Deutsch English (US) Español 日本語

Articles dans cette section

Authentification unique (SSO)

Cat
  • Mise à jour

La fonctionnalité d’authentification unique (ou SSO) basée sur SAML de Miro fournira à vos utilisateurs l’accès à l’application Miro par l’intermédiaire d’un fournisseur d’identité (IdP) de votre choix. Miro prend également en charge le SCIM avec n’importe quel fournisseur d’identité de votre choix, pour des connexions initiées par le fournisseur de services (SP) et l’IdP.

Disponible pour : les plans Enterprise et Business.
Configuré par : les admins de l’entreprise

Règles

Une fois le SSO activé pour le plan, les règles suivantes s’appliquent aux utilisateurs finaux :

  1. Le processus de SSO est appliqué aux domaines d’entreprise que vous ajoutez aux paramètres de SSO. Les utilisateurs finaux du plan (membres, invités) issus de ces domaines d’entreprise doivent se connecter à Miro via l’option SSO en utilisant les identifiants provenant de leur fournisseur d’identité.
    Les domaines dans les paramètres SSO
    Ils n’ont pas accès aux autres options d’autorisation (la connexion standard nom de connexion + mot de passe, Google, Facebook, Slack et O365).
    Cela signifie également que vous pouvez utiliser la même configuration de fournisseur d’identité avec plusieurs abonnements Miro, tant que les différents abonnements se réfèrent à différents domaines. Vous ne pourrez toutefois approvisionner qu’un seul abonnement Miro Enterprise via le SCIM (puisque chaque instance Enterprise dispose d’un jeton unique, mais que votre configuration SCIM n’en acceptera qu’un seul).
    ✏️ Les utilisateurs finaux d’autres domaines ne sont pas tenus d’utiliser le SSO et doivent plutôt se connecter à l’aide des méthodes standard. Ce cas de figure est prévu pour les invités, les prestataires indépendants, etc. qui n’ont accès qu’à certains tableaux de la société et qui pourraient ne pas avoir de profils auprès de votre fournisseur d’identité.
  2. Si un utilisateur final est membre d’une équipe en dehors de votre plan, il doit tout de même se connecter via le SSO dès que la fonctionnalité est activée. Il sera toutefois en mesure d’accéder à d’autres équipes. Si vous souhaitez également bloquer cet accès pour vos utilisateurs finaux, consultez la fonctionnalité Contrôle des domaines.
  3. Les utilisateurs ne sont pas autorisés à modifier leur mot de passe, leur prénom ou leur nom de famille dans Miro (les photos de profil peuvent également être incluses dans cette liste). Les données sont attribuées automatiquement par votre fournisseur d’identité à la suite d’une connexion réussie.
    mceclip1.png
    Le nom d’utilisateur Miro est mis à jour après chaque authentification réussie de l’utilisateur si SAMLResponse contient de nouvelles valeurs non vides. Pour obtenir plus d’informations sur la façon de configurer le nom d’utilisateur Miro, consultez la section Paramètres facultatifs ci-dessous.
    ✏️ Cependant, si vous devez modifier les adresses e-mail de vos utilisateurs finaux, vous ne pouvez le faire que via le SCIM.
    Si vous n’utilisez pas le SCIM, suivez cette procédure : la modification de l’adresse e-mail doit d’abord être effectuée du côté de Miro (veuillez contacter l’équipe d’assistance pour obtenir de l’aide), puis du côté du fournisseur d’identité avant qu’un utilisateur final n’essaie d’utiliser ses identifiants pour se connecter à Miro. Notre système reconnaît l’utilisateur par son adresse e-mail. Si le système n’est pas informé du changement avant sa connexion suivante, l’utilisateur en question sera reconnu comme un nouvel utilisateur, il recevra un nouveau profil au lieu de se connecter sur son profil existant.
  4. Les utilisateurs qui souhaitent se connecter à l’application bureau, tablette ou mobile de Miro à l’aide du SSO seront automatiquement redirigés vers le navigateur Web afin d’utiliser le SSO de la société. Une fois le SSO du navigateur réussi, les utilisateurs seront automatiquement redirigés vers les applications natives pour continuer à utiliser Miro.
  5. Les utilisateurs de votre domaine qui ne sont pas membres de votre plan ne sont pas soumis à la procédure SSO de votre plan.

