolverlos.

Preguntas frecuentes

Cuando activo SSO, ¿se desconecta automáticamente a los usuarios y se los fuerza a iniciar sesión vía SSO?

Los usuarios seguirán conectados y podrán usar Miro. Si un usuario cierra sesión/la sesión expira/inicia sesión desde un dispositivo nuevo, tendrá que realizar la autorización vía SSO. Esto solo se aplica a los usuarios finales de tu plan Enterprise con dominios corporativos.

Si tengo JIT habilitado, ¿los usuarios recientemente registrados inician sesión vía SSO?

Sí. Se necesita SSO para el aprovisionamiento JIT.

Si habilito el SSO, ¿los clientes, los socios o los usuarios externos de todos modos podrán acceder a Miro?

Sí. El SSO solo será obligatorio para usuarios que formen parte de tu subscripción Enterprise y tengan un dominio que figure en tu configuración de SSO. Si tus clientes, socios o usuarios externos tienen un dominio diferente (que no aparece en tu configuración de SSO), no se verán afectados por el SSO de tu plan.

Artículos en esta sección