Deutsch English (US) Français 日本語 한국어(대한민국) Polski (Polska) Português do Brasil

Artículos en esta sección

SCIM

  • Actualización

El sistema de gestión de identidades entre dominios (SCIM) te habilita para automatizar la gestión de usuarios y el aprovisionamiento y gestión entre Miro y tu proveedor de identidades (IdP).

Disponible para: plan Enterprise
Configurado por: admins de empresa

Lo que debes saber

  • El SSO basado en SAML debe estar correctamente configurado y en funcionamiento en tu plan Enterprise antes de que empieces a configurar el aprovisionamiento automatizado.
    Consulta la guía para configurar el SSO de SAML.
  • Sincronizar grupos con equipos de Miro es opcional. 
    Opcionalmente, puedes sincronizar tus grupos de IdP con equipos en Miro. Sin embargo, para evitar problemas cuando un grupo de IdP se elimina de forma involuntaria o temporal, lo que provoca que todos los usuarios de ese grupo se desactiven en Miro y se produzca una reasignación de tableros y Espacios, no sincronices los grupos de IdP con los equipos de Miro. Los equipos pueden crearse y gestionarse mediante la API de Equipos. Para más información sobre cómo la API SCIM te habilita para gestionar grupos, consulta Desarrolladores de Miro.
  • Los cambios de dirección de correo electrónico en el SCIM incluyen las siguientes reglas de validación:
    • Comprobación de usuarios gestionados: Si el dominio actual del usuario no es reclamado por la organización que inicia la solicitud SCIM, la actualización del correo electrónico se bloquea y arroja un error 400.
    • Verificación de dominios de correo electrónico de destino: Si el dominio de correo electrónico de destino es reclamado por una organización distinta de la que inicia la solicitud SCIM, la actualización del correo electrónico se bloquea y arroja un error 400. Si el dominio de correo electrónico de destino es reclamado por la organización que inicia la solicitud SCIM, se permite la actualización del correo electrónico sin requerir confirmación por correo electrónico. Los registros de auditoría registran la actualización en cada organización a la que pertenezca el usuario.
    • Control de dominios y SSO: Las actualizaciones de correo electrónico se permiten en función de la verificación del dominio mediante el Control de dominios (IDC) o el Inicio de sesión único (SSO). Si el dominio de correo electrónico de destino está verificado mediante CD o SSO por la organización iniciadora, se puede proceder a la actualización.
      diagrama-escim-2.png
      Un diagrama del flujo de trabajo de validación de cambios de correo electrónico del SCIM

Reglas según las cuales opera SCIM de Miro.

  • Los cambios sincronizados por SCIM se aplican principalmente a los usuarios recién asignados. Se proveerá el estado de los que ya tienen suscripción, pero no se puede sobreescribir, ya que los cambios se aplican a nivel del grupo/equipo. Por ejemplo: 
    a) si un usuario es miembro del Equipo1 en el lado de Miro y tu IDP envía una actualización para añadirlo al Equipo2, su estado en el Equipo1 no se ve afectado. 
    b) si tu IDP envía una actualización con cambios al Usuario1, los demás miembros del equipo no se verán afectados. Como se mencionó en Características admitidas > Grupos de envío automático y sincronización, para sobreescribir el estado del equipo y resincronizar todos los usuarios a la vez, intenta iniciar un nuevo envío automático.
     