Configuration du SSO

Configurez votre IdP

N’hésitez pas à utiliser le fournisseur d’identité de votre choix. Les guides pour les plateformes de solution d’identité les plus populaires peuvent être consultés ci-dessous :

Vous trouverez ici un article décrivant comment configurer le SSO via Jumpcloud (et le SCIM) (uniquement disponibles en anglais).

D’abord, rendez-vous sur le panneau de configuration de votre fournisseur d’identité et suivez les instructions du fournisseur pour configurer l’authentification unique.

Assurez-vous ensuite d’ajouter les données suivantes. (Notez cependant que, selon le fournisseur d’identité, vous pouvez avoir plus ou moins de champs à remplir. Nous vous recommandons d’ignorer les champs facultatifs ou de définir des valeurs par défaut pour tous les champs.)

Spécifications (métadonnées)

  • Protocole : SAML 2.0
  • Liaison : Redirection
    HTTP du SP à l’IdP
    Publication HTTP de l’IdP au SP
  • URL de service (URL initiée par le SP) (c’est-à-dire l’URL de lancement, l’URL de réponse, l’URL du service SSO de la partie utilisatrice, l’URL cible, l’URL de connexion par le SSO, le point de terminaison du fournisseur d’identité, etc) : https://miro.com/sso/saml
  • URL Assertion Consumer Service (c’est-à-dire l’URL de rappel autorisé, l’URL ACS personnalisée, l’URL de réponse) : https://miro.com/sso/saml
  • ID de l’entité (identifiant, identifiant d’approbation de partie de confiance) : https://miro.com/
  • État du relais par défaut : doit être laissé vide dans votre configuration
  • Conditions de signature :
     Une réponse SAML non signée avec une assertion signée
    Une réponse SAML signée avec une assertion signée
  • Méthode SubjectConfirmation : « urn:oasis:names:tc:SAML:2.0:cm:bearer »

La réponse SAML du fournisseur d’identité doit contenir le certificat de clé publique x509 émis par le fournisseur d’identité.

Vous trouverez des exemples détaillés ici. Le fichier de métadonnées du SP de Miro (XML) peut être téléchargé ici.

⚠️ Le cryptage et la déconnexion unique ne sont pas pris en charge.

Identifiants de l’utilisateur (types de revendication)

mceclip0.png

Encore une fois, toutes les autres options peuvent être définies par défaut ou ne pas être spécifiées.

Activez le SSO dans Miro

Il est fortement recommandé de tester la procédure de connexion dans le mode incognito de votre navigateur. Ainsi, vous conservez la session dans la fenêtre standard, ce qui vous permet de désactiver l’autorisation du SSO au cas où quelque chose serait mal configuré. Si vous souhaitez configurer une instance de test avant d’activer le SSO en production, veuillez en discuter avec votre responsable de compte ou contacter l’équipe d’assistance pour obtenir de l’aide.  Seules les personnes qui configurent l’authentification unique (SSO) seront ajoutées à cette instance de test.

⚠️ Les admins d’un plan Business peuvent trouver les paramètres du SSO dans Team settings (Paramètres d’équipe) > onglet Security (Sécurité). Afin d’activer le SSO sur un plan Enterprise, rendez-vous dans Company settings (Paramètres de l’entreprise) > Enterprise integrations (Intégrations Enterprise).

