Disponible para: planes Enterprise y Business
Configurado por: administradores de la empresa
💡 Se recomienda enfáticamente configurar el SSO en una ventana en modo incógnito por separado del navegador. De esta manera, mantienes la sesión en la ventana estándar, lo que te permite desactivar la autorización de SSO en caso de que algo esté configurado de forma incorrecta.
Si deseas configurar una instancia de prueba antes de activar el SSO en la producción, solicítala a tu Account Executive o representante de Ventas. Solo se agregará a esta instancia de prueba a quienes configuren SSO.
⚠️ Consulta aquí nuestro artículo principal sobre SSO para conocer las reglas, las funciones compatibles y la configuración opcional desde Miro.
Cómo añadir y configurar la aplicación
1. Encuentra la aplicación preconfigurada de Miro en la Galería de aplicaciones Enterprise de Azure AD (Enterprise Applications [aplicaciones de Enterprise] > +New application [aplicación nueva])
La aplicación preconfigurada de Miro en la Galería de aplicaciones Enterprise de Azure AD
2. Crea la aplicación y haz clic en 2. Configura el inicio de sesión único (o selecciona el inicio de sesión único en el lado izquierdo y selecciona el método de inicio de sesión SAML).
Cómo seleccionar un método de inicio de sesión único
3. Verás que la configuración básica de SAML ya está en marcha:
Configuración básica de SAML
⚠️ Si después de que todo esté configurado, el inicio de sesión de SSO falla, intenta cambiar el ID de entidad de https://miro.com a https://miro.com/
⚠️ La URL de inicio de sesión, el estado de relay y la URL de finalizar sesión (para el inicio de sesión único) deben quedar vacíos, ya que estas funcionalidades no son compatibles.
Los atributos y reclamos también están en marcha:
Atributos y reclamos
⚠️ Ten en cuenta que
a) la UPN se convierte en el parámetro principal mediante el cual se reconoce un usuario en Miro y este parámetro no se actualiza desde el lado de Azure. Cuando necesites actualizar los correos electrónicos de usuarios en Miro sin usar SCIM, comunícate con nuestro equipo de soporte técnico.
b) Miro acepta Nombre, Apellido, Nombre a mostrar e Imagen de perfil. Otros atributos no son compatibles mediante SSO, pero se pueden transferir mediante SCIM.
Cómo crear el certificado
1. Desplázate hacia abajo hasta la sección Certificado de firma de SAML y haz clic en Añadir un certificado:
2. Haz clic en + Nuevo certificado y elige la opción Firmar = Aserción SAML firmada o la respuesta y afirmación SAML firmada. Se debe firmar la afirmación.
Cómo seleccionar la opción de firma
3. Haz clic en Guardar.
4. Haz clic en Más opciones para obtener el certificado y primero, haz activo el certificado y luego, descarga el archivo Base64.
Más Menú de opciones
Cómo configurar SSO en tu plan de Miro
1. Abre el archivo descargado en un editor de texto, y copia y pega el certificado x509 desde el archivo al campo Miro respectivo de Miro en los ajustes de SSO.
2. Desplázate un poco más abajo en los ajustes de Azure y encuentra la URL de inicio de sesión y pégala en la URL de inicio de sesión de SAML en Miro.
Copiar URL de inicio de sesión
Configuración de SSO de Miro
3. Asegúrate de haber añadido, al menos, un dominio de empresa antes de presionar el botón Guardar.
¡Y eso es todo! La configuración de SSO ya está completa.
Cómo configurar reclamos cuando la UPN y el correo electrónico difieren
Puedes configurar los ajustes para usar cualquier atributo de Azure, que esté en el formato de correo electrónico como NameID en Miro.
Inicios de sesión con IDP y SP
Para iniciar sesión con IDP, Azure envía a Miro el valor que decides usar como NameID (usuario.correo electrónico en el ejemplo a continuación).
Atributos y reclamos de usuarios
Con este flujo, los usuarios finales acceden a Miro mediante el ícono de la consola del portal (por ejemplo, en https://myapplications.microsoft.com/). Desde allí, se envía una solicitud a Miro y el usuario se registra con el NameID que definiste. Miro espera que este atributo coincida con el correo electrónico del usuario en Miro. Una incompatibilidad resultará en la autenticación fallida.
Para iniciar sesión con SP, Miro enviará una solicitud específicamente para la UPN del usuario y esperará que coincida con el correo electrónico del usuario en Miro. Una incompatibilidad resultará en la autenticación fallida.
Ahora, se espera que el campo de la URL de inicio de sesión de SAML en los ajustes de tu cuenta de Miro contenga la URL de inicio de sesión de la aplicación de Miro de tu instancia de Azure. Esta será la URL que Miro dirigirá al usuario desde la página de inicio de sesión de Miro.
Ajustes de SSO de Miro
Cuando el usuario es dirigido a la URL de inicio de sesión desde la aplicación, se genera la solicitud de SAML. Con este flujo, el usuario se registra con la dirección de correo electrónico que ingresó en la página de inicio de sesión de Miro y que Miro solicita de Azure, la misma que requiere ser el atributo de UPN.
Cómo configurar
Para permitir que tus usuarios accedan a Miro con el email de Azure, en lugar de la UPN, puedes llenar el campo de la URL de inicio de sesión de SAML con la URL de la aplicación de la consola de Azure. Luego, el flujo iniciado por SP será de la siguiente manera:
- El usuario accede a Miro ingresando su email de Miro, que es el correo que tienen en Miro. Miro comprende que la persona debe haber iniciado sesión en el perfil de usuario definido.
- El usuario se dirige a enlace de su aplicación que se usa para el inicio de sesión iniciado por IDP.
- El enlace usa el atributo NameID que definiste y lo envía a Miro.
- Por lo tanto, el usuario se registra en Miro en el perfil de usuario definido previamente con el NameID que definiste.
Si deseas habilitar también el aprovisionamiento automático para Miro, consulta este artículo.
Si has tenido algún problema durante la configuración, consulta este artículo.
Herramienta de prueba de Azure
Para llegar a la herramienta de prueba, elige la pestaña Inicio de sesión único en los ajustes de tu aplicación y desplázate hasta la parte inferior de la sección.
Azure sugiere usar el proceso de inicio de sesión de la prueba para verificar la conexión y solucionar un mensaje de error. Después de la prueba, recibirás instrucciones sobre cómo resolver la situación.
Página de prueba en el portal/consola de Azure
Ten en cuenta con qué credenciales administradas por Azure/ADFS se autentica la estación de trabajo. Si intentas usar un conjunto diferente para iniciar sesión en Miro, el intento de inicio de sesión puede fallar, ya que el proveedor de identidad transfiere tu conjunto principal de credenciales y hay una incompatibilidad. Por ejemplo, esto puede ocurrir si eres el administrador de SSO y pruebas el procedimiento de inicio de sesión bajo diferentes credenciales.