Deutsch English (US) Français 日本語

Artículos en esta sección

SCIM

Cat
  • Actualización

System for Cross-domain Identity Management, también conocido como SCIM, permite hacer gestión de usuarios y provisión automática para las subscripciones Enterprise de Miro a través de tu proveedor de identidad (IdP, por su sigla en inglés).

Disponible para: plan Enterprise
Configurado por: admins de la empresa

Lo que debes saber

  • El SSO basado en SAML debe estar correctamente configurado y en funcionamiento en tu plan Enterprise antes de que empieces a configurar el aprovisionamiento automatizado.
    Consulta la guía para configurar el SSO de SAML.

  • Todos los grupos asignados deben existir en tu subscripción de Miro como equipos con nombres idénticos antes de vincularlos. 
     Se pueden crear y administrar equipos utilizando Teams API (API de equipos).
    Si necesitas que los grupos y los equipos tengan nombres diferentes, puedes rebautizar alguno de los dos o ambos después de que se establezca la sincronización.

  • No se admiten cambios de contraseña.
    No hay planes inmediatos para comenzar a admitir este cambio.

  • Si un usuario es miembro de dos o más cuentas de Enterprise, no puedes actualizar su nombre de usuario (dirección de email): esto es para evitar conflictos con las políticas de uso compartido establecidas.
    Para actualizar el usuario, asegúrate de que primero se elimine de la segunda cuenta. Si necesitas asistencia, comunícate con el Soporte de Miro.

Reglas según las cuales opera SCIM de Miro.

  • Los cambios sincronizados por SCIM se aplican principalmente a los usuarios recién asignados. Se proveerá el estado de los que ya tienen suscripción, pero no se puede sobreescribir, ya que los cambios se aplican a nivel del grupo/equipo. Por ejemplo:
    a) si un usuario es miembro de Equipo1 del lado de Miro y tu IdP envía una actualización para agregarlo a Equipo2, su estado en Equipo1 no se verá afectado.
    b) si tu IdP envía una actualización que contiene cambios en Usuario1, los otros miembros del equipo no se verán afectados. Como se mencionó en Características admitidas >     Grupos de envío automático y sincronización, para sobreescribir el estado del equipo y resincronizar todos los usuarios a la vez, intenta iniciar un nuevo envío automático.
  • A todos los usuarios provistos vía SCIM se les asigna una licencia predeterminada de tu suscripción:
    a) Para suscripciones Enterprise sin el Programa de licencia flexible: una licencia Completa. Si tu subscripción se queda sin licencias, los usuarios empiezan a acceder con una licencia Gratuita con restricciones.
    b) Para las subscripciones Enterprise con el Programa de licencias flexible activado: licencia gratuita o gratuita limitada, dependiendo de la licencia predeterminada de la subscripción.
    -Si necesitas que algunos usuarios reciban una licencia diferente a la predeterminada:
    como se indicó anteriormente, a todos los usuarios se les provee la licencia predeterminada. Sin embargo, puedes actualizarlos a todos o a algunos de ellos de inmediato utilizando el atributo UserType (tipo de usuario) con un valor completo. Los usuarios actualizados con el atributo subirán de categoría a la licencia completa sin tiempo improductivo del lado del usuario.  
  • Todos los usuarios abastecidos vía SCIM también se ven afectados por la característica Control de dominio. Esto significa que si un usuario es miembro de un solo grupo de seguridad de tu proveedor de identidad, pero tu configuración de control de dominio define tres equipos como los designados, el usuario también será agregado a esos tres equipos. 
  • Para proteger el servicio, Miro limita la cantidad de llamadas de API disponibles cada 30 segundos:

    Tipo de solicitud
    Nivel de límite

      GET scim/users

      GET scim/users/{userId}

        Primer límite de tasa nivel 1

      POST scim/users/{userId}

      PUT scim/users/{userId}

      PATCH scim/users/{userId}

      DELETE scim/users/{userId}

    		      Tercer límite de tasa nivel 3

      GET scim/Groups

      PATCH scim/Groups/{groupId}

    		     Cuarto límite de tasa nivel 4

      GET scim/Groups/{groupId}

    		     Tercer límite de tasa nivel 4

    Para obtener más información sobre los niveles límite consulta aquí. Si la cantidad de solicitudes supera el límite, Miro devolverá el mensaje estándar 429 Demasiadas solicitudes

Características admitidas

Encontrarás un diagrama detallado de SCIM de Miro aquí.

