Deutsch English (US) Français 日本語

Artículos en esta sección

Cómo configurar el aprovisionamiento automatizado con Azure AD

Cat
  • Actualización

Disponible para: plan Enterprise
Configurado por: admin de empresa
 

⚠️ La guía proporciona pasos para configurar la función. Para obtener la funcionalidad disponible, las reglas que se aplican a SCIM de Miro y los posibles problemas y formas de resolverlos, consulta primero aquí.
La documentación para desarrolladores de Miro para SCIM se puede encontrar aquí.

Se puede consultar una guía de aprovisionamiento detallada para clientes que utilizan el Programa de licencias flexible aquí

Requisitos previos

La API SCIM de Miro es utilizada por socios SSO para ayudar a aprovisionar y administrar usuarios y equipos (grupos). El SSO basado en SAML debe estar correctamente configurado y en funcionamiento en tu plan Enterprise de Miro antes de que empieces a configurar el aprovisionamiento automatizado. Las instrucciones sobre cómo configurar SSO se pueden encontrar aquí

Tus grupos de seguridad y equipos de Miro ya deben estar creados y nombrados de la misma manera.

Cómo configurar el aprovisionamiento

Una vez creada la aplicación durante la configuración de SSO, verás sus ajustes:
Miro_app_Settings.jpg
Ajustes de la aplicación de Miro

  1. Elige el elemento Aprovisionamiento en el panel izquierdo y luego cambia el Modo de aprovisionamiento de Manual a Automático:
  2. Proporcionar credenciales de admin:
    a) Usa https://miro.com/api/v1/scim/ como URL de inquilino
     b) Proporcionar el token secreto. Puedes obtenerlo en la sección SSO de tus ajustes de Miro de la siguiente manera:
    scim.jpg
    c) Haz clic en el botón Probar conexión ubicado justo debajo de la caja de edición de la Tecla secreta.
    Si la conexión pasa a la prueba, obtendrás la siguiente notificación:
    mceclip0.png
    Notificación de prueba de conexión exitosa
    Si no hay confirmación, vuelve a verificar el URL de inquilino y asegúrate de que no esté bloqueado por firewalls u otros interceptores de tráfico dentro de tu red. Asegúrate también de que el token de la API sea correcto.
  3. Guarda la configuración:
    save_configuration.jpg
    Cómo guardar la configuración

Mapeos

La API SCIM de Miro usa parte de los metadatos que Azure AD asocia a usuarios y grupos. Esta sección explica los mapeos necesarios entre la API SCIM de Miro y los atributos de Azure AD.

Usuarios

  1. Elige la pestaña Aprovisionamiento en el lado izquierdo y luego haz clic en Sincronizar usuarios del directorio activo de Azure con Miro:
    synchronize_users.jpg
    Cómo habilitar la sincronización
  2. Se espera que los mapeos predeterminados sean suficientes. Sin embargo, verifica que la sincronización esté habilitada para usuarios y que todos los métodos necesarios (Crear, Actualizar, Eliminar) estén encendidos (ON):
    attribute_mapping.jpg
    Atribuir mapeo

Ten en cuenta que Miro reconocerá a los usuarios de Azure solo por sus UPN para el flujo iniciado con SP.

Para agregar uno de los atributos compatibles haz clic en Mostrar opciones avanzadas y selecciona Editar la lista de atributos para Miro:

attribute_mappings.jpg
Opciones avanzadas

Luego ingresa el nombre del atributo que quieres mapear y guárdalo. Consulta nuestra documentación SCIM para ver la lista completa de los atributos compatibles.

Miro_user_attrbutes.jpg
Atributos de usuario de Miro

Ahora puedes elegir la opción Agregar nuevo mapeo y seleccionar el nuevo atributo que acabamos de agregar:

edit_attribute.jpg

Ten en cuenta que para poder mapear un nuevo atributo deberás habilitar esta opción accediendo a Azure con el siguiente URL:

https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true

Para obtener más información sobre cómo agregar nuevos atributos, visita la documentación de Microsoft aquí y aquí.

⚠️ El atributo ProfilePicture (Imagen de perfil) no es compatible con Azure. Puedes solicitar esta función para promocionar su desarrollo enVoz del usuario.

Grupos

  1. Elige la pestaña Aprovisionamiento a la izquierda y luego haz clic en Sincronizar grupos del directorio activo de Azure con Miro.
  2. Se espera que los mapeos predeterminados sean suficientes. Comprueba que la sincronización está habilitada para grupos y desmarca los métodos Crear y Eliminar - Ten en cuenta que la API SCIM de Miro no soporta la creación o eliminación de equipos.
    ⚠️ Recomendamos vehementemente desmarcar estos métodos para prevenir cambios no planificados cuando empecemos a soportarlos.
    mceclip0.png
  3. Haz clic en Guardar.

Asignaciones del usuario y del grupo

El aprovisionamiento SCIM de Miro puede ayudarte a aprovisionar la subscripción Enterprise a los usuarios o eliminar este aprovisionamiento, así como a distribuirlos automáticamente entre los equipos. Los usuarios o grupos del Directorio activo de Azure deben asignarse a la aplicación Miro SCIM Provisioner para poder ser administrados automáticamente en Miro. Para asignar usuarios y grupos a la aplicación, sigue los pasos a continuación.

Recomendamos usuarios de aprovisionamiento a través de la asignación de grupos. En ese caso, cuando se elimina al usuario de todos los grupos asignados en Azure AD, el mismo usuario se elimina también de todos los equipos en Miro (ten en cuenta que seguirán siendo miembros de la subscripción Enterprise). Para desactivar a un usuario en tu plan Enterprise, desactívalo en Azure AD, lo que enviará la solicitud correspondiente a Miro. Para eliminar a un usuario de Miro, usa la página de Usuarios activos en Miro.