  • A todos los usuarios aprovisionados en SCIM se les asigna la licencia por defecto de tu suscripción: 
    a) Para suscripciones de empresas sin Programa de licencias flexibles: una licencia completa. Si tu suscripción se queda sin licencias, los usuarios empiezan a ser aprovisionados con la licencia gratuita limitada.
    b) Para suscripciones de empresas con el Programa de licencias flexibles (PLF) activado: Licencia gratuita o gratuita limitada en función de la licencia de suscripción por defecto.
    - Si necesitas que algunos de los usuarios se aprovisionen con una licencia diferente a la predeterminada:
    como se ha indicado anteriormente, todos los usuarios están provistos de la licencia por defecto. Sin embargo, puedes actualizarlos a todos o a algunos de ellos de inmediato utilizando el atributo UserType (tipo de usuario) con un valor completo. Los usuarios actualizados con el atributo subirán de categoría a la licencia completa sin tiempo improductivo del lado del usuario.  
  • Todos los usuarios abastecidos vía SCIM también se ven afectados por la característica Control de dominio. Esto significa que si un usuario es miembro de un solo grupo de seguridad de tu proveedor de identidad, pero tu configuración de control de dominio define tres equipos como los designados, el usuario también será agregado a esos tres equipos.  

  • Para proteger el servicio, Miro limita la cantidad de llamadas de API disponibles cada 30 segundos:

     

        Tipo de solicitud
        Nivel de límite

        GET scim/users

        GET scim/users/{userId}

    		         Primer límite de tasa nivel 1

        POST scim/users/{userId}

        PUT scim/users/{userId}

        PATCH scim/users/{userId}

        DELETE scim/users/{userId}

    		           Tercer límite de tasa nivel 3

        GET scim/Groups

        PATCH scim/Groups/{groupId}

    		         Cuarto límite de tasa nivel 4

        GET scim/Groups/{groupId}

    		          Tercer límite de tasa nivel 4


    Para obtener más información sobre los niveles límite consulta aquí. Si la cantidad de solicitudes supera el límite, Miro devolverá el mensaje estándar 429 Demasiadas solicitudes.   

Características admitidas

Encontrarás un diagrama detallado de SCIM de Miro aquí.

Miro admite las siguientes características de provisión:

  • Crear nuevos usuarios
    Los nuevos usuarios asignados a la aplicación de Miro en el IdP se crearán en tu suscripción a Miro Enterprise como miembros Enterprise Los usuarios que se agreguen a un grupo de usuarios y se sincronicen a un equipo de Miro con el mismo nombre se añadirán al equipo como miembros del equipo.
  • Actualizaciones push del perfil de usuario
    A continuación se indican los atributos y cambios admitidos
     
  • Sincronizar y empujar grupos
    Sincroniza tus grupos de IdP y sus miembros con los equipos de tu suscripción a Miro Enterprise para gestionar automáticamente la membresía de los usuarios. La sincronización continua enviará actualizaciones específicas sobre los usuarios de tu grupo al equipo de Miro sincronizado, mientras que el envío automático sobreescribirá el estado del equipo tratando al grupo como la fuente de verdad (si hubo cambios manuales por parte de los admins de la compañía del lado de Miro)./span>
     
  • Desacoplar los nombres de Grupo/Equipo
    Miro sincroniza Grupos y Equipos por nombre, por lo que deben tener el mismo nombre exacto. Sin embargo, después de que se cree la sincronización inicial, podrás darle a uno de ellos o a ambos los nombres que te resulten convenientes. Puedes ver el ejemplo de desacople aquí.
  • Eliminar usuarios del grupo/equipo (no de la suscripción Enterprise, ver más abajo)
    Si eliminas a un usuario de un grupo, se eliminará del equipo Miro sincronizado (durante el siguiente Empuje de grupo).
  • Desactivar usuarios
    Desactivar/eliminar a un usuario o deshabilitar el acceso de un usuario a la aplicación en el IdPdesactivará al usuario en tu plan Enterprise. Según las circunstancias, desactivar un usuario puede reasignar su contenido a los admins de equipo más antiguos:
    - si desactivas al usuario en el extremo IDP pero lo mantienes asignado a la app Miro, su pertenencia a un equipo en el extremo Miro no cambia, y su contenido no se reasigna - simplemente se pasa de un estado Activo a uno Desactivado (y a la sección de usuarios, respectivamente) y deja de consumir una licencia.
    - si desencadenas la desactivación borrando al usuario en el IDP o desasignándolo de la app Miro, mientras el usuario es miembro de alguna equipos sincronizados equipos sincronizados, el usuario será eliminado además de esos equipos Miro y su contenido en dichos equipos será reasignado a los admins de equipo más antiguos.
    - si activas la desactivación mediante borrando el usuario en el IDP o desasignando desde la app Miro, cuando el usuario no es miembro de ninguna de las apps sincronizado equipos sincronizados, la pertenencia del usuario al equipo no cambiará y su contenido no se reasignará.
    Eliminar un usuario de la subscripción Enterprise no es una función compatible de forma predeterminada. Aun así, puedes agregar manualmente la funcionalidad mediante API para eliminar completamente al usuario de la subscripción, en lugar de configurarlo en el estado Deactivated (desactivado). En este escenario, el contenido se reasigna a los respectivos miembros del equipo. Es imposible establecer qué admins obtendrán la propiedad del contenido que se reasigna automáticamente. Pero esto se puede configurar cuando se desactiva manualmente un usuario en los ajustes de Miro.
     