Miro admite las siguientes características de provisión:

  • Crear nuevos usuarios
    Los nuevos usuarios asignados a la aplicación de Miro en IdP se crearán en tu subscripción Enterprise de Miro como miembros Enterprise. Los usuarios que se agreguen a un grupo de usuarios y se sincronicen a un equipo de Miro con el mismo nombre se añadirán al equipo como miembros del equipo.
  • Envío automático de actualizaciones de perfil de usuario Para los atributos y cambios admitidos consulta a continuación.

  • Grupos de envío automático y sincronización
    Sincroniza tus grupos IDP y sus miembros con los equipos dentro de tu subscripción Enterprise de Miro para gestionar automáticamente la membresía de los usuarios. La sincronización continua enviará actualizaciones específicas sobre los usuarios de tu grupo al equipo de Miro sincronizado, mientras que el envío automático sobreescribirá el estado del equipo tratando al grupo como la fuente de verdad (si hubo cambios manuales por parte de los admins de la compañía del lado de Miro).
  • Desacople de nombres de grupo/equipo
     Miro sincroniza los grupos y los equipos por nombre, por lo tanto deben tener exactamente el mismo nombre. Sin embargo, después de que se cree la sincronización inicial, podrás darle a uno de ellos o a ambos los nombres que te resulten convenientes. Puedes ver el ejemplo de desacople aquí.
  • Elimina usuarios de un grupo o equipo (no la subscripción Enterprise, consulta a continuación)
    Eliminar un usuario de un grupo lo eliminará del equipo sincronizado de Miro (durante el siguiente Envío automático de grupo)
  • Desactivar usuarios
    Desactivar o eliminar un usuario o deshabilitar el acceso de un usuario a la aplicación en el IdP desactivará al usuario en tu plan Enterprise de Miro. Cuando se desactiva un usuario a través de SCIM, su membresía al equipo en Miro no cambia y su contenido no se reasigna; simplemente se mueven de un estado Active (activo) a uno Deactivated (desactivado) (y la sección de usuarios, respectivamente) y deja de ocupar una licencia. Eliminar un usuario de la subscripción Enterprise no es compatible de forma predeterminada. Aun así, puedes agregar manualmente la funcionalidad mediante API para eliminar completamente al usuario de la subscripción, en lugar de configurarlo en el estado Deactivated (desactivado). En este escenario, el contenido se reasigna a los respectivos miembros del equipo. Es imposible establecer qué admins obtendrán la propiedad del contenido que se reasigna automáticamente. Pero esto se puede configurar cuando se desactiva manualmente un usuario en los ajustes de Miro.

  • Reactivar usuarios
    Volver a asignar a un usuario a la aplicación o reactivar el perfil de usuario en el IdP lo reactivará en tu subscripción Enterprise de Miro si había sido previamente provisto y desactivado.
  • Actualizar email (identificador primario)
     Si cambiaste tu nombre de dominio o algunos usuarios finales requieren una actualización de email debido a un cambio de nombre, etc., puedes activar automáticamente estos cambios desde tu directorio de usuarios a Miro. Tanto la dirección de email anterior como la nueva recibirán una notificación avisando que ahora deben usar la nueva dirección de email para iniciar sesión en Miro.
    ⚠️ Ten en cuenta que la actualización de email debe ocurrir en el perfil del usuario, no en la lista de tareas.

