El sistema de gestión de identidad entre dominios, también conocido como SCIM, permite la gestión de usuarios y provisión automática para las subscripciones de Miro Enterprise a través de tu proveedor de identidad (IdP).
Disponible para: plan Enterprise
Configurado por: admins de empresa
Lo que debes saber
-
El SSO basado en SAML debe estar correctamente configurado y en funcionamiento en tu plan Enterprise antes de que empieces a configurar el aprovisionamiento automatizado.
Consulta la guía para configurar el SSO de SAML./strong> -
Todos los grupos asignados deben existir en tu subscripción de Miro como equipos con nombres idénticos antes de vincularlos.
Los equipos pueden crearse y gestionarse mediante la API de Equipos.
Si necesitas que tus grupos y equipos tengan nombres diferentes, puedes cambiar el nombre de uno de ellos o de ambos una vez establecida la sincronización. -
Los cambios de dirección de correo electrónico en el SCIM incluyen las siguientes reglas de validación:
-
Comprobación de usuarios gestionados: Si el dominio actual del usuario no es reclamado por la organización que inicia la solicitud SCIM, la actualización del correo electrónico se bloquea y arroja un error 400.
- Verificación de dominios de correo electrónico de destino: Si el dominio de correo electrónico de destino es reclamado por una organización distinta de la que inicia la solicitud SCIM, la actualización del correo electrónico se bloquea y arroja un error 400. Si el dominio de correo electrónico de destino es reclamado por la organización que inicia la solicitud SCIM, se permite la actualización del correo electrónico sin requerir confirmación por correo electrónico. Los registros de auditoría registran la actualización en cada organización a la que pertenezca el usuario.
-
Control de dominios y SSO: Las actualizaciones de correo electrónico se permiten en función de la verificación del dominio mediante el control de dominios (IDC) o el inicio de sesión único (SSO). Si el dominio de correo electrónico de destino es verificado mediante CD o SSO por la organización iniciadora, se puede proceder a la actualización.
Un diagrama del flujo de trabajo de validación de cambios de correo electrónico del SCIM
-
-
Si un usuario es miembro de dos o más cuentas de Enterprise, no puedes actualizar su nombre de usuario (dirección de email): esto es para evitar conflictos con las políticas de uso compartido establecidas.
Para actualizar el usuario, asegúrate de que primero se elimine de la segunda cuenta. Si necesitas asistencia, comunícate con el Soporte de Miro/span>.
Reglas según las cuales opera SCIM de Miro.
-
Los cambios sincronizados por SCIM se aplican principalmente a los usuarios recién asignados. Se proveerá el estado de los que ya tienen suscripción, pero no se puede sobreescribir, ya que los cambios se aplican a nivel del grupo/equipo. Por ejemplo:
a) si un usuario es miembro del Equipo1 en el lado de Miro y tu IDP envía una actualización para añadirlo al Equipo2, su estado en el Equipo1 no se ve afectado.
b) si tu IDP envía una actualización con cambios al Usuario1, los demás miembros del equipo no se verán afectados. Como se mencionó en Características admitidas/span> > Grupos de envío automático y sincronización, para sobreescribir el estado del equipo y resincronizar todos los usuarios a la vez, intenta iniciar un nuevo envío automático.
- A todos los usuarios aprovisionados en SCIM se les asigna la licencia por defecto de tu suscripción:
a) Para suscripciones de empresas sin Programa de licencias flexibles: una licencia completa. Si tu suscripción se queda sin licencias, los usuarios empiezan a ser aprovisionados con la licencia gratuita limitada.
b) Para suscripciones de empresas con el Programa de licencias flexibles (PLF) activado: Licencia gratuita o gratuita limitada en función de la licencia de suscripción por defecto.
- Si necesitas que algunos de los usuarios se aprovisionen con una licencia diferente a la predeterminada:
como se ha indicado anteriormente, todos los usuarios están provistos de la licencia por defecto. Sin embargo, puedes actualizarlos a todos o a algunos de ellos de inmediato utilizando el atributo UserType (tipo de usuario) con un valor completo. Los usuarios actualizados con el atributo subirán de categoría a la licencia completa sin tiempo improductivo del lado del usuario. - Todos los usuarios abastecidos vía SCIM también se ven afectados por la característica Control de dominio. Esto significa que si un usuario es miembro de un solo grupo de seguridad de tu proveedor de identidad, pero tu configuración de control de dominio define tres equipos como los designados, el usuario también será agregado a esos tres equipos.
