Authentification unique (SSO)

La fonctionnalité d'authentification unique (ou SSO) basée sur SAML de Miro fournira à vos utilisateurs l'accès à l'application Miro par l'intermédiaire d'un fournisseur d'identité (IdP) de votre choix. Miro prend également en charge le SCIM avec n'importe quel fournisseur d'identité de votre choix (pour des connexions initiées par le SP et l'IdP). 

Disponible pour : les plans Enterprise et Business
Configuré par : les administrateurs de la société

Règles

Une fois le SSO activé pour le compte, les règles suivantes s'appliquent aux utilisateurs :

1. Le processus de SSO est appliqué aux domaines d'entreprise que vous ajoutez aux paramètres de SSO. Les utilisateurs finaux de votre compte (membres, invités) avec des domaines d'entreprise doivent se connecter à Miro via l'option de SSO à l'aide de leurs identifiants du fournisseur d'identité.
   
   Domaines dans les paramètres de SSO
   Les autres options d'autorisation (la connexion standard pseudonyme + mot de passe, Google, Facebook, Slack et les boutons O365) sont désactivées pour eux. 
   Cela signifie également que vous pouvez utiliser la même configuration de fournisseur d'identité avec plusieurs comptes Miro tant que différents comptes revendiquent différents domaines. Vous ne pourrez toutefois approvisionner qu'un seul compte Miro Entreprise via le SCIM (puisque chaque compte Enterprise dispose d'un jeton unique et votre configuration SCIM n'acceptera qu'un seul d'entre eux)
   

   ✏️ Les utilisateurs avec d'autres domaines ne sont pas tenus d'utiliser le SSO et devraient plutôt se connecter à l'aide des méthodes standard. Ce scénario existe pour les invités, les entrepreneurs indépendants, etc. qui n'ont accès qu'à certains tableaux de la société et qui pourraient ne pas avoir de profils auprès de votre fournisseur d'identité. 

2. Si un utilisateur est membre d'une équipe située en dehors de votre compte, il est toujours tenu de se connecter via un SSO dès que la fonctionnalité est activée. Cependant, il pourra accéder à d'autres équipes et à d'autres comptes. Si vous souhaitez également empêcher vos utilisateurs de le faire, consultez la fonctionnalité Domain control (contrôle de domaine). 
3. Les utilisateurs ne sont pas autorisés à modifier leur mot de passe, leur prénom ou leur nom de famille dans Miro (les photos de profil peuvent également être incluses dans cette liste). Les données sont plutôt attribuées automatiquement par votre fournisseur d'identité à la suite d'une connexion réussie.
   
   Le nom d'utilisateur Miro est mis à jour après chaque authentification réussie de l'utilisateur si SAMLResponse contient de nouvelles valeurs non vides. Pour obtenir plus d'informations sur la façon de configurer le nom d'utilisateur Miro, consultez la section concernant les Paramètres facultatifs ci-dessous.
   

   ✏️ Cependant, si vous devez modifier les adresses e-mail de vos utilisateurs, vous ne pouvez le faire que via le SCIM.

   Si vous n'utilisez pas le SCIM, vous devrez suivre la procédure suivante : la modification de l'adresse e-mail doit d'abord être effectuée du côté de Miro (veuillez contacter l'équipe d'assistance pour obtenir de l'aide), puis du côté du fournisseur d'identité avant qu'un utilisateur final essaie d'utiliser ses identifiants pour se connecter à Miro. Notre système reconnaît l'utilisateur par son adresse e-mail. Si le système n'est pas informé du changement avant sa connexion suivante, l'utilisateur en question sera reconnu comme un nouvel utilisateur, il recevra un nouveau profil au lieu de se connecter sur son profil existant.
4. Les utilisateurs qui souhaitent se connecter à l'application bureau, tablette ou mobile de Miro à l'aide d'un SSO seront automatiquement redirigés vers le navigateur Web afin d'utiliser le SSO de la société. Une fois le SSO du navigateur réussi, les utilisateurs seront automatiquement redirigés vers les applications natives pour continuer à utiliser Miro.
5. Les utilisateurs de votre domaine qui ne sont pas membres de votre compte ne sont pas soumis à la procédure de SSO de votre compte. 

Configuration du SSO

Configurez votre IdP

N'hésitez pas à utiliser le fournisseur d'identité de votre choix. Les guides pour les plateformes de solution d'identité les plus populaires peuvent être consultés ci-dessous :

• OKTA 
• Azure AD de Microsoft
• OneLogin
• ADFS de Microsoft
• Auth0
• Google SSO

Vous trouverez ici un article décrivant la façon de configurer le SSO Jumpcloud (et le SCIM). 