  1. Elige la pestaña Provisioning (Aprovisionamiento) a la izquierda. En la sección de Ajustes, asegúrate de que el alcance corresponda al que esperas que se sincronice con Miro. Elige "Sincronizar solo usuarios y grupos asignados".
  2. Elige las pestañas User and groups (Usuarios y grupos) en el panel izquierdo, luego haz clic en la pestaña Add user (Añadir usuario):
    user_and_groups.jpg
    Pestaña de usuarios y grupos
  3. En la pantalla Add assignment (Añadir asignación), elige Users and groups (Usuarios y grupos), luego selecciona usuarios y grupos de la lista. NOTALa API SCIM de Miro no crea equipos nuevos en Miro. Consulta la lista de características SCIM aquí
  4. Haz clic en los botones Select (Seleccionar) y luego Assign (Asignar).
  5. Los usuarios y grupos asignados aparecerán en la lista.

Cómo habilitar y deshabilitar el aprovisionamiento

Cuando la configuración inicial esté completa, cambia la opción de Estado de aprovisionamiento para activar o desactivar el aprovisionamiento.

  1. Elige la pestaña Provisioning (Aprovisionamiento) a la izquierda.
  2. Haz clic en la opción On sobre el botón de activar/desactivar
    aprovisionamiento_estado.jpg
    Estado de aprovisionamiento
  3. Haz clic en Save (Guardar). Esto comenzará el aprovisionamiento inicial que podría tomar algún tiempo. Vuelve al cabo de alrededor de 20 minutos y verifica la parte inferior de la página para ver el estado.

Siempre que sea necesario, elige la opción Off (Desactivar) para desactivar el aprovisionamiento. Ten en cuenta que Azure actualiza los datos de manera intermitente, así que si necesitas una actualización urgente detén el aprovisionamiento y comienza de nuevo. La resincronización será inmediata e incluirá también las actualizaciones.

Cómo desacoplar grupos y equipos

Para habilitar SCIM y sincronizar tus grupos con tus grupos de Miro, los mismos deben estar nombrados del mismo modo, ya que Miro realiza la sincronización en base al valor Nombre. Sin embargo, si necesitas que los nombres sean distintos, puedes cambiar el de cualquiera de ellos una vez realizada la sincronización. Consulta el ejemplo a continuación. 

El resultado planificado: en Azure hay un grupo llamado sfo_hq_eng_support mientras que en Miro hay equipo llamado Engineering Support (Soporte de ingeniería) y la sincronización se realiza entre los dos.

Ejecuta el comando curl para enumerar todos los grupos de seguridad:

curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X GET https://miro.com/api/v1/scim/Groups

Respuesta de muestra:

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:ListResponse"
  ],
  "totalResults": 1,
  "Resources": [
    {
      "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:Group"
      ],
      "id": "3074457345618261605",
      "displayName": "YourMiroTeamName",
      "members": [],
      "meta": {
        "resourceType": "Group",
        "location": "https://miro.com/api/v1/scim/Groups/3074457345618261605"
      }
    }
  ]
}

En este momento, en Miro existe un equipo de Miro llamado Soporte de ingeniería y el Grupo de seguridad de Miro Soporte de ingeniería (con el id 3074457345618261605). Están mapeados 1:1.

El objetivo ahora es modificar el nombre del Grupo de seguridad Soporte de ingeniería a sfo_hq_eng_support manteniendo igual el nombre del equipo. Para lograr esto, ejecuta el comando curl:

curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X PATCH https://miro.com/api/v1/scim/Groups/3074457345618261605 \
-d '{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "Replace",
      "path": "displayName",
      "value": "YourSecurityGroupName"
    }
  ]
}'

Este cambio se mostrará inmediatamente en la página Equipos de la empresa en Miro.

mceclip0.png

Azure realiza la sincronización programada en segundo plano cada 40 minutos. Con la siguiente sincronización, Azure verá el Grupo de seguridad sfo_hq_eng_support en Miro y lo vinculará automáticamente con el Grupo respectivo en Azure.

En este punto habrás conectado tu Grupo de seguridad a uno de tus equipos de Miro y podrás tenerlos con nombres diferentes.

Posibles dificultades y cómo resolverlas

Problemas con el cambio de emails de usuarios

Si actualizaste algunos emails de usuarios, pero no ves el cambio en Miro, verifica que el atributo esperado esté actualizado. Este problema suele surgir cuando se usan emails[type eq "work"].

El atributo emails[type eq "work"] es un valor predeterminado en Azure, por lo que Miro es compatible, pero es de solo lectura y se genera dinámicamente a partir de userName
Al leer usuarios, devolvemos: 

mceclip1.pngDado que emails[type eq "work"] es de solo lectura en nuestro extremo, Miro ignorará cualquier intento de modificarlo. Esto se debe a que en Miro el email es el ID principal del usuario; así es como reconocemos a los usuarios, por lo que no admitimos emails adicionales. Pero la estructura SCIM sí requiere una matriz de email, por lo que admitimos su existencia. 

Para modificar los emails de usuario, la actualización debe enviarse para userName, no emails[type eq "work"].

mceclip0.png

Error al actualizar el error de usuario

Los registros de Azure muestran el estado Failed con:

Status Reason - "Failed to update user: Attribute emails does not have a multi-valued or complex value"
ErrorCode - SystemForCrossDomainIdentityManagementServiceIncompatible

¿Te resultó útil este artículo?
Sí, gracias No realmente
¡Lo lamentamos! ¿Por qué no te resultó útil el artículo?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Regresar al inicio

Artículos relacionados