- Para proteger el servicio, Miro limita la cantidad de llamadas de API disponibles cada 30 segundos:
Tipo de solicitudNivel de límiteGET scim/users
GET scim/users/{userId}
Primer límite de tasa nivel 1
POST scim/users/{userId}
PUT scim/users/{userId}
PATCH scim/users/{userId}
DELETE scim/users/{userId}
Tercer límite de tasa nivel 3 GET scim/Groups
PATCH scim/Groups/{groupId}
Cuarto límite de tasa nivel 4 GET scim/Groups/{groupId}
Tercer límite de tasa nivel 4
Para obtener más información sobre los niveles límite consulta aquí. Si la cantidad de solicitudes supera el límite, Miro devolverá el mensaje estándar 429 Demasiadas solicitudes.
Características admitidas
Encontrarás un diagrama detallado de SCIM de Miro aquí.
Miro admite las siguientes características de provisión:
-
Crear nuevos usuarios
Los nuevos usuarios asignados a la aplicación de Miro en el IdP se crearán en tu suscripción a Miro Enterprise como miembros Enterprise Los usuarios que se agreguen a un grupo de usuarios y se sincronicen a un equipo de Miro con el mismo nombre se añadirán al equipo como miembros del equipo. -
Actualizaciones push del perfil de usuario
A continuación se indican los atributos y cambios admitidos
-
Sincronizar y empujar grupos
Sincroniza tus grupos de IdP y sus miembros con los equipos de tu suscripción a Miro Enterprise para gestionar automáticamente la membresía de los usuarios. La sincronización continua enviará actualizaciones específicas sobre los usuarios de tu grupo al equipo de Miro sincronizado, mientras que el envío automático sobreescribirá el estado del equipo tratando al grupo como la fuente de verdad (si hubo cambios manuales por parte de los admins de la compañía del lado de Miro).
-
Desacoplar los nombres de Grupo/Equipo
Miro sincroniza Grupos y Equipos por nombre, por lo que deben tener el mismo nombre exacto. Sin embargo, después de que se cree la sincronización inicial, podrás darle a uno de ellos o a ambos los nombres que te resulten convenientes. Puedes ver el ejemplo de desacople aquí. -
Eliminar usuarios del grupo/equipo (no de la suscripción Enterprise, ver más abajo)
Si eliminas a un usuario de un grupo, se eliminará del equipo Miro sincronizado (durante el siguiente Empuje de grupo). -
Desactivar usuarios
Desactivar/eliminar a un usuario o deshabilitar el acceso de un usuario a la aplicación en el IdPdesactivará al usuario en tu plan Enterprise. Según las circunstancias, desactivar un usuario puede reasignar su contenido a los admins de equipo más antiguos:
- si desactivas al usuario en el extremo IDP pero lo mantienes asignado a la app Miro, su pertenencia a un equipo en el extremo Miro no cambia, y su contenido no se reasigna: simplemente pasa de un estado Activo a Desactivado (y a la sección de usuarios, respectivamente) y deja de consumir una licencia.
- si activas la desactivación eliminando al usuario en el IDP o desasignándolo de la app Miro, mientras el usuario sea miembro de algunos equipos sincronizados, entonces el usuario será eliminado adicionalmente de esos equipos Miro y su contenido en dichos equipos será reasignado a los admins de equipo más antiguos.
- si activas la desactivación eliminando al usuario en el IDP o desasignándolo desde la app Miro, cuando el usuario no sea miembro de ningún equipo sincronizado, la pertenencia del usuario al equipo no cambiará y su contenido no se reasignará.
Eliminar un usuario de la subscripción Enterprise no es una función compatible de forma predeterminada. Aun así, puedes agregar manualmente la funcionalidad mediante API/em> para eliminar completamente al usuario de la subscripción, en lugar de configurarlo en el estado Deactivated (desactivado). En este escenario, el contenido se reasigna a los respectivos miembros del equipo. Es imposible establecer qué admins obtendrán la propiedad del contenido que se reasigna automáticamente. Pero esto se puede configurar cuando se desactiva manualmente un usuario en los ajustes de Miro.