D'abord, rendez-vous sur le panneau de configuration de votre fournisseur d'identité et suivez les instructions du fournisseur pour configurer l'authentification unique.

Assurez-vous ensuite d'ajouter les données suivantes (notez cependant que, selon le fournisseur d'identité, vous pouvez avoir plus ou moins de champs à remplir. Nous vous recommandons d'ignorer les champs optionnels ou de tout définir aux valeurs par défaut).

Caractéristiques de configuration (métadonnées)

• Protocole : SAML 2.0
• Liaison :
       Redirection HTTP du SP à l'IdP
       Redirection HTTP de l'IdP au SP.
• L'URL du service (URL initiée par le SP) (c'est-à-dire l'URL de lancement, l'URL de réponse, l'URL du service SSO de la partie de confiance, l'URL de la cible, l'URL de connexion par SSO, le point de terminaison du fournisseur d'identité, etc) : https://miro.com/sso/saml
• URL du service consommateur d'assertion (URL de rappel autorisée) : https://miro.com/sso/saml
• Identifiant (identité de l'entité, identifiant de la partie de confiance) : https://miro.com/  
  
• État du relais par défaut : doit être laissé vide dans votre configuration
• Conditions de connexion : 
      Une réponse SAML non signée avec une assertion signée
      Une réponse SAML signée avec une assertion signée
• SubjectConfirmation Method : "urn:oasis:names:tc:SAML:2.0:cm:bearer"

La réponse SAML du fournisseur d'identité doit contenir le certificat de clé publique x509 émis par le fournisseur d'identité.

Des exemples détaillés se trouvent ici. 

⚠️ Le cryptage et la déconnexion unique ne sont pas pris en charge. 

Identifiants de l'utilisateur (types de revendication)

• Attribut requis (c'est-à-dire SAML_Subject, la clé principale, le nom de l'ouverture de session, le format du nom d'utilisateur de l'application, etc.) - NameID : correspond à l'adresse e-mail de l'utilisateur (à ne pas confondre avec EmailAddress qui est généralement un attribut distinct), - <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:email">

• Attributs facultatifs à envoyer avec l'assertion (mis à jour avec chaque nouvelle authentification via une SSO, utilisés lorsqu'ils sont présents) : 

  • "DisplayName" ou "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/displayname" (selon les préférences) ;
  • “FirstName” ou "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname" ;
  • “LastName” ou "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname" ;
  • “ProfilePicture” : l'URL codée de l'image.

Encore une fois, toutes les autres options peuvent être définies sur la valeur par défaut ou non spécifiées.

Le fichier de métadonnées du SP de Miro (XML) est disponible au téléchargement ici. 

Consultez le schéma détaillé du SSO et du SCIM ici. 

Activez le SSO dans Miro

Il est fortement recommandé de tester la procédure de connexion dans le mode incognito de votre navigateur. Ainsi, vous conservez la session dans la fenêtre standard, ce qui vous permet de désactiver l'autorisation du SSO au cas où quelque chose serait mal configuré. Si vous souhaitez configurer un compte de test avant d'activer le SSO en production, veuillez en discuter avec votre responsable de compte ou contacter l'équipe d'assistance pour obtenir de l'aide.  Seuls ceux qui configurent le SSO seront ajoutés à ce compte de test.

⚠️ Les administrateurs de plans Business peuvent trouver les paramètres du SSO dans Paramètres d'équipe > onglet Sécurité. Afin d'activer le SSO sur un compte Enterprise, rendez-vous dans Paramètres de la société > Intégrations Enterprise.

Spécifiez les valeurs suivantes :

1. URL de connexion SAML (dans la plupart des cas, elle ouvre la page de votre fournisseur d'identité où vos utilisateurs finaux doivent entrer leurs identifiants)
2. Certificat de la clé publique x.509 (émis par votre fournisseur d'identité)
3. La liste des domaines autorisés/requis pour s'authentifier via votre serveur SAML.

Paramètres du SSO de Miro

Vérifiez vos domaines SSO

Configuré par : les administrateurs de la société

Une fois que vous avez entré un nom de domaine, vous devrez le vérifier. Entrez l'adresse e-mail du domaine ajouté pour prouver que vous le représentez et le système enverra une demande de vérification à l'adresse e-mail spécifiée. Veuillez noter que c'est à un administrateur de la société qu'il revient de cliquer sur le lien de vérification. Pour finir, cliquez sur le bouton Enregistrer. Vos utilisateurs finaux du domaine vérifié pourront alors commencer à utiliser l'authentification unique.

