System for Cross-domain Identity Management, también conocido como SCIM, permite hacer gestión de usuarios y provisión automática para las suscripciones Enterprise de Miro a través de tu proveedor de identidad (IdP, por su sigla en inglés).
Disponible para: plan Enterprise
Configurado por: admins de empresa
Lo que debes saber
- El SSO basado en SAML debe estar correctamente configurado y en funcionamiento en tu plan Enterprise antes de que empieces a configurar el aprovisionamiento automatizado.
Consulta la guía para configurar el SSO de SAML. -
Todos los grupos asignados deben existir en tu suscripción de Miro como equipos con nombres idénticos antes de vincularlos.
Se pueden crear y administrar equipos utilizando API de equipos.
Si necesitas que los grupos y los equipos tengan nombres diferentes, puedes rebautizar alguno de los dos o ambos después de que se establezca la sincronización. -
No se admiten cambios de contraseña.
No hay planes inmediatos para comenzar a admitir este cambio. - Si un usuario es miembro de dos o más cuentas de Enterprise, no puedes actualizar su nombre de usuario (dirección de email): esto es para evitar conflictos con las políticas de uso compartido establecidas.
Para actualizar el usuario, asegúrate de que primero se elimine de la segunda cuenta. Si necesitas asistencia, comunícate con el servicio de Soporte de Miro.
Reglas según las cuales opera SCIM de Miro.
-
Los cambios sincronizados por SCIM se aplican principalmente a los usuarios recién asignados. Se proveerá el estado de los que ya tienen suscripción, pero no se puede sobreescribir, ya que los cambios se aplican en el grupo/equipo. Por ejemplo:
a) si un usuario es miembro de Equipo1 del lado de Miro y tu IdP envía una actualización para agregarlo a Equipo2, su estado en Equipo1 no se verá afectado.
b) si tu IdP envía una actualización que contiene cambios en Usuario1, los otros miembros del equipo no se verán afectados. Como se mencionó en Funciones admitidas > Grupos de envío automático y sincronización, para sobreescribir el estado del equipo y resincronizar todos los usuarios a la vez, intenta iniciar un nuevo envío automático.
- A todos los usuarios provistos vía SCIM se les asigna una licencia predeterminada de tu suscripción:
a) Para suscripciones Enterprise sin el Programa de licencia flexible: una licencia con acceso completo. Si tu suscripción se queda sin licencias, los usuarios empiezan a acceder con una licencia Gratuita con restricciones.
b) Para las suscripciones Enterprise con el Programa de licencias flexible activado: licencia gratuita o gratuita limitada, dependiendo de la licencia predeterminada de la suscripción.
-Si necesitas que algunos usuarios reciban una licencia diferente a la predeterminada:
como se indicó anteriormente, a todos los usuarios se les provee la licencia predeterminada. Sin embargo, puedes actualizarlos a todos o a algunos de ellos de inmediato utilizando el atributo Tipo de usuario con un valor completo. Los usuarios actualizados con el atributo subirán de categoría a la licencia con acceso completo sin tiempo improductivo del lado del usuario. - Todos los usuarios abastecidos vía SCIM también se ven afectados por la función Control de dominio. Esto significa que si un usuario es miembro de un solo grupo de seguridad de tu proveedor de identidad, pero tu configuración de control de dominio define tres equipos como los designados, el usuario también será agregado a esos tres equipos.
- Para proteger el servicio, Miro limita la cantidad de llamadas de API disponibles cada 30 segundos:Tipo de solicitudNivel de límite
GET scim/users
GET scim/users/{userId}
Primer límite de tasa nivel 1
POST scim/users/{userId}
PUT scim/users/{userId}
PATCH scim/users/{userId}
DELETE scim/users/{userId}
Tercer límite de tasa nivel 3 GET scim/Groups
PATCH scim/Groups/{groupId}
Cuarto límite de tasa nivel 4 GET scim/Groups/{groupId}
Tercer límite de tasa nivel 4
Para obtener más información sobre los niveles límite consulta aquí. Si la cantidad de solicitudes supera el límite, Miro devolverá el mensaje estándar 429 Demasiadas solicitudes.