Spécifiez les valeurs suivantes :

  1. URL de connexion SAML (dans la plupart des cas, elle ouvre la page de votre fournisseur d’identité où vos utilisateurs finaux doivent entrer leurs identifiants)
  2. Certificat de la clé publique x.509 (émis par votre fournisseur d’identité)
  3. La liste des domaines autorisés/requis pour s’authentifier via votre serveur SAML

Miro_SSO_settings.jpg
Paramètres du SSO de Miro

Vérifiez vos domaines SSO

Configuré par : les admins d’entreprise

Après la saisie d’un nom de domaine, il vous sera demandé de le vérifier. Entrez l’adresse e-mail du domaine ajouté pour prouver que vous le représentez et le système enverra une demande de vérification à l’adresse e-mail spécifiée. Notez que c’est un admin d’entreprise qui doit cliquer sur le lien de vérification de la demande. Pour terminer, cliquez sur le bouton Save (Enregistrer). Vos utilisateurs finaux du domaine vérifié pourront alors commencer à utiliser l’authentification unique.
domain_confirmation_modal.jpg

Critères pour une vérification réussie :

  • La personne qui effectue la vérification (l’initie et/ou la termine) doit être un admin d’entreprise. Si vous êtes un admin d’entreprise et que vous souhaitez envoyer la demande de vérification à l’adresse e-mail d’une personne qui n’est pas admin d’entreprise, celle-ci peut vous renvoyer le lien de confirmation, afin que puissiez terminer le processus.
  • L’adresse e-mail utilisée doit être réelle (et capable de recevoir des e-mails).
  • Les domaines publics (notamment @gmail.com, @outlook.com, etc.) ne sont pas autorisés.
  • La fonctionnalité de SSO doit être activée et le nom de domaine ne doit pas être supprimé du champ tant que la vérification n’est pas terminée (la demande de vérification arrive généralement dans les 15 minutes).
💡 Si vous gérez de nombreux domaines et sous-domaines (les sous-domaines sont reconnus comme des noms distincts et nécessitent une vérification distincte), veuillez vérifier au moins un nom de domaine et soumettre une demande à l’équipe d’assistance en joignant la liste de vos domaines (séparés par une virgule) afin que nous les confirmions immédiatement pour vous.
Notez que le plan Business ne peut vérifier que trois domaines par organisation.

Tant que le domaine n’est pas ajouté à la liste et vérifié, les processus de SSO ne lui seront pas appliqués (si le champ ne contient pas de domaine confirmé, aucun utilisateur n’est affecté par le SSO). Si un domaine n’est pas vérifié, une note VÉRIFIER L’ADRESSE E-MAIL s’affichera dans les paramètres.

verify_email.jpg
Domaine non vérifié dans les paramètres de SSO de Miro

Paramètres facultatifs

La section des paramètres facultatifs est utilisée par les utilisateurs avancés qui connaissent la configuration SSO. Pour plus d’informations, veuillez consulter la documentation sur les normes SAML2.0 (uniquement disponible en anglais).

Toujours imposer l’authentification dans l’IdP

Cette fonctionnalité est actuellement en phase bêta.

Ce paramètre permet aux administrateurs d’assurer la sécurité chaque fois qu’ils en ont besoin, notamment dans les espaces publics ou lorsqu’ils travaillent avec des informations très sensibles.

Lorsque ce paramètre est activé, le mécanisme SSO de l’IdP ne tient pas compte des sessions précédemment authentifiées et demande à l’utilisateur de se connecter à nouveau.always_enforce_authentication.png

Imposer l’authentification via le paramètre « Always require authentication » (Toujours demander l’authentification)

Provisionnement juste à temps (JIT) pour les nouveaux utilisateurs

Aidez vos utilisateurs finaux à interagir avec Miro immédiatement, sans attendre de se faire inviter ou de suivre le processus d’intégration complet, et évitez de créer des équipes d’essai et gratuites en dehors de votre abonnement géré.

⚠️ La fonctionnalité JIT de Miro affecte automatiquement les utilisateurs nouvellement enregistrés. Les utilisateurs qui ont déjà un profil Miro ont toujours besoin d’une invitation à votre plan. Cependant, si vous activez notre fonctionnalité Découverte d’équipe, l’équipe que vous avez définie dans le cadre de la fonctionnalité JIT apparaîtra également sur la liste des équipes ouvertes à l’adhésion.