Fenêtre pop-up de vérification du domaine du SSO

Critères pour une vérification réussie :

• La personne qui effectue la vérification (qui l'initie ou bien la complète) doit être un administrateur de la société.
  Si vous êtes un administrateur de la société et que vous souhaitez envoyer une demande de vérification à une adresse e-mail qui appartient à une personne qui n'est pas un administrateur de la société, cette personne peut vous renvoyer le lien de confirmation pour que vous puissiez compléter le processus. 
• L'adresse e-mail utilisée doit être réelle (et capable de recevoir des e-mails).
• Les domaines publics (ex : @gmail.com, @outlook.com, etc.) ne sont pas autorisés. 
• La fonctionnalité de SSO doit être activée et le nom de domaine ne doit pas être supprimé du champ tant que la vérification n'est pas terminée (la demande de vérification arrive généralement dans les 15 minutes). 

💡 Si vous gérez beaucoup de domaines et de sous-domaines (les sous-domaines sont reconnus comme des noms distincts et nécessitent une vérification distincte), veuillez vérifier au moins un nom de domaine et soumettre une demande à l'équipe d'assistance en joignant la liste de vos domaines (séparés par une virgule) pour que nous les confirmions immédiatement pour vous. 

Tant que le domaine n'est pas ajouté à la liste et vérifié, les processus de SSO ne lui seront pas appliqués (si le champ ne contient pas de domaines confirmés, aucun utilisateur n'est affecté par le SSO). Si un domaine n'est pas vérifié, une note Vérifier l'adresse e-mail s'affichera dans les paramètres. 

Domaine non vérifié dans les paramètres de SSO de Miro

Paramètres facultatifs 

La section des paramètres facultatifs est utilisée par les utilisateurs avancés qui connaissent la configuration SSO. Pour obtenir plus d'informations, veuillez consulter la documentation sur les normes SAML2.0.

Approvisionnement juste à temps (JIT) pour les nouveaux utilisateurs 

Aidez vos utilisateurs à interagir avec Miro immédiatement, sans attendre que quelqu'un ne les invite dans le compte ou ne les fasse passer par le processus d'intégration complet et évitez de créer des comptes d'essai et gratuits en dehors de votre compte géré. 

⚠️ La fonctionnalité JIT de Miro ne concerne que les utilisateurs nouvellement enregistrés. Les utilisateurs qui ont déjà un profil existant dans Miro doivent tout de même recevoir une invitation à votre compte.

Tous les utilisateurs approvisionnés sous la fonctionnalité JIT se voient attribuer la licence par défaut de votre abonnement :

• Pour tous les abonnements au plan Business et pour les abonnements au plan Enterprise sans programme de licence flexible : une licence complète. Si vous avez un plan Enterprise et que vous avez épuisé votre nombre de licences disponibles, les utilisateurs commencent à recevoir des licences gratuites restreintes (applicable au forfait Enterprise uniquement). Si vous avez un plan Business et que vous avez épuisé votre nombre de licences disponibles, les utilisateurs ne seront pas automatiquement capturés et la fonctionnalité JIT cessera de fonctionner
• Pour les abonnements Enterprise avec un programme de licence flexible actif : une licence gratuite ou restreinte gratuite, en fonction de la licence par défaut du compte

Pour activer la fonctionnalité JIT de Miro, ouvrez vos Paramètres de SSO > cochez la case correspondante > choisissez l'équipe désignée.

Activez la fonctionnalité de l'approvisionnement JIT sur la page intégrations Enterprise

Tous les utilisateurs nouvellement enregistrés dans les domaines que vous énumérez dans les paramètres seront automatiquement ajoutés sous votre compte Enterprise dans cette équipe en particulier lorsqu'ils s'inscrivent avec Miro.

⚠️ Dans le plan Enterprise, cette équipe sera également affichée dans la liste des équipes découvrables si vous activez l'option Accessibilité à l'équipe . 