Funciones admitidas
Encontrarás un diagrama detallado de SCIM de Miro aquí.
Miro admite las siguientes funciones de provisión:
-
Crear nuevos usuarios
Los nuevos usuarios asignados a la aplicación de Miro en IdP se crearán en tu suscripción Enterprise de Miro como miembros Enterprise. Los usuarios que se agreguen a un grupo de usuarios y se sincronicen a un equipo de Miro con el mismo nombre se añadirán al equipo como miembros del equipo. -
Envío automático de actualizaciones de perfil de usuario Para los atributos y cambios admitidos consulta a continuación.
-
Grupos de envío automático y sincronización
Sincroniza tus grupos IDP y sus miembros con los equipos dentro de tu suscripción Enterprise de Miro para gestionar automáticamente la membresía de los usuarios. La sincronización continua enviará actualizaciones específicas sobre los usuarios de tu grupo al equipo de Miro sincronizado, mientras que el envío automático sobreescribirá el estado del equipo tratando al grupo como la fuente de verdad (si hubo cambios manuales por parte de los admins de empresa del lado de Miro).
-
Desacople de nombres de grupo/equipo
Miro sincroniza los grupos y los equipos por nombre, por lo tanto deben tener exactamente el mismo nombre. Sin embargo, después de que se cree la sincronización inicial, podrás darle a uno de ellos o a ambos los nombres que te resulten convenientes. Puedes ver el ejemplo de desacople aquí. -
Elimina usuarios de un grupo o equipo (no la suscripción Enterprise, consulta a continuación)
Eliminar un usuario de un grupo lo eliminará del equipo sincronizado de Miro (durante el siguiente Envío automático de grupo) -
Desactivar usuarios
Desactivar o eliminar un usuario o deshabilitar el acceso de un usuario a la aplicación en el IdP desactivará al usuario en tu plan Enterprise de Miro. Según las circunstancias, desactivar un usuario puede reasignar su contenido a los admins de equipo más antiguos:
- Si desactivas al usuario desde el IDP, pero lo mantienes asignado en la aplicación de Miro, su membresía al equipo del lado de Miro no cambiará y sus contenidos no se reasignarán; solo cambiará su estado de Activo a Desactivado, y la sección de usuarios, respectivamente, y dejará de utilizar una licencia.
- Si generas la desactivación eliminando al usuario en la IDP o quitando su asignación desde la aplicación de Miro, si el usuario es miembro de equipos sincronizados, se lo eliminará también de esos equipos de Miro y su contenido en dichos equipos se reasignará a los admins de equipo previos.
- Si generas la desactivación eliminando el usuario en la IDP o quitando la asignación desde la aplicación de Miro, cuando el usuario no sea miembro de equipos sincronizados, la membresía de equipos del usuario no cambiará y su contenido no se reasignará.
Eliminar un usuario de la suscripción Enterprise no es una función compatible de forma predeterminada. Aun así, puedes agregar manualmente la funcionalidad mediante API para eliminar completamente al usuario de la suscripción, en lugar de configurarlo en el estado Desactivado. En este escenario, el contenido se reasigna a los respectivos miembros del equipo. Es imposible establecer qué admins obtendrán la propiedad del contenido que se reasigna automáticamente. Pero esto se puede configurar cuando se desactiva manualmente un usuario en la configuración de Miro.
-
Reactivar usuarios
Reasignar a un usuario a la aplicación o reactivar el perfil de usuario en el IdP lo reactivará en tu suscripción Enterprise de Miro, si había sido previamente provisto y desactivado. -
Automatizar la asignación de grupos de facturación
Asignar automáticamente nuevos usuarios a grupos de facturación usando SCIM. Cuando esté configurado tu Proveedor de identidad (IdP), vincula tus centros de costos a tus grupos de facturación. Esto garantiza que cada usuario actual y futuro de estos centros de costos sea clasificado automáticamente en la categoría de facturación correcta.
