El sistema de gestión de identidades entre dominios (SCIM) te permite automatizar la provisión y la gestión de usuarios entre Miro y tu proveedor de identidad (IdP).
Disponible para: Enterprise plan
Configurado por: admins de empresa
Importante
-
El inicio de sesión único (SSO) basado en SAML debe estar correctamente configurado y en funcionamiento en tu plan Enterprise antes de empezar a configurar el aprovisionamiento automatizado.
Consulta la guía para configurar el inicio de sesión único (SSO) basado en SAML. -
Sincronizar los grupos de IdP con los equipos de Miro es opcional.
Opcionalmente, puedes vincular y sincronizar tus grupos de IdP con equipos en Miro. No puedes crear ni eliminar equipos usando IdP. Puedes crear y gestionar equipos usando la Teams API. Para más información sobre cómo la SCIM API te permite gestionar grupos de IdP, consulta la documentación para desarrolladores de Miro. -
Los cambios de dirección de correo electrónico en SCIM incluyen las siguientes reglas de validación:
- Verificación de usuario gestionado: Si el dominio actual del usuario no está reclamado por la organización que inicia la solicitud SCIM, la actualización del correo electrónico se bloquea y devuelve un error 400.
- Verificación del dominio de correo electrónico de destino: Si el dominio de correo electrónico de destino está reclamado por una organización distinta a la que inició la solicitud SCIM, la actualización del correo electrónico se bloquea y devuelve un error 400. Si el dominio de correo electrónico de destino está reclamado por la organización que inició la solicitud SCIM, la actualización del correo electrónico se permite sin requerir la confirmación del correo electrónico. Los registros de auditoría registran la actualización en cada organización en la que el usuario es miembro.
-
Control de dominio e inicio de sesión único (SSO): Las actualizaciones de correo electrónico están permitidas según la verificación del dominio mediante Control de dominio (IDC) o inicio de sesión único (SSO). Si el dominio de destino del correo electrónico está verificado por la organización que inicia la solicitud mediante CD o SSO, la actualización puede proceder.
Diagrama del flujo de validación del cambio de correo electrónico en SCIM
Reglas que rigen el funcionamiento de SCIM en Miro
- Los cambios sincronizados por SCIM se aplican principalmente a los usuarios recién asignados. El estado de quienes ya están bajo tu suscripción se complementará, pero puede que no se sobrescriba, ya que los cambios se aplican a nivel de equipo. Por ejemplo:
a) si un usuario es miembro de Team1 en el lado de Miro y tu IdP envía una actualización para agregarlo a Team2, su estado en Team1 permanece sin cambios.
b) si tu IdP envía una actualización que contenga cambios para User1, los demás miembros del equipo no se ven afectados. Como se mencionó en Características admitidas > Sincronizar y enviar grupos, para sobrescribir el estado del equipo y resincronizar a todos los usuarios a la vez, intenta iniciar un nuevo envío.
- A todos los usuarios aprovisionados mediante SCIM se les asigna la licencia predeterminada de tu suscripción:
a) Para suscripciones Enterprise sin el Programa de licencias flexibles: una licencia con acceso completo. Si tu suscripción se queda sin licencias, los usuarios empiezan a aprovisionarse con la licencia gratuita limitada.
b) Para suscripciones Enterprise con Programa de licencias flexibles (PLF) activado: la licencia Free o la licencia predeterminada de la suscripción, según corresponda.
- Si necesitas que algunos de los usuarios se aprovisionen con una licencia distinta a la predeterminada:
Como se indicó arriba, todos los usuarios se aprovisionan con la licencia predeterminada. Sin embargo, puedes actualizar de inmediato a todos o a algunos de ellos usando el atributo UserType con el valor Full. Los usuarios actualizados con ese atributo recibirán la licencia con acceso completo sin tiempo de inactividad para el usuario. - Todos los usuarios aprovisionados mediante SCIM también se ven afectados por la función Control de dominio. Esto significa que si un usuario es miembro de un único grupo de seguridad en tu proveedor de identidad pero la configuración de Control de dominio define 3 equipos como los designados, el usuario también se añadirá a esos 3 equipos.
