Establecimiento del aprovisionamiento automatizado con OKTA

Disponible para: plan Enterprise
Configurado por: admin de empresa
 

⚠️ La guía proporciona pasos para configurar el aprovisionamiento para el plan Enterprise de Miro. Para obtener la funcionalidad disponible, las reglas que se aplican a SCIM de Miro y los posibles problemas y formas de resolverlos, consulta primero aquí.
La documentación de desarrollador de Miro para SCIM se puede encontrar aquí.

Se puede consultar una guía de aprovisionamiento detallada para clientes que utilizan el Programa de licencias gratuitas aquí. 

Requisitos previos

El SSO basado en SAML debe estar correctamente configurado y en funcionamiento en tu plan Enterprise de Miro antes de que empieces a configurar el aprovisionamiento automatizado. Las instrucciones sobre cómo configurar SSO se pueden encontrar aquí. 

Cuando llamas a la API de SCIM, tendrás que proporcionar un Token de API. Habilita la opción SCIM en tus ajustes de Enterprise Integrations (Integraciones de empresa) > SSO > SCIM para ver el token.

Antes de sincronizar, mira Lo que debes saber y Reglas con las que opera Miro para evitar errores durante la conexión. 

Configuración

1. En la página de ajustes de la aplicación, cambia a la pestaña Provisioning (Aprovisionamiento). Luego, haz clic en Configure API Integration (Configurar integración de API):
   
   La pestaña de aprovisionamiento en la aplicación de Miro preconfigurada
   
   
2. Marca la casilla Enable API Integration (Habilitar integración de API) y proporciona la URL de base (https://miro.com/api/v1/scim/) y tu Token de API único (disponible en la sección Security [Seguridad] en los ajustes de Miro) en los campos respectivos. Después de eso, haz clic en Test API Credentials (Probar credenciales de API).
   Si la conexión pasa la prueba, recibirás una notificación que dirá “Miro was verified successfully” (Miro se verificó correctamente): 
   
   Pestaña de aprovisionamiento, sección de integración
   Si no recibes una confirmación, vuelve a revisar la URL de base https://miro.com/api/v1/scim/ y asegúrate de que no esté bloqueada por firewalls y otros factores que intercepten el tráfico dentro de la red, y también asegúrate de que el Token de la API sea correcto.
3. Guarda la configuración.

Asignaciones a la aplicación

La API de SCIM de Miro usa parte de los metadatos que OKTA asocia a usuarios y grupos. En esta sección se explican las creaciones de mapas necesarias entre la API de SCIM de Miro y los atributos de OKTA.

1. En la página de ajustes de la aplicación, cambia a la pestaña Provisioning (Aprovisionamiento) > To App (A aplicación).  Haz clic en Edit (Editar) y marca las casillas junto a las secciones Create Users (Crear usuarios), Update User Attributes (Actualizar atributos de usuario) y Deactivate Users (Desactivar usuarios).
   
   La pestaña To App (A aplicación) en la aplicación de Miro preconfigurada
   

Desplázate hacia abajo y verifica que el nombre de usuario está establecido como Configured in Sign On Settings (Configurado en los ajustes de inicio de sesión): 

Creación de mapas de atributos en la aplicación de Miro preconfigurada

Para agregar uno de los atributos admitidos, haz clic en la opción Go to Profile Editor (Ir al editor de perfil) y selecciona Add Attribute (Agregar atributo):

La lista de atributos activos en el editor de perfil

Visita nuestra documentación de SCIM para ver la lista completa de atributos admitidos.

Asignaciones y envío de grupos por push

El aprovisionamiento SCIM de Miro puede ayudarte a aprovisionar usuarios a tu plan Enterprise, así como a distribuirlos automáticamente entre los equipos y desactivarlos cuando sea necesario. 

⚠️ Los grupos de OKTA deben estar asignados a la aplicación de Miro (incluso si el grupo contiene los usuarios que ya fueron asignados como usuarios directamente) y también deben agregarse a Push Groups (Enviar grupos por push) de la aplicación. 