También puedes eliminar usuarios de tu plan Enterprise si envías una llamada de Delete (eliminar) API directa, consulta la documentación aquí. Ten en cuenta que solo las llamadas directas eliminarán a los usuarios. Los eventos de eliminación iniciados por tu solución de identidad se tratarán como una solicitud de Desactivación

Atributos admitidos

⚠️ El Parámetro primario/Identificador único (es probable que esté marcado como userName (nombre de usuario) en el servicio del proveedor de identidad) es el único valor requerido por Miro y debe tener la forma de un email.
Los atributos enumerados a continuación no son obligatorios y Miro los aceptará si están presentes (se ignorarán otros atributos enviados a Miro). 
Nombre de atributo
Atributo de SCIM (reclamo)

Email

    userName (Nombre de usuario). 
      Debe estar presente y con el formato de email

Nombre completo

    displayName (Nombre de visualización);

    formateado;

    givenName (Nombre de pila) + " " + familyName (Apellido);

    userName (Nombre de usuario)

Tipo de usuario

    userType (Tipo de usuario)
      valor admitido: "Full"

    Activo

    activo
      valor admitido: "true" (verdadero) o "false" (falso)

 

 

Imagen de perfil

    photos.^[type=='photo'].value or
    photos.^[type==photo].value (Okta)
    photos[type eq "photo"].value (Azure)

Debe ser una URL de texto para la imagen.

Tipos de archivo admitidos: jpg, jpeg, bmp, png, gif


      Para definir el tipo de archivo, debes haber definido la extensión en la url        (por ej. https://host.com/avatar_user1.jpg) o la solicitud a la url              debe regresar junto con un encabezado de contenido de archivo-            Tipo (por ej. Tipo de contenido = 'image/jpeg')


El tamaño máximo de archivo a descargar es: 31457280 bytes

 

Rol del usuario

    roles.^[primary==true].value (Okta)

    roles[primary eq "True"].value (Azure)

      valores admitidos:
ORGANIZATION_INTERNAL_ADMIN
ORGANIZATION_INTERNAL_USER

Número de empleado

     employeeNumber (Número de empleado)

Centro de costes

     costCenter (Centro de costes)
Organización     organization (organización)
División     division (división)
    Departamento     department (departamento)

    Nombre del manager

    manager.displayName (Nombre de visualización del manager)

ID del manager

    value (valor) 

El campo "valor" tiene un tipo Cadena en el estándar SCIM pero el campo
interno de Miro managerID tiene el tipo Largo. Si el atributo "valor" no es  
  un valor numérico, ignoramos este valor.
⚠️ No se admiten cambios de contraseña. No hay planes inmediatos para comenzar a admitir este cambio.

Todos los atributos se mostrarán en la lista de usuarios CSV exportada que se puede descargar desde la sección Usuarios activos. 

download_as_CSV_in_company_settings.jpg
La opción de descargar una lista de usuarios

mceclip3.png

Configurar SCIM

Paso 1: habilita la opción SCIM en Miro

Para habilitar SCIM para tu plan Enterprise de Miro, ve a Company settings (Ajustes de empresa) > Enterprise integrations (Integraciones de Enterprise) y habilita la característica SCIM Provisioning (Aprovisionamiento de SCIM). Allí puedes obtener la URL Base y el Token API para configurar tu IdP.

SCIM_en_Miro_ajustes.jpg
SCIM en configuración de Miro

Paso 2: configura tu proveedor de identidad

La configuración dependerá del proveedor de identidad que utilices. Miro admite Okta y Azure AD preconfigurados, sin embargo puedes usar cualquier proveedor de identidad que elijas, siempre que admita la configuración de SCIM.

OKTA: consulta las instrucciones de configuraciónaquí.

Azure AD: consulta las instrucciones de configuraciónaquí. 

Posibles dificultades y cómo resolverlas

1. No se proveen usuarios debido a un error en la lista de autorización.
mceclip0.png
Un ejemplo del error del proveedor de identidad Okta.

Asegúrate de que la dirección de dominio del usuario esté agregada a tu lista de permisos en la configuración de Security (Seguridad)

2. Si autenticas tus usuarios finales con una solución de identidad (IDP1), pero deseas habilitar SCIM a través de un IdP diferente (IdP2), esto es posible en dos situaciones:

  1. el IdP2 puede hacer llamadas API con el token del portador.
  2. ambos proveedores de identidad están sincronizados (por lo que también existen usuarios provistos por SCIM en el IdP1 y, por lo tanto, están en condiciones de autenticarse con Miro).

Para obtener más información, comunícate con nuestro Equipo de Soporte de Miro.

¿Te resultó útil este artículo?
Sí, gracias No realmente
¡Lo lamentamos! ¿Por qué no te resultó útil el artículo?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Regresar al inicio

Artículos relacionados