-
Para proteger el servicio, Miro limita la cantidad de llamadas de API disponibles cada 30 segundos:
Tipo de solicitudNivel de límiteGET scim/users
GET scim/users/{userId}
Primer límite de tasa nivel 1 POST scim/users/{userId}
PUT scim/users/{userId}
PATCH scim/users/{userId}
DELETE scim/users/{userId}
Tercer límite de tasa nivel 3 GET scim/Groups
PATCH scim/Groups/{groupId}
Cuarto límite de tasa nivel 4 GET scim/Groups/{groupId}
Tercer límite de tasa nivel 4
Para más detalles sobre los niveles de límite, consulta aquí. Si el número de solicitudes supera el límite, Miro devolverá el código estándar 429 Too many requests.
Funciones compatibles
El esquema SCIM detallado de Miro está disponible aquí.
Miro admite las siguientes funciones de aprovisionamiento:
-
Crear nuevos usuarios
Los nuevos usuarios asignados a la aplicación de Miro en el IdP se crearán en tu suscripción a Miro Enterprise como miembros Enterprise. Los usuarios que se agreguen a un grupo del IdP que esté sincronizado con un equipo de Miro con el mismo nombre se añadirán al equipo como miembros del equipo. -
Enviar actualizaciones del perfil de usuario
Para los atributos y cambios admitidos consulta más abajo.
-
Sincronizar y enviar grupos de IdP
Sincroniza tus grupos de IdP y sus miembros con los equipos de tu suscripción a Miro Enterprise para gestionar automáticamente la membresía de los usuarios. La sincronización continua enviará actualizaciones específicas sobre los usuarios del grupo de IdP al equipo de Miro sincronizado, mientras que un push sobrescribirá el estado del equipo, tratando al grupo de IdP como fuente de verdad (si hubo cambios manuales por parte de los admins de empresa en el lado de Miro).
-
Desvincular los nombres del grupo (IdP) y del equipo de Miro
Miro sincroniza los grupos del IdP y los equipos de Miro por nombre, por lo que deben tener exactamente el mismo nombre. Sin embargo, después de crear la sincronización inicial, podrás asignar a uno o a ambos los nombres que te resulten convenientes. Puedes ver un ejemplo de la desvinculación aquí -
Eliminar usuarios del grupo del IdP/equipo de Miro (no de la suscripción Enterprise, consulta más abajo)
Eliminar a un usuario de un grupo del IdP lo eliminará del equipo sincronizado de Miro (durante el próximo Group Push) -
Desactivar usuarios
Desactivar o eliminar a un usuario, o deshabilitar su acceso a la aplicación en el IdP desactivará al usuario en tu plan Enterprise de Miro. Según las circunstancias, desactivar a un usuario puede reasignar su contenido a los admins de equipo más antiguos:
- si desactivas al usuario en el IdPpero si los mantienes asignados a la aplicación de Miro, su membresía en el equipo del lado de Miro no cambia y su contenido no se reasigna: simplemente se mueven de un estado Active a un estado Deactivated (y la sección de usuarios, respectivamente) y dejan de consumir una licencia.
- si provocas la desactivación eliminando al usuario en el IdP o desasignándolo de la aplicación de Miro, si el usuario es miembro de algunos sincronizados equipos, entonces además se eliminará al usuario de esos equipos de Miro y su contenido en dichos equipos se reasignará a los admins de equipo más antiguos.
- si provocas la desactivación al eliminar al usuario en el IdP o desasignarlo de la aplicación de Miro, cuando el usuario no sea miembro de ningún sincronizado equipo, su pertenencia al equipo no cambiará y su contenido no se reasignará.
Eliminar un usuario de la suscripción Enterprise no es compatible de forma predeterminada. Aún así, puedes agregar manualmente la funcionalidad mediante la API para eliminar completamente al usuario de la suscripción en lugar de establecerlo en el estado Deactivated. En este escenario, el contenido se reasigna a los respectivos miembros del equipo. Es imposible establecer qué admins obtendrán la propiedad del contenido que se reasigna automáticamente. Pero esto se puede configurar cuando desactivas manualmente a un usuario en la configuración de Miro. -
Reactivar usuarios
Volver a asignar un usuario a la aplicación o reactivar su perfil en el IdP lo reactivará en tu suscripción Enterprise si previamente fue aprovisionado y desactivado. -
Automatizar la asignación a grupos de facturación
Asignar automáticamente a los usuarios nuevos a grupos de facturación mediante SCIM. Una vez que esté configurado tu Proveedor de identidad (IdP), vincula tus centros de costos a tus grupos de facturación. Esto garantiza que cada usuario actual y futuro de estos centros de costos sea clasificado automáticamente en la categoría de facturación correcta.
