Authentification unique (SSO)

La fonctionnalité d’authentification unique (ou SSO) basée sur SAML de Miro fournira à vos utilisateurs l’accès à l’application Miro par l’intermédiaire d’un fournisseur d’identité (IdP) de votre choix. Miro prend également en charge le SCIM avec n’importe quel fournisseur d’identité de votre choix (pour des connexions initiées par le SP et l’IdP). 

Disponible pour : les plans Enterprise et BusinessConfiguré par
 : les admins d’entreprise

Règles

Une fois le SSO actigé pour le plan, les règles suivantes s’appliquent aux utilisateurs finaux :

1. Le processus de SSO est appliqué aux domaines d’entreprise que vous ajoutez aux paramètres de SSO. Les utilisateurs finaux de votre plan (membres, invités) possédant les domaines de l’entreprise doivent se connecter à Miro par SSO via leurs identifiants enregistrés dans l’IdP.
   
   Les domaines dans les paramètres SSO
   Ils n’ont pas accès aux autres options d’authentification (la connexion standard par login et mot de passe ainsi que les boutons Google, Facebook, Slack et O365).
   Cela signifie également que vous pouvez utiliser la même configuration de fournisseur d’identité avec plusieurs abonnements Miro tant que différents comptes revendiquent différents domaines. Vous ne pourrez toutefois approvisionner qu’un seul abonnement Miro Entreprise via le SCIM (puisque chaque instance Enterprise dispose d’un jeton unique et votre configuration SCIM n’acceptera qu’un seul d’entre eux).
   

   ✏️ Les utilisateurs avec d’autres domaines ne sont pas tenus d’utiliser le SSO et devraient plutôt se connecter à l’aide des méthodes standard. Ce scénario existe pour les invités, les entrepreneurs indépendants, etc. qui n’ont accès qu’à certains tableaux de la société et qui pourraient ne pas avoir de profils auprès de votre fournisseur d’identité. 

2. Si un utilisateur final est membre d’une équipe en dehors de votre plan, il devra tout de même se connecter via le SSO dès que la fonctionnalité est activée. Il sera toutefois en mesure d’accéder à d’autres équipes. Si vous souhaitez également empêcher vos utilisateurs de le faire, consultez la fonctionnalité Domain control (Contrôle de domaine). 
3. Les utilisateurs ne sont pas autorisés à modifier leur mot de passe, leur prénom ou leur nom de famille dans Miro (les photos de profil peuvent également être incluses dans cette liste). Les données sont plutôt attribuées automatiquement par votre fournisseur d’identité à la suite d’une connexion réussie.
   
   Le nom d’utilisateur Miro est mis à jour après chaque authentification réussie de l’utilisateur si SAMLResponse contient de nouvelles valeurs non vides. Pour obtenir plus d’informations sur la façon de configurer le nom d’utilisateur Miro, consultez la section concernant les Paramètres facultatifs ci-dessous.
   

   ✏️ Cependant, si vous devez modifier les adresses e-mail de vos utilisateurs, vous ne pouvez le faire que via le SCIM.

   Si vous n’utilisez pas le SCIM, vous devrez suivre la procédure suivante : la modification de l’adresse e-mail doit d’abord être effectuée du côté de Miro (veuillez contacter l’équipe d’assistance pour obtenir de l’aide), puis du côté du fournisseur d’identité avant qu’un utilisateur final essaie d’utiliser ses identifiants pour se connecter à Miro. Notre système reconnaît l’utilisateur par son adresse e-mail. Si le système n’est pas informé du changement avant sa connexion suivante, l’utilisateur en question sera reconnu comme un nouvel utilisateur, il recevra un nouveau profil au lieu de se connecter sur son profil existant.
4. Les utilisateurs qui souhaitent se connecter à l’application bureau, tablette ou mobile de Miro à l’aide d’un SSO seront automatiquement redirigés vers le navigateur Web afin d’utiliser le SSO de la société. Une fois le SSO du navigateur réussi, les utilisateurs seront automatiquement redirigés vers les applications natives pour continuer à utiliser Miro.
5. Les utilisateurs de votre domaine qui ne sont pas membres de votre plan ne sont pas soumis à la procédure de SSO de votre compte. 