1) Usa la pestaña Assignments (Asignaciones) para asignar grupos a la aplicación de Miro. Todos los usuarios asignados podrán autenticarse a través del SSO de Miro en este momento, pero no serán asignados a ningún equipo de Miro. 

2) Después de eso, configura Push Groups (Enviar grupos por push) para sincronizar tus grupos de Okta con tus equipos de Miro. 

• Elige la pestaña Push Groups (Enviar grupos por push) en la página de ajustes de la aplicación y, luego, haz clic en Refresh App Groups (Actualizar grupos de aplicación):
  
  Grupos de envío push en la aplicación de Miro predeterminada. 
  
  Esto le permitirá a Okta descubrir qué equipos hay en tu subscripción de Miro para poder sincronizarlos después. Según la cantidad de elementos que contenga, la descarga de la lista de equipos podría demorar unos minutos.
• Haz clic en Push Groups (Enviar grupos por push) > Find groups by name (Encontrar grupos por nombre):Setting up pushed groups (Ajustes de grupos push) 
  
  Escribe el nombre de un grupo de OKTA en un cuadro de búsqueda rápida y elígelo en la lista de sugerencias automáticas. OKTA te mostrará el grupo que tiene una coincidencia con el equipo de Miro respectivo (según la lista descargada previamente). Vinculación de grupos de OKTA y equipos de Miro
  
  Si OKTA te muestra la opción de vincular manualmente el grupo, asegúrate de que el equipo de Miro con el nombre del grupo exista en Miro. Lo mejor es hacer clic en Refresh Apps groups (Actualizar grupos de aplicaciones) de nuevo para que el sistema sincronice las entidades y, luego, volver a buscar por el nombre del grupo. 
• Si ya agregaste algunos usuarios a tu plan Enterprise de Miro directamente, en lugar de aprovisionarlos desde Okta, ve a la pestaña Import (Importar) y haz clic en Import now (Importar ahora). Esto importará la información sobre tus usuarios de Miro existentes a Okta. Desde allí puedes elegir cómo procesar los usuarios importados:
  
  En consecuencia, te asegurarás de que no haya coincidencias incorrectas de usuarios entre los sistemas que, por ello, no puedan iniciar sesión después de que habilites SSO.
• Guarda los cambios y listo. Se te mostrará la lista de los grupos que ahora están enviados mediante push en Miro y el estado de la sincronización que debería ser Active (Activa) (en verde).  En este punto, todos los usuarios de los grupos elegidos estarán asignados a su respectivo equipo de Miro y tendrán acceso a los tableros compartidos con el equipo. Luego, se los actualizará continuamente.

Posibles dificultades y cómo resolverlas

1. No es posible enviar mediante push los usuarios a Miro.
   Verifica que el grupo que se envió mediante push en Okta esté debidamente asignado a la aplicación. Ten presente que el estado Active (Active) de la sincronización de grupos con envío push de Okta a veces puede ser erróneo. Para resolver los errores de sincronización, prueba anular la asignación del grupo, elimínalo de Push Groups (Enviar grupos por push) y, luego, recrea la conexión de sincronización; para ello, asigna el grupo de nuevo y, después, agrégalo otra vez a Push Groups. Incluso si la configuración que tienes no cambió, es posible que se requiera el proceso para recrear la conexión de sincronización a fin de resolver los problemas.
2. Los usuarios no se eliminan.
   Ten presente que en los procesos de SCIM no se incluye la eliminación de usuarios. Para quitarle el acceso a un usuario, desactívalo en OKTA o anula su asignación desde la aplicación en OKTA, lo que generará la correspondiente solicitud a Miro y pondrá al usuario en Deactivated status (estado desactivado). Para eliminar a un usuario de Miro, usa la página Active Users (Usuarios activos) en Miro.
3. No se están actualizando los datos de usuario.
   Ten presente que el atributo Username (Nombre de usuario) NO se debería actualizar desde Application (Aplicación) > Assignments (Asignaciones):
   
   El atributo de nombre de usuario (al igual que otros atributos) se debería actualizar desde la opción Edit (Editar) en el perfil del usuario:
   
4. No se aprovisionan usuarios debido a: “Conflict. Errors reported by remote server: DomainAddress is not whitelisted” (Conflicto: errores reportados por el servidor remoto: DomainAddress no está en la lista de direcciones autorizadas).
   
