Deutsch English (US) Français 日本語 한국어(대한민국) Polski (Polska) Português do Brasil

Artículos en esta sección

Cómo configurar el aprovisionamiento automatizado con Entra ID

  • Actualización

Disponible para: Plan Enterprise
Rol requerido: Administrador de la empresa
 

⚠️ En la guía se proporcionan pasos para configurar la función. Para conocer la funcionalidad disponible, las reglas que sigue SCIM de Miro y los posibles problemas y cómo resolverlos, consulta esta sección primero.
La documentación de desarrollador de Miro para SCIM se puede encontrar aquí.

Una guía de aprovisionamiento detallada para clientes que utilizan el Programa de Licencias Flexibles se puede encontrar aquí

Requisitos previos

Los socios de SSO usan la API SCIM de Miro para aprovisionar y administrar usuarios y equipos (grupos). El SSO basado en SAML debe estar correctamente configurado y en funcionamiento en tu plan Enterprise de Miro antes de que empieces a configurar el aprovisionamiento automatizado. Las instrucciones sobre cómo configurar el SSO se pueden encontrar aquí

Tus grupos de seguridad y equipos de Miro ya deben estar creados y nombrados de la misma manera.

Configuración del aprovisionamiento

Una vez creada la aplicación durante la configuración de SSO, verás sus ajustes:
Miro_app_settings.jpg
Ajustes de la aplicación de Miro

  1. Elige el ítem Provisioning en el panel izquierdo y luego cambia el Provisioning Mode de Manual a Automatic:
  2. Proveer credenciales de admin:
    a) Usa https://miro.com/api/v1/scim/ como URL del arrendatario
    b) Proporciona el token secreto. Puedes obtenerlo desde la sección de inicio de sesión único de tu configuración de Miro de esta manera:
    c) Haz clic en el botón Probar conexión justo debajo del cuadro de edición de la clave secreta.
    Si la conexión pasa la prueba, recibirás la siguiente notificación:
    mceclip0.png
    Notificación de prueba de conexión exitosa
    Si no hay confirmación, verifica nuevamente el URL del arrendatario y asegúrate de que no esté bloqueado por firewalls u otros interceptores de tráfico dentro de tu red, así como asegúrate de que el token de API sea correcto.
  3. Guarda la configuración:
    save_configuration.jpg
    Guardar la configuración

Mapas

La API SCIM de Miro usa parte de los metadatos que Entra ID asocia a usuarios y grupos. Esta sección explica los mapeos necesarios entre la API SCIM de Miro y los atributos de Entra ID.

Usuarios

  1. Elige la pestaña Provisioning en el lado izquierdo, luego haz clic en Sincronizar Usuarios de Entra Active Directory a Miro:
    synchronize_users.jpg
    Habilitando la sincronización
  2. Se espera que los mapeos predeterminados sean suficientes. Sin embargo, verifica que la sincronización esté habilitada para usuarios y que todos los métodos necesarios (Crear, Actualizar, Eliminar) estén encendidos (ON):
    attribute_mapping.jpg
    Atribuir mapeo

Ten en cuenta que Miro reconocerá a los usuarios de Entra solo por sus UPN para el flujo iniciado con SP. 

Para agregar uno de los atributos compatibles haz clic en la opción Mostrar opciones avanzadas y selecciona Editar la lista de atributos para Miro:

attribute_mappings.jpg
Opciones avanzadas

Luego ingresa el nombre del atributo que quieres mapear y guárdalo. Consulta nuestra documentación SCIM para ver la lista completa de los atributos compatibles.

Miro_user_attrbutes.jpg
Atributos de usuario de Miro

Ahora puedes elegir la opción Agregar nuevo mapeo y seleccionar el nuevo atributo que acabamos de agregar:

edit_attribute.jpg

Ten en cuenta que para poder mapear un nuevo atributo debes habilitar esta opción accediendo a Entra con la siguiente URL:

https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true

Para obtener más información sobre cómo agregar nuevos atributos, visita la documentación de Microsoft aquí y aquí

⚠️ El atributo ProfilePicture no es compatible con Entra. Puedes solicitar esta función para promover su desarrollo en User Voice.

Grupos

  1. Elige la pestaña Aprovisionamiento a la izquierda y luego haz clic en Sincronizar grupos de Entra Active Directory con Miro.

  2. Se espera que los mapeos predeterminados sean suficientes. Comprueba que la sincronización está habilitada para los grupos y desmarca los métodos Crear y Eliminar - ten en cuenta que la API SCIM de Miro no soporta la creación ni eliminación de equipos.
     

    ⚠️ Recomendamos encarecidamente desmarcar los métodos para evitar cambios no planificados cuando comencemos a soportarlos. 

    mceclip0.png

  3. Haz clic en Guardar.

Asignaciones de Usuarios y Grupos

El aprovisionamiento SCIM de Miro te ayuda a aprovisionar y desaprovisionar usuarios a tu suscripción Enterprise, así como a distribuirlos automáticamente entre los equipos.

Los usuarios o grupos del Directorio Activo Entra deben asignarse a la aplicación Miro SCIM Provisioner para ser gestionados automáticamente en Miro.

Para asignar usuarios y grupos a la aplicación, sigue los pasos que se indican a continuación.

  1. Elige la pestaña Provisioning a la izquierda. En la sección Settings, asegúrate de que el alcance esté configurado al que esperas que se sincronice con Miro. Por favor, elige "Sincronizar solo usuarios y grupos asignados".
  2. Elige las pestañas de Usuarios y grupos en el panel izquierdo, luego haz clic en Añadir usuario:
    user_and_groups.jpg
    Pestaña de usuarios y grupos
  3. En la pantalla de Añadir asignación, elige la pestaña de Usuarios y grupos, luego selecciona usuarios y grupos de la lista. NOTA: La API SCIM de Miro no crea equipos nuevos en Miro. Consulta la lista de funciones SCIM aquí.
  4. Haz clic en Seleccionar y luego en los botones de Asignar.
  5. Los usuarios y grupos asignados aparecerán en la lista.

✏️ Eliminar la asignación de grupos en Entra ID no elimina a los usuarios del equipo sincronizado en Miro ni los desactiva. Para desprovisionar usuarios con éxito, elimínalos de todos los grupos de Entra ID conectados a Miro.

Bajar de categoría a un usuario

Para bajar de categoría a un usuario, sigue estos pasos:

  1. En Entra ID, sigue estos pasos:
    1. Saca al usuario del grupo donde se le ha asignado el rol de Completo.
    2. Asegúrate de que el usuario sea miembro de otro grupo donde se le asigne el rol de Usuario.
  2. En Miro, actualiza su licencia a Gratuita Restringida.

⚠️ Si eliminas a un usuario de todos los grupos de Entra ID asignados a la aplicación Miro, el usuario se desactiva en Miro y pierde acceso a la aplicación Miro. Si el usuario al que estás bajando de categoría debe seguir accediendo a Miro con una licencia Gratuita Restringida, entonces asegúrate de que el usuario sea miembro de un grupo de Entra ID donde se le asigne el rol de Usuario.

✏️ Aún no se admite bajar de categoría a un usuario de una licencia Completa a una Restringida Gratis mediante el aprovisionamiento SCIM.

Habilitar y deshabilitar el aprovisionamiento

Cuando la configuración inicial esté completa, cambia el interruptor de Estado de Aprovisionamiento para habilitar el aprovisionamiento.

  1. Elige la pestaña Provisioning a la izquierda.
  2. Haz clic en la opción On sobre el botón de estado de aprovisionamiento.
    provisioning_status.jpg
    Estado del aprovisionamiento
  3. Presiona Guardar. Esto comenzará el aprovisionamiento inicial que podría tomar algún tiempo. Vuelve al cabo de unos 20 minutos y verifica la parte inferior de la página para ver el estado.

Siempre que sea necesario, elige la opción Off para deshabilitar el aprovisionamiento. Ten en cuenta que Entra actualiza los datos de manera intermitente, así que si necesitas una actualización urgente, detén el aprovisionamiento y comienza de nuevo. La resincronización será inmediata e incluirá también las actualizaciones.

Desacoplamiento de Grupos y Equipos

Para habilitar SCIM y sincronizar tus grupos con los equipos de Miro, deben estar nombrados de la misma manera porque Miro realiza la sincronización basada en el valor del nombre. Sin embargo, si necesitas que tengan nombres diferentes, puedes cambiar los nombres de cualquiera de ellos después de que se realice la sincronización. Por favor, consulta el ejemplo a continuación. 

El resultado planificado: en Entra hay un grupo llamado sfo_hq_eng_support mientras que en Miro hay un equipo llamado Ingeniería Soporte y la sincronización se realiza entre los dos.

Ejecuta el comando curl para enumerar todos los Grupos de Seguridad (no olvides reemplazar los marcadores de posición con tus valores únicos):

curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X GET https://miro.com/api/v1/scim/Groups

Respuesta de muestra:

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:ListResponse"
  ],
  "totalResults": 1,
  "Recursos": [
    {
      "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:Group"
      ],
      "id": "3074457345618261605",
      "displayName": "YourMiroTeamName",
      "members": [],
      "meta": {
        "resourceType": "Group",
        "location": "https://miro.com/api/v1/scim/Groups/3074457345618261605"
      }
    }
  ]
}

En este momento, en Miro existe un equipo llamado Soporte de ingeniería y el Grupo de seguridad llamado Engineering Support (con el id 3074457345618261605). Están mapeados 1:1.

El objetivo ahora es modificar el nombre del Grupo de seguridad Engineering Support a sfo_hq_eng_support manteniendo igual el nombre del equipo. Para lograr esto, ejecuta el comando curl:

curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605 \
-d '{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "Replace",
      "path": "displayName",
      "value": "YourSecurityGroupName"
    }
  ]
}'

Este cambio se mostrará inmediatamente en la página Equipos de la empresa en Miro.

mceclip0.png

Entra realiza la sincronización programada en segundo plano cada 40 minutos. Con la siguiente sincronización, Entra verá el Grupo de seguridad sfo_hq_eng_support en Miro y lo vinculará automáticamente con el Grupo respectivo en Entra.

En este punto habrás conectado tu Grupo de seguridad a uno de tus equipos de Miro y podrás tenerlos con nombres diferentes. 

Posibles problemas y cómo resolverlos

Problemas con el cambio de correos electrónicos de usuarios

Si actualizaste algunos correos electrónicos de usuarios, pero no ves el cambio en Miro, verifica que el atributo esperado esté actualizado. Este problema suele surgir cuando se usan emails[type eq "work"].

emails[type eq "work"] es un atributo predeterminado en Entra, por lo que Miro es compatible, aunque es de solo lectura y se genera dinámicamente a partir de userName
Al leer usuarios, devolvemos: 

mceclip1.pngDado que emails[type eq "work"] es de solo lectura en nuestro extremo, Miro ignorará cualquier intento de modificarlo. Esto se debe a que, en Miro, el correo electrónico de un usuario es el ID principal del usuario; es por lo que reconocemos a los usuarios, así que no admitimos correos adicionales. Pero la estructura SCIM sí requiere una matriz de correo electrónico, por lo que admitimos su existencia. 

Para modificar los correos electrónicos de usuario, la actualización debe enviarse para userName, no emails[type eq "work"]

mceclip0.png

Error al actualizar usuario

Los registros de Entra muestran el estado Failed con:

Razón del estado - "Error al actualizar el usuario: El atributo correos electrónicos no tiene un valor multivaluado o complejo"
Código de error - SystemForCrossDomainIdentityManagementServiceIncompatible

¿Te resultó útil este artículo?
Sí, gracias No realmente
¡Lo lamentamos! ¿Por qué no te resultó útil el artículo?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Regresar al inicio

Artículos relacionados