Tous les utilisateurs approvisionnés sous la fonctionnalité JIT se voient attribuer la licence par défaut de votre abonnement :

  • Pour tous les abonnements au plan Business et pour les abonnements au plan Enterprise sans programme de licence flexible : une licence complète. Si vous avez un abonnement au plan Enterprise et que vous avez épuisé votre nombre de licences disponibles, les utilisateurs commencent à recevoir une licence gratuite restreinte (applicable au plan Enterprise uniquement). Si vous avez un abonnement au plan Business et que vous avez épuisé votre nombre de licences disponibles, les utilisateurs ne seront pas automatiquement capturés et la fonctionnalité JIT cessera de fonctionner.
  • Pour les abonnements Enterprise avec un programme de licence flexible actif : une licence gratuite ou gratuite restreinte, en fonction de la licence par défaut

Pour activer la fonctionnalité JIT de Miro, ouvrez vos Paramètres de SSO > cochez la case correspondante > choisissez l’équipe désignée.

enable_JIT.jpg
Activez la fonctionnalité de l’approvisionnement JIT sur la page intégrations Enterprise

Tous les utilisateurs nouvellement enregistrés dans les domaines que vous avez énumérés dans les paramètres seront automatiquement ajoutés sous votre compte Enterprise général dans cette équipe en particulier lorsqu’ils s’inscriront dans Miro.

⚠️ Dans le plan Enterprise, cette équipe sera également affichée dans la liste des équipes pouvant être trouvées si vous activez l’option de découverte de l’équipe.

Définition de DisplayName comme nom d’utilisateur par défaut

Dans Miro, le nom d’utilisateur est composé de la manière suivante :

  • Par défaut, Miro utilisera les attributs FirstName (Prénom) + LastName (Nom)
  • Vous pouvez également demander d’utiliser l’attribut DisplayName (Nom affiché) à la place. Dans ce cas, Miro utilisera DisplayName lorsqu’il est présent dans la demande SAML de l’utilisateur. Si l’attribut DisplayName n’est pas présent, mais que les attributs FirstName + LastName le sont, Miro utilisera les attributs FirstName + LastName.
    Veuillez contacter le service d’assistance de Miro pour faire de l’attribut DisplayName votre nom d’utilisateur SSO préféré.
  • Si aucun des trois attributs n’est présent dans votre communication SAML, Miro affichera l’adresse e-mail de l’utilisateur comme nom d’utilisateur.

Synchronisation des images de profil d’utilisateur à partir de l’IdP

⚠️ Nous vous recommandons d’activer cette option si vous n’activez pas le SCIM ou si le SCIM est actif alors que votre IdP ne prend pas en charge l’attribut ProfilePicture (à titre d’exemple, ProfilePicture n’est pas pris en charge par Azure). Dans les autres cas, il est recommandé de passer ProfilePicture via le SCIM avec des mises à jour immédiates.

Lorsque ce paramètre est activé :

  • L’image de profil définie du côté de l’IdP sera définie comme l’image de profil de l’utilisateur dans Miro.
  • Les utilisateurs n’auront pas la capacité de mettre à jour ou de supprimer leur image de profil eux-mêmes.
⚠️ À l’instar du nom d’utilisateur, les utilisateurs perdent la possibilité de modifier immédiatement leurs données du côté de Miro, mais la synchronisation des données n’est pas immédiate. En effet, l’IdP envoie une mise à jour à Miro uniquement lors de la prochaine authentification SSO de l’utilisateur (à condition que le paramètre « Sync user profile photos from IDP » (Synchroniser les photos de profil d’utilisateur à partir de l’IdP) soit toujours activé à ce moment-là).

Si l’image de profil est définie dans l’IdP et que vous souhaitez que l’attribut soit transféré dans la communication SAML, Miro attendra le schéma suivant :

<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>

SSO avec résidence des données

Si vous utilisez le service de résidence des données de Miro et avez une URL dédiée (workspacedomain.miro.com), vous devez ajuster la configuration de votre fournisseur d’identité comme suit :

  Valeur normale Valeur sous résidence des données

URL Assertion Consumer service (c’est-à-dire l’URL de rappel autorisé, l’URL d’ACS personnalisé, l’URL de réponse) :

 https://miro.com/sso/saml https://workspace-domain.miro.com/
sso/saml/ORGANIZATION_ID

ID de l’entité (identifiant, identifiant d’approbation de partie de confiance) : https://miro.com/

 https://miro.com/ https://workspace-domain.miro.com/
ORGANIZATION_ID

Vous pouvez trouver votre ORGANIZATION_ID à partir du tableau de bord Miro en cliquant sur votre profil dans le coin supérieur droit > Settings (Paramètres) > il est affiché dans l’URL dans la barre d’adresse.