Définition de DisplayName comme nom d'utilisateur par défaut

Dans Miro, le nom d'utilisateur est composé de la manière suivante :

• Par défaut, Miro utilisera les attributs FirstName + LastName
• Vous pouvez également demander à utiliser DisplayName à la place. Veuillez contacter votre Customer Success Manager ou l'équipe d'assistance de Miro pour faire de DisplayName votre nom d'utilisateur SSO préféré
• Si aucun des trois attributs ne sont présents dans votre communication SAML, Miro affichera l'adresse e-mail de l'utilisateur comme nom d'utilisateur

Synchronisation des images de profil d'utilisateur à partir de l'IdP

Lorsque ce paramètre est activé :

• l'image de profil définie du côté de l'IdP sera définie comme l'image de profil de l'utilisateur dans Miro
• les utilisateurs n'auront pas la possibilité de mettre à jour ou de supprimer l'image de profil eux-mêmes

⚠️ À l'instar du nom de l'utilisateur, les utilisateurs perdent la possibilité de modifier leurs données du côté de Miro immédiatement, mais la synchronisation des données n'est pas immédiate. En effet, l'IdP envoie une mise à jour à Miro uniquement lors de la prochaine authentification unique de l'utilisateur (à condition que le paramètre « Sync user profile photos from IDP » (Synchroniser les photos de profil d'utilisateur à partir de l'IdP) soit toujours actif à ce stade).

⚠️ L'attribut ProfilePicture n'est pas pris en charge par Azure.

Si l'image de profil est définie dans l'IdP et que vous souhaitez que l'attribut soit transféré dans la communication SAML, Miro s'attendra au schéma suivant :

<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>

Problèmes possibles et comment les résoudre

1. Les adresses de mon domaine ne sont pas acceptées dans les paramètres du SSO (message `DomainName is busy`).
   - Pour des raisons de sécurité, nous prenons en charge le(s) domaine(s) de l'organisation sous un seul parapluie de société (compte Enterprise). Il est possible que vos domaines soient déjà configurés dans un autre plan Business ou Enterprise, ce qui vous empêche d'activer le SSO avec le domaine souhaité. N'hésitez pas à vérifier auprès de vos collègues à l'avance.
   
   
2. Je suis le lien dans l'e-mail de vérification de domaine, mais la vérification ne passe pas.
   - Le lien est censé vous envoyer à la page Enterprise integrations (intégrations d'Enterprise). Si la redirection ne fonctionne pas, veuillez vérifier si vous utilisez un logiciel anti-hameçonnage susceptible de rompre le flux. 
   
   
3. Nous devons modifier les adresses e-mail de nos utilisateurs finaux / Nous avons modifié les adresses e-mail de nos utilisateurs et ils ne sont désormais plus en mesure d'accéder à leurs tableaux.
   - Si votre société change son nom de domaine et a donc besoin de modifier les adresses e-mail des utilisateurs finaux dans les identifiants de SSO, veuillez contacter l'équipe d'assistance pour obtenir de l'aide.
   
   
4. Nous aimerions utiliser une passerelle distincte (par exemple MFA, comme Duo Dag) pour la procédure de SSO. 
   - Vous pouvez très bien le faire, Miro prendra en charge votre solution préférée tant qu'elle fonctionne sous SAML 2.0. 
   
   
5. Nous avons activé le SSO, mais les données des profils d'utilisateur (noms et photos de profil si elles sont prises en charge par votre IdP) dans Miro ne sont pas synchronisées avec celles de l'IdP.
   - Le nom d'utilisateur de Miro et l'image de profil sont mis à jour après chaque authentification d'utilisateur réussie si SAMLResponse contient de nouvelles valeurs non vides. Pour obtenir plus d'informations sur la façon de configurer le nom d'utilisateur Miro, consultez la section Paramètres facultatifs.

Si un utilisateur ou tous vos utilisateurs rencontrent une erreur lorsqu'ils tentent de se connecter à Miro, veuillez consulter la liste des erreurs communes et leurs solutions. 

Foire aux Questions

1. Lorsque j'active la fonction SSO, les utilisateurs sont-ils automatiquement déconnectés et obligés de se connecter via la fonction SSO ?
   - Les utilisateurs resteront connectés et seront toujours en mesure d'utiliser Miro. Si un utilisateur se déconnecte, si sa session expire ou s'il se connecte à partir d'un nouvel appareil, l'utilisateur sera alors contraint de se connecter par l'intermédiaire du SSO. Ceci est uniquement applicable aux utilisateurs des comptes Enterprise avec des domaines d'entreprise.
   
   

2. Si j'ai activé la fonction JIT, les utilisateurs nouvellement enregistrés se connectent-ils via le SSO ?
   - Oui, la fonction SSO est requise pour l'approvisionnement de la fonction JIT.
   
   

3. Si j'active le SSO, les clients, partenaires, parties externes seront-ils toujours en mesure d'accéder à Miro ?
   - Oui. Le SSO ne sera requise que pour les utilisateurs qui font partie de votre compte Enterprise et qui ont un domaine répertorié dans votre configuration SSO. Si vos clients, partenaires, parties externes ont un domaine différent (non répertorié dans la configuration de la SSO), ils ne seront pas affectés par la fonction de SSO de votre compte.