Configuration du SSO

Configurez votre IdP

N’hésitez pas à utiliser le fournisseur d’identité de votre choix. Les guides pour les plateformes de solution d’identité les plus populaires peuvent être consultés ci-dessous :

• OKTA 
• Azure AD de Microsoft
• OneLogin
• ADFS de Microsoft
• Auth0
• Google SSO

Vous trouverez ici un article décrivant la façon de configurer le SSO Jumpcloud (et le SCIM). 

D’abord, rendez-vous sur le panneau de configuration de votre fournisseur d’identité et suivez les instructions du fournisseur pour configurer l’authentification unique.

Assurez-vous ensuite d’ajouter les données suivantes (notez cependant que, selon le fournisseur d’identité, vous pouvez avoir plus ou moins de champs à remplir. Nous vous recommandons d’ignorer les champs optionnels ou de tout définir aux valeurs par défaut).

Caractéristiques de configuration (métadonnées)

• Protocole : SAML 2.0
• Liaison :
       Redirection HTTP du SP à l’IdP
       Redirection HTTP de l’IdP au SP.
• L’URL du service (URL initiée par le SP) (c’est-à-dire l’URL de lancement, l’URL de réponse, l’URL du service SSO de la partie de confiance, l’URL de la cible, l’URL de connexion par SSO, le point de terminaison du fournisseur d’identité, etc) : https://miro.com/sso/saml
• URL du service consommateur d’assertion (URL de rappel autorisée) : https://miro.com/sso/saml
• Identifiant (identité de l’entité, identifiant de la partie de confiance) : https://miro.com/
  
• État du relais par défaut : doit être laissé vide dans votre configuration
• Conditions de connexion : 
      Une réponse SAML non signée avec une assertion signée
      Une réponse SAML signée avec une assertion signée
• SubjectConfirmation Method : "urn:oasis:names:tc:SAML:2.0:cm:bearer"

La réponse SAML du fournisseur d’identité doit contenir le certificat de clé publique x509 émis par le fournisseur d’identité.

Des exemples détaillés se trouvent ici. 

⚠️ Le cryptage et la déconnexion unique ne sont pas pris en charge. 

Identifiants de l’utilisateur (types de revendication)

• Attribut requis (c’est-à-dire SAML_Subject, la clé principale, le nom de l’ouverture de session, le format du nom d’utilisateur de l’application, etc.) - NameID : correspond à l’adresse e-mail de l’utilisateur (à ne pas confondre avec EmailAddress qui est généralement un attribut distinct), - <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:email">

• Attributs facultatifs à envoyer avec l’assertion (mis à jour avec chaque nouvelle authentification via une SSO, utilisés lorsqu’ils sont présents) : 

  • "DisplayName" ou "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/displayname" (selon les préférences) ;
  • “FirstName” ou "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname" ;
  • “LastName” ou "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname" ;
  • “ProfilePicture” : l’URL codée de l’image.

Encore une fois, toutes les autres options peuvent être définies sur la valeur par défaut ou non spécifiées.

Le fichier de métadonnées du SP de Miro (XML) est disponible au téléchargement ici. 

Consultez le schéma détaillé du SSO et du SCIM ici. 

Activez le SSO dans Miro

Il est fortement recommandé de tester la procédure de connexion dans le mode incognito de votre navigateur. Ainsi, vous conservez la session dans la fenêtre standard, ce qui vous permet de désactiver l’autorisation du SSO au cas où quelque chose serait mal configuré. Si vous souhaitez configurer une instance de test avant d’activer le SSO en production, veuillez en discuter avec votre responsable de compte ou contacter l’équipe d’assistance pour obtenir de l’aide.  Seules les personnes qui configurent l’authentification unique (SSO) seront ajoutées à cette instance de test.