Configurer l’authentification multifacteur (2FA) pour les utilisateurs en dehors du SSO

Consultez l’article sur la fonctionnalité ici.

Problèmes possibles et comment les résoudre

Les adresses de mon domaine ne sont pas acceptées dans les paramètres du SSO. Message affiché : « DomainName is busy » (Le nom de domaine est occupé).
Pour des raisons de sécurité, nous ne prenons en charge les domaines d’organisation que dans le cadre d’un seul et même compte entreprise (abonnement Enterprise). Il est possible que vos domaines soient déjà configurés dans un autre plan Business ou Enterprise, ce qui vous empêche d’activer le SSO avec le domaine souhaité. N’hésitez pas à vérifier auprès de vos collègues à l’avance.
Je suis le lien dans l’e-mail de vérification du domaine, mais la vérification ne se fait pas.
Le lien est censé vous envoyer vers la page Enterprise integrations (Intégrations Enterprise). Si la redirection ne fonctionne pas, veuillez vérifier si vous utilisez un logiciel anti-hameçonnage susceptible d’interrompre le flux.
Nous devons modifier les adresses e-mail de nos utilisateurs finaux./Nous avons modifié les adresses e-mail de nos utilisateurs et ils ne peuvent plus accéder à leurs tableaux.
Si votre entreprise change de nom de domaine et a donc besoin de modifier les adresses e-mail des utilisateurs finaux dans les identifiants SSO, veuillez contacter notre équipe d’assistance pour obtenir de l’aide.
Nous aimerions utiliser une passerelle distincte (par exemple, une authentification multifacteur, comme Duo Dag) pour la procédure de SSO.
C’est tout à fait possible. Miro prend en charge votre solution préférée tant qu’elle fonctionne sous SAML 2.0.
Nous avons activé le SSO, mais les données des profils des utilisateurs (noms, photos de profil - si prises en charge par votre IdP) dans Miro ne sont pas synchronisées avec celles de l’IdP.
Le nom d’utilisateur et la photo de profil Miro sont mis à jour après chaque authentification réussie de l’utilisateur, si et seulement si SAMLResponse contient de nouvelles valeurs non vides. Pour obtenir plus d’informations sur la configuration d’un nom d’utilisateur Miro, consultez la section Paramètres facultatifs.

Si un ou tous vos utilisateurs rencontrent une erreur lorsqu’ils essaient de se connecter à Miro, veuillez consulter la liste des erreurs courantes et leurs solutions.

Foire aux questions

Lorsque j’active le SSO, les utilisateurs sont-ils automatiquement déconnectés et obligés de se connecter via le SSO ?
Les utilisateurs resteront connectés et pourront utiliser Miro. Si un utilisateur se déconnecte, si sa session expire ou s’il se connecte à partir d’un nouvel appareil, l’utilisateur sera alors contraint de se connecter par l’intermédiaire du SSO. Ceci est uniquement applicable aux utilisateurs d’un plan Enterprise avec des domaines d’entreprise.
Si j’active la fonction JIT, les utilisateurs nouvellement inscrits se connectent-ils via le SSO ?
Oui, le SSO est obligatoire pour le provisionnement JIT (Juste à temps).
Si j’active le SSO, les clients, partenaires et parties externes pourront-ils toujours accéder à Miro ?
Oui. Le SSO ne sera requis que pour les utilisateurs qui font partie de votre abonnement Enterprise et qui possèdent un domaine répertorié dans votre configuration SSO. Si vos clients, partenaires ou parties externes ont un domaine différent (non répertorié dans la configuration du SSO), ils ne seront pas affectés par la fonction de SSO de votre plan.
Cet article vous a-t-il été utile ?
Oui, merci Pas vraiment
Toutes nos excuses ! Pourquoi cet article ne vous a-t-il pas été utile ?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Retour en haut

Articles associés