También puedes eliminar usuarios de tu plan Enterprise enviando una llamada de API directa de eliminación - consulta la documentación aquí. Ten en cuenta que solo las llamadas directas eliminarán a los usuarios. Los eventos de eliminación iniciados por tu solución de identidad se tratarán como una solicitud de desactivación.
Atributos admitidos
⚠️ Ten en cuenta que:
- Correo electrónico / El parámetro principal / Identificador único / Nombre de usuario) es el único valor requerido por Miro y debe tener la forma de un correo electrónico.
- La actualización del correo electrónico solo es posible para usuarios ya sincronizados. En otras palabras, la primera sincronización debe ocurrir cuando su correo electrónico en el IdP y en Miro sea el mismo; de lo contrario, Miro no reconocerá al usuario y se creará un perfil duplicado de Miro con el nuevo correo electrónico.
- La actualización del correo electrónico debe realizarse en el perfil de IdP del usuario, no en la lista de asignaciones.
- A diferencia de otros atributos, al actualizar el correo electrónico del usuario, se enviará una notificación: tanto la dirección de correo electrónico anterior como la nueva recibirán un mensaje informando al usuario de que, a partir de ahora, debe usar su nueva dirección de correo electrónico para iniciar sesión en Miro.
Nombre de atributo |
Atributo de SCIM (reclamo) |
|---|---|
Correo electrónico |
userName. Debe estar presente y tener el formato de correo electrónico |
| Los atributos enumerados a continuación no son obligatorios y serán aceptados por Miro si están presentes (se ignorarán otros atributos enviados a Miro). | |
Nombre completo |
displayName (Nombre de visualización); formatted; givenName (Nombre de pila) + " " + familyName (Apellido); userName (nombre de usuario) |
Tipo de usuario |
userType valor admitido: "Full" |
Activo |
active valor admitido: "true" o "false" |
Imagen de perfil |
photos.^[type=='photo'].value o Debe ser una URL de texto para la imagen. Tipos de archivo compatibles: jpg, jpeg, bmp, png, gif
|
Rol del usuario |
roles.^[primary==true].value (Okta) roles[primary eq "True"].value (Entra) valores admitidos: |
Número de empleado |
employeeNumber |
Centro de costos |
costCenter |
| Organización | organization |
| División | division |
| Departamento | department |
Nombre del administrador |
manager.displayName |
ID del administrador |
manager.value El campo "value" tiene tipo String en el estándar SCIM, pero |
⚠️ No se admiten cambios de contraseña y no hay planes inmediatos para empezar a admitir este cambio.
⚠️ Username, UserType y roles.value no se pueden actualizar para Usuarios desactivados.
Todos los atributos aparecerán en la lista de usuarios exportada en CSV que puedes descargar desde la sección Usuarios activos.
La opción de descargar una lista de usuarios
Configurar SCIM
Paso 1: Habilitar la opción SCIM en Miro
Para habilitar SCIM en tu plan Enterprise de Miro, ve a laConfiguración de la empresa > Integraciones de Enterprise, habilita la función de Aprovisionamiento de SCIM. Allí puedes obtener la URL base y el Token API para configurar tu IdP.
Paso 2: Configurar tu proveedor de identidad
La configuración dependerá del proveedor de identidad que utilices. Miro admite Okta y Entra ID preconfigurados; sin embargo, puedes usar cualquier proveedor de identidad que prefieras, siempre que permita configurar SCIM.
OKTA: consulta las instrucciones de configuración aquí.
Entra ID: consulta las instrucciones de configuración aquí.
Generar nuevo token
1. Ve a la configuración de la empresa > Integraciones empresariales.
2. En la sección SCIM Provisioning, haz clic Generar nuevo token.
2. En la ventana Generar nuevo token SCIM, haz clic en Generar.
3. Después de generar un nuevo token, debes configurarlo en tu proveedor IdP.
Posibles problemas y cómo resolverlos
1. Los usuarios no se aprovisionan debido a un error en la lista de admitidos.
Asegúrate de que la dirección de dominio del usuario esté añadida a tu lista de admitidos en la configuración de Seguridad .
2. Si autenticas a tus usuarios finales con una solución de identidad (IDP1) pero deseas habilitar SCIM mediante otra (IDP2), esto es posible si se cumplen dos condiciones:
- el IdP2 puede realizar llamadas a la API usando el token Bearer.
- ambos proveedores de identidad están sincronizados (por lo que también existen usuarios provisionados por SCIM en el IdP1 y, por tanto, pueden autenticarse en Miro).