-
Reactivar usuarios
Si vuelves a asignar un usuario a la aplicación o reactivas el perfil de usuario en el IdP, se reactivará en tu suscripción a Enterprise si previamente se aprovisionó y desactivó. -
Automatizar la asignación de grupos de facturación
Autoasigna nuevos usuarios a grupos de facturación utilizando SCIM. Cuando esté configurado tu Proveedor de identidad (IdP), vincula tus centros de costos a tus grupos de facturación. Esto garantiza que cada usuario actual y futuro de estos centros de costos sea clasificado automáticamente en la categoría de facturación correcta.
También puedes eliminar usuarios de tu plan Enterprise si envías una llamada de Delete (eliminar) API directa, consulta la documentación aquí. Ten en cuenta que solo las llamadas directas eliminarán a los usuarios. Los eventos de eliminación iniciados por tu solución de identidad se tratarán como una solicitud de Desactivación.
Atributos admitidos
⚠️ Ten en cuenta que:
- Correo electrónico / El parámetro principal / Identificador único / Username) es el único valor requerido por Miro y debe tener forma de correo electrónico.
- la actualización del correo electrónico sólo es posible para los usuarios ya sincronizados. En otras palabras, la primera sincronización debe ocurrir cuando su correo electrónico en el IdP y Miro sea el mismo, de lo contrario Miro no reconocerá al usuario y se creará un perfil Miro duplicado bajo el nuevo correo electrónico.
- la actualización del correo electrónico debe producirse en el perfil IdP del usuario, no en la lista de asignaciones.
- A diferencia de lo que ocurre con otros atributos, al actualizar el correo electrónico del usuario se le enviará una notificación: tanto la dirección de correo electrónico antigua como la nueva recibirán una carta en la que se informará al usuario de que ahora debe utilizar su nueva dirección de correo electrónico para iniciar sesión en Miro.
⚠️ No se admiten cambios de contraseña y no hay planes inmediatos para comenzar a admitir este cambio.
⚠️ Nombre de usuario, tipo de usuario y roles. El valor no se puede actualizar para usuarios desactivados.
Todos los atributos se mostrarán en la lista de usuarios CSV exportada que se puede descargar desde la sección Usuarios activos.
download_as_CSV_in_company_settings.jpg
/span>La opción de descargar una lista de usuarios
Configurar SCIM
Paso 1. Habilitar la opción SCIM en Miro
Para habilitar SCIM para tu plan Enterprise, ve a Configuración de empresa > Integraciones de empresa, habilita la función Aprovisionamiento de SCIM. Allí puedes obtener la URL Base y el Token API para configurar tu IdP.
SCIM en configuración de Miro
Paso 2. Configura tu proveedor de identidad
La configuración dependerá del proveedor de identidad que utilices. Miro soporta Okta y Entra ID preconfigurados, pero puedes utilizar cualquier proveedor de identidad de tu elección siempre que permita configurar SCIM.
OKTA: consulta las instrucciones de configuraciónaquí.
Entra ID - consulta las instrucciones de configuración aquí.
Generar nuevo token
1. Ve a Configuración de la empresa > Integraciones de empresa .
2. En la sección Aprovisionamiento SCIM, haz clic en Generar nuevo token.
SCIM en configuración de Miro
2. En la ventana Generar nuevo token SCIM, haz clic en Generar.
3. Tras generar un nuevo token, debes configurarlo en tu proveedor de IDP.
Posibles dificultades y cómo resolverlas
1. Los usuarios no se aprovisionan debido a un error en la lista de permitidos.
Un ejemplo del error del proveedor de identidad Okta
Asegúrate de que la dirección de dominio del usuario esté agregada a tu lista de permisos en la configuración de Security (Seguridad).
2. 2. Si autenticas tus usuarios finales con una solución de identidad (IDP1), pero deseas habilitar SCIM a través de un IdP diferente (IdP2), esto es posible en dos situaciones:
- el IdP2 puede hacer llamadas API con el token del portador.
- ambos proveedores de identidad están sincronizados (por lo que también existen usuarios provistos por SCIM en el IdP1 y, por lo tanto, están en condiciones de autenticarse con Miro).
Para obtener más información, comunícate con nuestro Equipo de Soporte de Miro.