También puedes eliminar usuarios de tu plan Enterprise si envías una llamada de Eliminar API directa, consulta la documentación aquí. Ten en cuenta que solo las llamadas directas eliminarán a los usuarios. Los eventos de eliminación iniciados por tu solución de identidad se tratarán como una solicitud de Desactivación.
Atributos admitidos
⚠️ Ten en cuenta
que: Correo electrónico/El parámetro principal/Identificador único / /Nombre de usuario es el único valor requerido por Miro y debe tener la forma de correo
electrónico. La actualización del correo electrónico solo es posible para usuarios ya sincronizados. En otras palabras, la primera sincronización debe ocurrir cuando su correo electrónico en IdP y Miro sea el mismo, de lo contrario, Miro no reconocerá al usuario y se creará un perfil duplicado de Miro en el nuevo correo
electrónico. La actualización del correo electrónico debe ocurrir en el perfil de IdP del usuario, no en la lista de asignaciones.
- A diferencia de otros atributos, al actualizar el correo electrónico del usuario, se le enviará una notificación: tanto la dirección de correo electrónico anterior como la nueva recibirán una carta en la que se informará al usuario que debe usar su nueva dirección de correo electrónico para iniciar sesión en Miro.
Nombre de atributo
|
Atributo de SCIM (reclamo)
|
---|---|
Correo electrónico |
Nombre de usuario. |
Los atributos enumerados a continuación no son obligatorios y serán aceptados por Miro si están presentes (se ignorarán otros atributos enviados a Miro). | |
Nombre completo |
displayName; formateado; givenName + " " + familyName; userName |
Tipo de usuario |
e Tipo de usuario) |
Activo |
activo |
Imagen de perfil |
photos.^[type=='photo'].value or Debe ser una URL de texto para la imagen. Tipos de archivo admitidos: jpg, jpeg, bmp, png, gif
|
Rol del usuario |
roles.^[primary==true].value (Okta) roles[primary eq "True"].value (Azure) valores admitidos: |
Número de empleado |
employeeNumber |
Centro de costos |
costCenter |
Organización | organización |
División | división |
Departamento | departamento |
Nombre del gerente |
manager.displayName |
ID del gerente |
manager.value El campo "valor" tiene un tipo Cadena en el estándar SCIM pero el campo |
⚠️ No se admiten cambios de contraseña y no hay planes inmediatos para comenzar a admitir este cambio.
⚠️ Nombre de usuario, tipo de usuario y roles. El valor no se puede actualizar para usuarios desactivados.
Todos los atributos se mostrarán en la lista de usuarios CSV exportada que se puede descargar desde la sección Usuarios activos.
La opción de descargar una lista de usuarios
Configurar SCIM
Paso 1: habilita la opción SCIM en Miro
Para habilitar SCIM para tu plan Enterprise de Miro, ve a Configuración de empresa > Integraciones de Enterprise y habilita la función Aprovisionamiento de SCIM. Allí puedes obtener la URL Base y el Token API para configurar tu IdP.
SCIM en configuración de Miro
Paso 2: configura tu proveedor de identidad
La configuración dependerá del proveedor de identidad que utilices. Miro admite Okta y Azure AD preconfigurados, sin embargo puedes usar cualquier proveedor de identidad que elijas, siempre que admita la configuración de SCIM.
OKTA: consulta las instrucciones de configuraciónaquí.
Azure AD: consulta las instrucciones de configuraciónaquí.
Posibles dificultades y cómo resolverlas
1. No se proveen usuarios debido a un error en la lista de autorización.
Un ejemplo del error del proveedor de identidad Okta.
Asegúrate de que la dirección de dominio del usuario esté agregada a tu lista de permisos en la configuración de Seguridad.
2. Si autenticas tus usuarios finales con una solución de identidad (IDP1), pero deseas habilitar SCIM a través de un IdP diferente (IdP2), esto es posible en dos situaciones:
- el IdP2 puede hacer llamadas API con el token del portador.
- ambos proveedores de identidad están sincronizados (por lo que también existen usuarios provistos por SCIM en el IdP1 y, por lo tanto, están en condiciones de autenticarse con Miro).
Para obtener más información, comunícate con nuestro Equipo de Soporte de Miro.