⚠️ Les admins d’un plan Business peuvent trouver les paramètres du SSO dans Team settings (Paramètres d’équipe) > onglet Security (Sécurité). Afin d’activer le SSO sur un plan Enterprise, rendez-vous dans Company settings (Paramètres de l’entreprise) > Enterprise integrations (Intégrations Enterprise).

Spécifiez les valeurs suivantes :

1. URL de connexion SAML (dans la plupart des cas, elle ouvre la page de votre fournisseur d’identité où vos utilisateurs finaux doivent entrer leurs identifiants)
2. Certificat de la clé publique x.509 (émis par votre fournisseur d’identité)
3. La liste des domaines autorisés/requis pour s’authentifier via votre serveur SAML.

Paramètres du SSO de Miro

Vérifiez vos domaines SSO

Configuré par : les admins d’entreprise

Une fois que vous avez entré un nom de domaine, vous devrez le vérifier. Entrez l’adresse e-mail du domaine ajouté pour prouver que vous le représentez et le système enverra une demande de vérification à l’adresse e-mail spécifiée. Veuillez noter que c’est à un admin d’entreprise qu’il revient de cliquer sur le lien de vérification. Pour finir, cliquez sur le bouton Save (Enregistrer). Vos utilisateurs finaux du domaine vérifié pourront alors commencer à utiliser l’authentification unique.

Fenêtre pop-up de vérification du domaine du SSO

Critères pour une vérification réussie :

• La personne qui effectue la vérification (qui l’initie ou bien la complète) doit être un admin d’entreprise.
  Si vous êtes un admin d’entreprise et que vous souhaitez envoyer une demande de vérification à une adresse e-mail qui appartient à une personne qui n’est pas un admin d’entreprise, cette personne peut vous renvoyer le lien de confirmation pour que vous puissiez compléter le processus. 
• L’adresse e-mail utilisée doit être réelle (et capable de recevoir des e-mails).
• Les domaines publics (ex : @gmail.com, @outlook.com, etc.) ne sont pas autorisés. 
• La fonctionnalité de SSO doit être activée et le nom de domaine ne doit pas être supprimé du champ tant que la vérification n’est pas terminée (la demande de vérification arrive généralement dans les 15 minutes). 

💡 Si vous gérez beaucoup de domaines et de sous-domaines (les sous-domaines sont reconnus comme des noms distincts et nécessitent une vérification distincte), veuillez vérifier au moins un nom de domaine et soumettre une demande à l’équipe d’assistance en joignant la liste de vos domaines (séparés par une virgule) pour que nous les confirmions immédiatement pour vous. 

Tant que le domaine n’est pas ajouté à la liste et vérifié, les processus de SSO ne lui seront pas appliqués (si le champ ne contient pas de domaines confirmés, aucun utilisateur n’est affecté par le SSO). Si un domaine n’est pas vérifié, une note Vérifier l’adresse e-mail s’affichera dans les paramètres. 

Domaine non vérifié dans les paramètres de SSO de Miro

Paramètres facultatifs 

La section des paramètres facultatifs est utilisée par les utilisateurs avancés qui connaissent la configuration SSO. Pour obtenir plus d’informations, veuillez consulter la documentation sur les normes SAML2.0.

Approvisionnement juste à temps (JIT) pour les nouveaux utilisateurs 

Aidez vos utilisateurs finaux à interagir avec Miro immédiatement, sans attendre que quelqu’un ne les invite ou ne les fasse passer par le processus d’intégration complet et évitez de créer des équipes d’essai et gratuites en dehors de votre abonnement géré. 

