Disponible para: plan Enterprise
Configurado por: admin de empresa
⚠️ En la guía se proporcionan pasos para configurar la función. Para obtener la funcionalidad disponible, las reglas que se aplican a SCIM de Miro y los posibles problemas y formas de resolverlos, consulta primero aquí.
La documentación para desarrolladores de Miro para SCIM se puede encontrar aquí.
Se puede consultar una guía de aprovisionamiento detallada para clientes que utilizan el Programa de licencias flexible aquí.
Requisitos previos
La API SCIM de Miro es utilizada por socios SSO para ayudar a aprovisionar y administrar usuarios y equipos (grupos). El SSO basado en SAML debe estar correctamente configurado y en funcionamiento en tu plan Enterprise de Miro antes de que empieces a configurar el aprovisionamiento automatizado. Las instrucciones sobre cómo configurar SSO se pueden encontrar aquí.
Tus grupos de seguridad y equipos de Miro ya deben estar creados y nombrados de la misma manera.
Cómo configurar el aprovisionamiento
Una vez creada la aplicación durante la configuración de SSO, verás sus ajustes:
Ajustes de la aplicación de Miro
- Elige el elemento Aprovisionamiento en el panel izquierdo y luego cambia el Modo de aprovisionamiento de Manual a Automático:
- Proporcionar credenciales de administrador:
a) Usa https://miro.com/api/v1/scim/ como URL de inquilino
b) Proporcionar el token secreto. Puedes obtenerlo en la sección SSO de tus ajustes de Miro de la siguiente manera:
c) Haz clic en el botón Probar conexión ubicado justo debajo de la caja de edición de la Tecla secreta.
Si la conexión pasa a la prueba, obtendrás la siguiente notificación:
Notificación de prueba de conexión exitosa
Si no hay confirmación, vuelve a verificar el URL de inquilino y asegúrate de que no esté bloqueado por firewalls u otros interceptores de tráfico dentro de tu red. Asegúrate también de que el token de la API sea correcto. - Guarda la configuración:
Cómo guardar la configuración
Mapeos
La API SCIM de Miro usa parte de los metadatos que Azure AD asocia a usuarios y grupos. Esta sección explica los mapeos necesarios entre la API SCIM de Miro y los atributos de Azure AD.
Usuarios
- Elige la pestaña Aprovisionamiento en el lado izquierdo y luego haz clic en Sincronizar usuarios del directorio activo de Azure con Miro:
Cómo habilitar la sincronización - Se espera que los mapeos predeterminados sean suficientes. Sin embargo, verifica que la sincronización esté habilitada para usuarios y que todos los métodos necesarios (Crear, Actualizar, Eliminar) estén encendidos (ON):
Atribuir mapeo
Ten en cuenta que Miro reconocerá a los usuarios de Azure solo por sus UPN para el flujo iniciado con SP.
Para agregar uno de los atributos compatibles haz clic en Mostrar opciones avanzadas y selecciona Editar la lista de atributos para Miro:
Opciones avanzadas
Luego ingresa el nombre del atributo que quieres mapear y guárdalo. Consulta nuestra documentación SCIM para ver la lista completa de los atributos compatibles.
Atributos de usuario de Miro
Ahora puedes elegir la opción Agregar nuevo mapeo y seleccionar el nuevo atributo que acabamos de agregar:
Ten en cuenta que para poder mapear un nuevo atributo deberás habilitar esta opción accediendo a Azure con el siguiente URL:
https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true
Para obtener más información sobre cómo agregar nuevos atributos, visita la documentación de Microsoft aquí y aquí.
⚠️ El atributo ProfilePicture (Imagen de perfil) no es compatible con Azure. Puedes solicitar esta función para promocionar su desarrollo enVoz del usuario.
Grupos
- Elige la pestaña Aprovisionamiento a la izquierda y luego haz clic en Sincronizar grupos del directorio activo de Azure con Miro.
- Se espera que los mapeos predeterminados sean suficientes. Comprueba que la sincronización está habilitada para grupos y desmarca los métodos Crear y Eliminar - Ten en cuenta que la API SCIM de Miro no soporta la creación o eliminación de equipos.
⚠️ Recomendamos vehementemente desmarcar estos métodos para prevenir cambios no planificados cuando empecemos a soportarlos.
- Haz clic en Guardar.
Asignaciones del usuario y del grupo
El aprovisionamiento SCIM de Miro puede ayudarte a aprovisionar la subscripción Enterprise a los usuarios o eliminar este aprovisionamiento, así como a distribuirlos automáticamente entre los equipos. Los usuarios o grupos del Directorio activo de Azure deben asignarse a la aplicación Miro SCIM Provisioner para poder ser administrados automáticamente en Miro. Para asignar usuarios y grupos a la aplicación, sigue los pasos a continuación.
Recomendamos usuarios de aprovisionamiento a través de la asignación de grupos. En ese caso, cuando se elimina al usuario de todos los grupos asignados en Azure AD, el mismo usuario se elimina también de todos los equipos en Miro (ten en cuenta que seguirán siendo miembros de la subscripción Enterprise). Para desactivar a un usuario en tu plan Enterprise, desactívalo en Azure AD, lo que enviará la solicitud correspondiente a Miro. Para eliminar a un usuario de Miro, usa la página de Usuarios activos en Miro.
- Elige la pestaña Provisioning (Aprovisionamiento) a la izquierda. En la sección de Ajustes, asegúrate de que el alcance corresponda al que esperas que se sincronice con Miro. Elige "Sincronizar solo usuarios y grupos asignados".
- Elige las pestañas User and groups (Usuarios y grupos) en el panel izquierdo, luego haz clic en la pestaña Add user (Añadir usuario):
Pestaña de usuarios y grupos - En la pantalla Añadir asignación, elige Usuarios y grupos, luego selecciona usuarios y grupos de la lista. NOTA:La API SCIM de Miro no crea equipos nuevos en Miro. Consulta la lista de características SCIM aquí.
- Haz clic en los botones Seleccionar y luego Asignar.
- Los usuarios y grupos asignados aparecerán en la lista.
Cómo habilitar y deshabilitar el aprovisionamiento
Cuando la configuración inicial esté completa, cambia la opción de Estado de aprovisionamiento para activar o desactivar el aprovisionamiento.
- Elige la pestaña de Aprovisionamiento a la izquierda.
- Haz clic en la opción On sobre el botón de activar/
desactivar el Estado de aprovisionamiento - Haz clic en Guardar. Esto comenzará el aprovisionamiento inicial que podría tomar algún tiempo. Vuelve al cabo de alrededor de 20 minutos y verifica la parte inferior de la página para ver el estado.
Siempre que sea necesario, elige la opción Off para desactivar el aprovisionamiento. Ten en cuenta que Azure actualiza los datos de manera intermitente, así que si necesitas una actualización urgente detén el aprovisionamiento y comienza de nuevo. La resincronización será inmediata e incluirá también las actualizaciones.
Cómo desacoplar grupos y equipos
Para habilitar SCIM y sincronizar tus grupos con tus grupos de Miro, los mismos deben estar nombrados del mismo modo, ya que Miro realiza la sincronización en base al valor Nombre. Sin embargo, si necesitas que los nombres sean distintos, puedes cambiar el de cualquiera de ellos una vez realizada la sincronización. Consulta el ejemplo a continuación.
El resultado planificado: en Azure hay un grupo llamado sfo_hq_eng_support mientras que en Miro hay equipo llamado Soporte de ingeniería y la sincronización se realiza entre los dos.
Ejecuta el comando curl para enumerar todos los Grupos de seguridad (no olvides reemplazar los marcadores de posición con tus valores únicos):
curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X GET https://miro.com/api/v1/scim/Groups
Respuesta de muestra:
{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:ListResponse"
],
"totalResults": 1,
"Resources": [
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:Group"
],
"id": "3074457345618261605",
"displayName": "YourMiroTeamName",
"members": [],
"meta": {
"resourceType": "Group",
"location": "https://miro.com/api/v1/scim/Groups/3074457345618261605"
}
}
]
}
En este momento, en Miro existe un equipo de Miro llamado Soporte de ingeniería y el Grupo de seguridad de Miro Soporte de ingeniería (con el id 3074457345618261605). Están mapeados 1:1.
El objetivo ahora es modificar el nombre del Grupo de seguridad Soporte de ingeniería a sfo_hq_eng_support manteniendo igual el nombre del equipo. Para lograr esto, ejecuta el comando curl:
curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605 \
-d '{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op": "Replace",
"path": "displayName",
"value": "YourSecurityGroupName"
}
]
}'
Este cambio se mostrará inmediatamente en la página Equipos de la empresa en Miro.
Azure realiza la sincronización programada en segundo plano cada 40 minutos. Con la siguiente sincronización, Azure verá el Grupo de seguridad sfo_hq_eng_support en Miro y lo vinculará automáticamente con el Grupo respectivo en Azure.
En este punto habrás conectado tu Grupo de seguridad a uno de tus equipos de Miro y podrás tenerlos con nombres diferentes.
Posibles dificultades y cómo resolverlas
Problemas con el cambio de emails de usuarios
Si actualizaste algunos emails de usuarios, pero no ves el cambio en Miro, verifica que el atributo esperado esté actualizado. Este problema suele surgir cuando se usan emails[type eq "work"].
El atributo emails[type eq "work"] es un valor predeterminado en Azure, por lo que Miro es compatible, pero es de solo lectura y se genera dinámicamente a partir de userName.
Al leer usuarios, devolvemos:
Dado que emails[type eq "work"] es de solo lectura en nuestro extremo, Miro ignorará cualquier intento de modificarlo. Esto se debe a que en Miro el email es el ID principal del usuario; así es como reconocemos a los usuarios, por lo que no admitimos emails adicionales. Pero la estructura SCIM sí requiere una matriz de email, por lo que admitimos su existencia.
Para modificar los emails de usuario, la actualización debe enviarse para userName, no emails[type eq "work"].
Error al actualizar el error de usuario
Los registros de Azure muestran el estado Failed con:
Status Reason - "Failed to update user: Attribute emails does not have a multi-valued or complex value"
ErrorCode - SystemForCrossDomainIdentityManagementServiceIncompatible