  • Reactivar usuarios
    Si vuelves a asignar un usuario a la aplicación o reactivas el perfil de usuario en el IdP, se reactivará en tu suscripción a Enterprise si previamente se aprovisionó y desactivó.
  • Automatizar la asignación de grupos de facturación 
    Autoasigna nuevos usuarios a grupos de facturación utilizando SCIM. Cuando esté configurado tu Proveedor de identidad (IdP), vincula tus centros de costos a tus grupos de facturación. Esto garantiza que cada usuario actual y futuro de estos centros de costos sea clasificado automáticamente en la categoría de facturación correcta.

También puedes eliminar usuarios de tu plan Enterprise si envías una llamada de Delete (eliminar) API directa, consulta la documentación aquí. Ten en cuenta que solo las llamadas directas eliminarán a los usuarios. Los eventos de eliminación iniciados por tu solución de identidad se tratarán como una solicitud de Desactivación.  

Atributos admitidos

⚠️ Ten en cuenta que:
- Correo electrónico / El parámetro principal / Identificador único / Nombre de usuario) es el único valor requerido por Miro y debe ser en forma de correo electrónico.
- la actualización del correo electrónico sólo es posible para los usuarios ya sincronizados. En otras palabras, la primera sincronización debe ocurrir cuando su correo electrónico en el IdP y Miro sea el mismo, de lo contrario Miro no reconocerá al usuario y se creará un perfil Miro duplicado bajo el nuevo correo electrónico.
- la actualización del correo electrónico debe producirse en el perfil de IdP del usuario, no en la lista de asignaciones.
- A diferencia de lo que ocurre con otros atributos, al actualizar el correo electrónico del usuario se le enviará una notificación: tanto la dirección de correo electrónico antigua como la nueva recibirán una carta en la que se informará al usuario de que ahora debe utilizar su nueva dirección de correo electrónico para iniciar sesión en Miro.

    Nombre de atributo
    Atributo de SCIM (reclamo)

    Correo electrónico

         Nombre de usuario.   
Debe estar presente y con el formato de email
Los atributos enumerados a continuación no son obligatorios y serán aceptados por Miro si están presentes (se ignorarán otros atributos enviados a Miro). 

    Nombre completo

        displayName (Nombre de visualización);

        formateado;

        givenName (Nombre de pila) + " " + familyName (Apellido);

    userName (nombre de usuario)

    Tipo de usuario

     userType (tipo de usuario)
      valor soportado: Con acceso completo

    Activos

     Activos
      Valor admitido: "verdadero" o "falso".

    Imagen de perfil

    fotos.^[tipo=='foto'].valor o
    fotos.^[tipo==foto].valor (Okta)
    fotos[tipo eq "foto"].valor (Entra)

Debe ser una URL de texto para la imagen.

Tipos de archivo admitidos: jpg, jpeg, bmp, png, gif


      Para definir el tipo de archivo, debes haber definido la extensión en la url        (por ej. https://host.com/avatar_user1.jpg) o la solicitud a la url              debe regresar junto con un encabezado de contenido de archivo-            Tipo (por ej. Tipo de contenido = 'image/jpeg')


      El tamaño máximo de archivo para descargar es: 31457280 bytes

 

    Rol del usuario 

        roles.^[primary==true].value (Okta)

    roles[primary eq "True"].value (Entra)

      valores soportados: 
ADMINISTRACION_INTERNA_ORGANIZACION
USUARIO_INTERNO_ORGANIZACION

    Número de empleado

         employeeNumber (Número de empleado)

    Centro de costos

         costCenter (Centro de costes)
    Organización     Organización
    División         division (división)
    Departamento         department (departamento)

    Nombre del administrador

         manager.displayName (Nombre de visualización del manager)

    ID del administrador

        manager.value (Valor del manager)

      El campo "valor" tiene tipo String en la norma SCIM pero managerId
      El campo interno Miro tiene el tipo Largo. Si el atributo "valor" no es
      valor numérico ignoramos este valor

⚠️ No se admiten cambios de contraseña. No hay planes inmediatos para comenzar a admitir este cambio.
⚠️ Nombre de usuario, tipo de usuario y roles. El valor no se puede actualizar para usuarios desactivados

Todos los atributos se mostrarán en la lista de usuarios CSV exportada que se puede descargar desde la sección Usuarios activos. 

download_as_CSV_in_company_settings.jpg
La opción de descargar una lista de usuarios

mceclip3.png

Configurar SCIM

Paso 1. Habilitar la opción SCIM en Miro

Para habilitar SCIM para tu plan Enterprise, ve a Configuración de empresa > Integraciones de empresa, habilita la función Aprovisionamiento de SCIM. Allí puedes obtener la URL Base y el Token API para configurar tu IdP.

scim.png
SCIM en configuración de Miro

Paso 2. Configura tu proveedor de identidad

La configuración dependerá del proveedor de identidad que utilices. Miro soporta Okta y Entra ID preconfigurados, pero puedes utilizar cualquier proveedor de identidad de tu elección siempre que permita configurar SCIM.

OKTA: consulta las instrucciones de configuraciónaquí.

Entra ID - consulta las instrucciones de configuración aquí. 

Generar nuevo token 

1. Ve a Configuración de la empresa > Integraciones de empresa .

2. En la sección Aprovisionamiento SCIM, haz clic en Generar nuevo token

scim.png
SCIM en configuración de Miro

2. En la ventana Generar nuevo token SCIM, haz clic en Generar

generar_token.png

3. Tras generar un nuevo token, debes configurarlo en tu proveedor de IDP. 

Posibles dificultades y cómo resolverlas

1. Los usuarios no se aprovisionan debido a un error en la lista de permitidos.
mceclip0.png
Un ejemplo del error del proveedor de identidad Okta

Asegúrate de que la dirección de dominio del usuario esté agregada a tu lista de permisos en la configuración de Security (Seguridad).  

2. Si autenticas a tus usuarios finales con una solución de identidad (IDP1) pero quieres habilitar el SCIM mediante otra diferente (IDP2), esto es posible con dos condiciones:

  1. el IdP2 puede hacer llamadas API con el token del portador.
  2.  ambos proveedores de identidad están sincronizados (por lo que también existen usuarios provistos por SCIM en el IdP1 y, por lo tanto, están en condiciones de autenticarse con Miro). 

Para obtener más información, comunícate con nuestro Equipo de Soporte de Miro.

¿Te resultó útil este artículo?
Sí, gracias No realmente
¡Lo lamentamos! ¿Por qué no te resultó útil el artículo?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Regresar al inicio

Artículos relacionados