   Asegúrate de que la dirección de dominio del usuario esté autorizada según tu Política para compartir. 
5. Después de usar la opción Push Now (Enviar por push ahora), algunos de nuestros tableros y proyectos se reasignaron a los admins de equipo. 
   Con esta opción, Okta inicia una solicitud PATCH para reemplazar a todos los miembros de tu subscripción (lo que significa sincronizar la lista de usuarios en Miro con la lista de usuarios en Okta). Si se produce una desconexión antes de que se complete el proceso, Miro se queda solamente con los usuarios disponibles hasta el momento de la desconexión. Dado que en Miro eso da lugar a la eliminación de los usuarios de tus equipos, los tableros y los proyectos que ya poseían se reasignan a los respectivos admins de equipo.
6. La cantidad de usuarios escaneados mediante la opción Import Now (Importar ahora) no coincide con la cantidad de usuarios que tengo en la suscripción de Miro. 
   Ten presente que en esta cantidad no se incluye los Deactivated users (Usuarios desactivados) y los Non-Team users (Usuarios sin equipo). También notamos que los resultados pueden diferir si Okta incluyó algunos cambios recientes que se produjeron desde la importación más reciente (por ejemplo, el cambio de “1 usuario eliminado” que se muestra en la captura de pantalla a continuación). Para obtener la cantidad real, ejecuta el comando Import (Importar) al menos 2 veces. 
   

7. Mis usuarios no se actualizan con algunos datos.
   Verifica que todos los atributos que configuraste, especialmente si son personalizados, como ProfilePicture o UserType, estén presentes y completados en tu página de perfil de usuario:
   
   

8. Los cambios no se envían a Miro debido a una desconexión entre enlace o grupo push:
   “Failed on 06-14-2021 12:16:29 PM UTC: Unable to update Group Push mapping target App group <Group Name>: Error while creating user group <Group Name>: Read timed out” (“Error el 14-06-2021 12:16:29 PM UTC: No se pudo actualizar la creación de mapas de push de grupo a grupo de aplicación <Nombre del grupo>: Error en la creación del grupo de usuarios <Nombre de grupo>: Desconexión de lectura”).
   

   
   Este error de desconexión puede aparecer cuando se intenta vincular los grupos existentes o enviar por push un nuevo grupo con una gran cantidad de miembros.

   Si estabas enviando por push un nuevo grupo, verifica si la solicitud de SCIM de Okta sufrió una desconexión antes o después de que se creara el grupo de destino en Miro.

   Si el grupo de destino no se creó en Miro, puedes reintentar la operación “Push Group”:
   

   Si estabas vinculando grupos existentes o el grupo de destino se creó en Miro después de la operación de push inicial, entonces necesitas restaurar la conexión entre los grupos en Okta y Miro. Para hacer esto, puedes probar los siguientes pasos:

   
   - Desvincula el grupo de push (consulta Abandono del grupo en la aplicación de destino en la ventana de diálogo):
   
   
   
   
   - Haz clic en el botón Refresh App Groups (Actualizar grupos de la aplicación) para que Okta pueda obtener la lista de los grupos en Miro:
   
   
   
   - Haz clic en el botón Push Groups (Enviar grupos por push) y busca la opción Find Groups by name (Encontrar grupos por nombre).
   - Busca el grupo al que quieres enviar por push; para ello, escribe el nombre en el cuadro de búsqueda y selecciónalo en el menú desplegable. Okta debería aparecer con la opción Link Group (Vincular grupo) desactivada así:
   
   
   
   - Haz clic en Save (Guardar). Okta tratará de sincronizar el grupo de destino mediante solicitudes de PATCH/Groups SCIM.
   - Si no se asignaron todos los miembros del grupo de Okta a su respectivo equipo de Miro, puedes consultar la pestaña “Directory → Tasks” (“Directorio → Tareas”) en Okta y volver a intentar operaciones fallidas: