Deutsch English (US) Français 日本語 한국어(대한민국) Polski (Polska) Português do Brasil

Artículos en esta sección

Configurar el aprovisionamiento automático con Entra ID

  • Actualización

Disponible para: plan Enterprise
Rol requerido: admin de empresa
 

⚠️ En la guía se proporcionan pasos para configurar la función. Para conocer la funcionalidad disponible, las reglas que sigue Miro SCIM y los posibles problemas y cómo resolverlos, consulta esta sección primero.
Puedes consultar la documentación de los desarrolladores de Miro para SCIM aquí.

Se puede consultar una guía de aprovisionamiento detallada para clientes que utilizan el Programa de licencias flexible aquí.  

Requisitos previos

Los socios de SSO usan la API SCIM de Miro para aprovisionar y administrar usuarios y equipos (grupos). El SSO basado en SAML debe estar correctamente configurado y en funcionamiento en tu plan Enterprise de Miro antes de que empieces a configurar el aprovisionamiento automatizado. Las instrucciones sobre cómo configurar SSO se pueden encontrar aquí

Tus grupos de seguridad y equipos de Miro ya deben estar creados y nombrados de la misma manera.

Cómo configurar el aprovisionamiento

Una vez creada la aplicación durante la configuración del SSO, verás su configuración:
Miro_app_Settings.jpg
Ajustes de la aplicación Miro

  1. Elige el elemento Aprovisionamiento en el panel izquierdo y luego cambia el Modo de aprovisionamiento de Manual a Automático:
  2. Proporciona credenciales de admins:
    a) Utiliza https://miro.com/api/v1/scim/ como URL del inquilino
    b) Proporciona la Ficha Secreta. Puedes obtenerlo de la sección SSO de tu configuración de Miro de la siguiente manera:
    scim.jpg
    c) Pulsa el botón Probar conexión justo debajo del cuadro de edición Clave secreta.
    Si la conexión supera la prueba, recibirás la siguiente notificación:
    mceclip0.png
    Notificación de prueba de conexión satisfactoria
    Si no hay confirmación, vuelve a comprobar la URL del Tenant y asegúrate de que no está bloqueada por cortafuegos o cualquier otro interceptor de tráfico dentro de tu red, así como asegúrate de que el token de la API es correcto.
  3.  Guarda la configuración.
    save_configuration.jpg
    Guardar la configuración

Mapeos

La API SCIM de Miro utiliza una parte de los metadatos que Entra ID adjunta a usuarios y grupos. Esta sección explica los mapas necesarios entre la API SCIM de Miro y los atributos ID de Entra.

Usuarios

  1. Elige la pestaña Aprovisionamiento en el lado izquierdo y, a continuación, haz clic en Sincronizar usuarios de Entra Active Directory con Miro:
    synchronize_users.jpg
    Habilitar la sincronización
  2. Se espera que los mapeos predeterminados sean suficientes. Sin embargo, comprueba que la sincronización está habilitada para los usuarios y que todos los métodos necesarios (Crear, Actualizar, Eliminar) están ACTIVADOS:
    attribute_mapping.jpg
    Asignación de atributos

Ten en cuenta que Miro reconocerá a los usuarios de Entra sólo por sus UPN para el flujo iniciado por el SP. 

Para agregar uno de los atributos compatibles haz clic en Mostrar opciones avanzadas y selecciona Editar la lista de atributos para Miro:

attribute_mappings.jpg
Opciones avanzadas

A continuación, introduce el nombre del atributo que quieras mapear y guárdalo. Consulta nuestra documentación SCIM para ver la lista completa de atributos admitidos.

Miro_user_attrbutes.jpg
Atributos de usuario de Miro

Ahora puedes elegir la opción Agregar nuevo mapeo y seleccionar el nuevo atributo que acabamos de agregar:

edit_attribute.jpg

Ten en cuenta que para poder mapear un nuevo atributo debes habilitar esta opción accediendo a Entra con la siguiente URL:

https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true

Para obtener más información sobre cómo agregar nuevos atributos, visita la documentación de Microsoft aquí y aquí. 

⚠️ El atributo ProfilePicture no es compatible con Entra. Puedes solicitar esta función para promocionar su desarrollo enVoz del usuario.

Grupos

  1. Elige la pestaña Aprovisionamiento de la izquierda y, a continuación, haz clic en Sincronizar grupos de Entra Active Directory con Miro.

  2. Se espera que los mapeos predeterminados sean suficientes. Comprueba que la sincronización está habilitada para grupos y desmarca los métodos Crear y Eliminar - Ten en cuenta que la API SCIM de Miro no soporta la creación o eliminación de equipos.
     

    ⚠️ Recomendamos vehementemente desmarcar estos métodos para prevenir cambios no planificados cuando empecemos a soportarlos. 

    mceclip0.png

  3. Haz clic en Guardar

Asignaciones del usuario y del grupo

El aprovisionamiento de Miro SCIM te ayuda a aprovisionar y desprovisionar usuarios a tu suscripción de empresa, y a distribuirlos automáticamente entre los equipos. 

Los usuarios o Grupos de Entra Active Directory deben asignarse a la aplicación Miro SCIM Provisioner para que se gestionen automáticamente en Miro. 

Para asignar usuarios y grupos a la aplicación, sigue los pasos a continuación.

  1. Elige la pestaña Provisioning (Aprovisionamiento) a la izquierda. En la sección de Ajustes, asegúrate de que el alcance corresponda al que esperas que se sincronice con Miro. Elige "Sincronizar solo usuarios y grupos asignados".
  2. Elige las pestañas Usuario y Grupos en el panel izquierdo y, a continuación, haz clic en Añadir usuario:
    user_and_groups.jpg
    Pestaña de usuarios y grupos
  3. En la pantalla Añadir asignación, elige Usuarios y grupos, luego selecciona usuarios y grupos de la lista. NOTA: La API SCIM de Miro no crea nuevos equipos en Miro. Consulta la lista de características SCIM aquí. 
  4. Haz clic en los botones Seleccionar y luego Asignar.
  5. Los usuarios y grupos asignados aparecerán en la lista.

Dar de baja a un usuario en Entra ID

Para degradar a un usuario, elimínalo del grupo Entra ID en el que tiene asignado el rol de app Completa. A continuación, asegúrate de que el usuario es miembro de un grupo en el que está asignado el rol de app Usuario. En Miro, actualiza su licencia a Free Restricted.

⚠️ Si eliminas a cualquier usuario de todos los grupos de Entra ID asignados a la aplicación Miro, el usuario será desactivado en Miro y perderá el acceso a la aplicación Miro. Si el usuario que estás degradando debe seguir accediendo a Miro con una licencia gratuita limitada, asegúrate de que es miembro de un grupo Entra ID en el que tenga asignado el rol de Usuario.

✏️ Todavía no se admite el cambio de un usuario de una licencia gratuita limitada a una licencia completa mediante el aprovisionamiento SCIM.

Cómo habilitar y deshabilitar el aprovisionamiento

Cuando la configuración inicial esté completa, cambia la opción de Estado de aprovisionamiento para activar o desactivar el aprovisionamiento.

  1. Elige la pestaña Provisioning (Aprovisionamiento) a la izquierda.
  2. Pulsa la opción Activado en el conmutador Estado de aprovisionamiento.
    provisioning_status.jpg
    Estado de aprovisionamiento
  3. Haz clic en Guardar. Esto comenzará el aprovisionamiento inicial que podría tomar algún tiempo. Vuelve al cabo de alrededor de 20 minutos y verifica la parte inferior de la página para ver el estado.

Siempre que sea necesario, elige la opción Off para desactivar el aprovisionamiento. Ten en cuenta que Entra actualiza los datos de forma intermitente, por lo que si necesitas una actualización urgente, detén el aprovisionamiento y vuelve a iniciarlo. La resincronización será inmediata e incluirá también las actualizaciones.

Cómo desacoplar grupos y equipos

Para habilitar SCIM y sincronizar tus grupos con tus grupos de Miro, los mismos deben estar nombrados del mismo modo, ya que Miro realiza la sincronización en base al valor Nombre. Sin embargo, si necesitas que los nombres sean distintos, puedes cambiar el de cualquiera de ellos una vez realizada la sincronización. Consulta el ejemplo a continuación.  

El resultado previsto: en Entra hay un Grupo llamado sfo_hq_eng_support mientras que en Miro hay un Equipo llamado Engineering Soporte y la sincronización se realiza entre los dos.

Ejecuta el comando curl para enumerar todos los Grupos de seguridad (no olvides reemplazar los marcadores de posición con tus valores únicos):

rizar
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Autorización: Portador SCIM_API_TOKEN" \
-X GET https://miro.com/api/v1/scim/Groups

Respuesta de muestra:


  "esquemas": [
    "urn:ietf:params:scim:api:messages:2.0:ListResponse"
  
  "totalResultados": 1.
  Recursos:
    
      "esquemas": [
        "urn:ietf:params:scim:schemas:core:2.0:Grupo"
      
      ID 3074457345618261605.
          displayName (Nombre de visualización); "TuNombreDeEquipoMiro",
      Miembros
      "meta": {
        "tipo de recurso": Agrupar
        "ubicación":"https://miro.com/api/v1/scim/Groups/3074457345618261605"

En este momento, en Miro existe un equipo de Miro llamado Soporte de ingeniería y el Grupo de seguridad de Miro Soporte de ingeniería (con el id 3074457345618261605). Están mapeados 1:1.

El objetivo ahora es modificar el nombre del Grupo de seguridad Soporte de ingeniería a sfo_hq_eng_support manteniendo igual el nombre del equipo. Para lograr esto, ejecuta el comando curl:

rizar
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Autorización: Portador SCIM_API_TOKEN" \
-X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605 \ 
D
  "esquemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  
  Operaciones
    
      "op": reemplazar
      "ruta": "nombre para mostrar",
      Valor "TuNombreGrupoSeguridad"

Este cambio se mostrará inmediatamente en la página Equipos de la empresa en Miro.

mceclip0.png

Entra realiza la sincronización programada en segundo plano cada 40 minutos. Con la siguiente sincronización Entra verá el Grupo de Seguridad sfo_hq_eng_support en Miro y lo vinculará automáticamente con el Grupo correspondiente en Entra.

En este punto habrás conectado tu Grupo de seguridad a uno de tus equipos de Miro y podrás tenerlos con nombres diferentes. 

Posibles dificultades y cómo resolverlas

Problemas con el cambio de emails de usuarios

Si actualizaste algunos emails de usuarios, pero no ves el cambio en Miro, verifica que el atributo esperado esté actualizado. Este problema suele surgir cuando se usan emails[type eq "work"].

El atributo correos electrónicos[type eq "work"] es predeterminado en Entra, por lo que Miro sí lo soporta, pero sólo en el sentido de que es de sólo lectura y se genera dinámicamente a partir de userName
Al leer usuarios, devolvemos:  

mceclip1.pngComo los correos electrónicos[type eq "work"] son de sólo lectura, Miro ignorará cualquier intento de modificarlos. Esto se debe a que en Miro un correo electrónico de usuario es el identificador principal del usuario; es por lo que reconocemos a los usuarios, por lo que no admitimos correos electrónicos adicionales. Pero la estructura SCIM sí requiere una matriz de email, por lo que admitimos su existencia.  

Para modificar los emails de usuario, la actualización debe enviarse para userName, no emails[type eq "work"]. 

mceclip0.png

Error al actualizar el error de usuario

Los registros de Entra muestran el estado Fallido con:

Razón de estado - "No se ha podido actualizar el usuario: El atributo correos electrónicos no tiene un valor multivaluado o complejo"
ErrorCode - SystemForCrossDomainIdentityManagementServiceIncompatible

¿Te resultó útil este artículo?
Sí, gracias No realmente
¡Lo lamentamos! ¿Por qué no te resultó útil el artículo?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Regresar al inicio

Artículos relacionados