⚠️ La fonctionnalité JIT de Miro touche automatiquement les utilisateurs nouvellement enregistrés. Les utilisateurs qui ont déjà un profil Miro se doivent tout de même de recevoir une invitation à votre plan. Cependant, si vous activez notre fonctionnalité Team Discovery (Découverte d’équipe), l’équipe que vous avez définie dans le cadre de la fonctionnalité JIT apparaîtra également sur la liste des équipes ouvertes à l’adhésion. 

Tous les utilisateurs approvisionnés sous la fonctionnalité JIT se voient attribuer la licence par défaut de votre abonnement :

• Pour tous les abonnements au plan Business et pour les abonnements au plan Enterprise sans programme de licence flexible : une licence complète. Si vous avez un plan Enterprise et que vous avez épuisé votre nombre de licences disponibles, les utilisateurs commencent à recevoir des licences gratuites restreintes (applicable au plan Enterprise uniquement). Si vous avez un plan Business et que vous avez épuisé votre nombre de licences disponibles, les utilisateurs ne seront pas automatiquement capturés et la fonctionnalité JIT cessera de fonctionner
• Pour les abonnements Enterprise avec un programme de licence flexible actif : une licence gratuite ou gratuite restreinte, en fonction de la licence par défaut

Pour activer la fonctionnalité JIT de Miro, ouvrez vos Paramètres de SSO > cochez la case correspondante > choisissez l’équipe désignée.

Activez la fonctionnalité de l’approvisionnement JIT sur la page intégrations Enterprise

Tous les utilisateurs nouvellement enregistrés dans les domaines que vous énumérez dans les paramètres seront automatiquement ajoutés sous votre compte Enterprise dans cette équipe en particulier lorsqu’ils s’inscrivent avec Miro.

⚠️ Dans le plan Enterprise, cette équipe sera également affichée dans la liste des équipes découvrables si vous activez l’option Accessibilité à l’équipe . 

Définition de DisplayName comme nom d’utilisateur par défaut

Dans Miro, le nom d’utilisateur est composé de la manière suivante :

• Par défaut, Miro utilisera les attributs FirstName (Prénom) + LastName (Nom)
• Vous pouvez également demander d’utiliser l’attribut DisplayName (Nom affiché) à la place. Dans ce cas, Miro utilisera DisplayName lorsqu’il est présent dans la demande SAML de l’utilisateur. Si l’attribut DisplayName n’est pas présent, mais que les attributs FirstName + LastName le sont, Miro utilisera les attributs FirstName + LastName.
  Veuillez contacter le service d’assistance de Miro pour faire de l’attribut DisplayName votre nom d’utilisateur SSO préféré.
• Si aucun des trois attributs n’est présent dans votre communication SAML, Miro affichera l’adresse e-mail de l’utilisateur comme nom d’utilisateur.

Synchronisation des images de profil d’utilisateur à partir de l’IdP

⚠️ Il est recommandé d’activer cette option si vous n’activez pas le SCIM ou dans le cas où le SCIM est actif mais que votre IdP ne prend pas en charge l’attribut ProfilePicture (par exemple, ProfilePicture n’est pas pris en charge par Azure). Dans d’autres cas, il est recommandé de passer ProfilePicture via le SCIM avec des mises à jour immédiates. 

Lorsque ce paramètre est activé :

• L’image de profil définie du côté de l’IdP sera définie comme l’image de profil de l’utilisateur dans Miro.
• Les utilisateurs n’auront pas la capacité de mettre à jour ou de supprimer leur image de profil eux-mêmes.

⚠️ À l’instar du nom de l’utilisateur, les utilisateurs perdent la possibilité de modifier leurs données du côté de Miro immédiatement, mais la synchronisation des données n’est pas immédiate. En effet, l’IdP envoie une mise à jour à Miro uniquement lors de la prochaine authentification unique de l’utilisateur (à condition que le paramètre « Sync user profile photos from IDP » (Synchroniser les photos de profil d’utilisateur à partir de l’IdP) soit toujours actif à ce stade).

Si l’image de profil est définie dans l’IdP et que vous souhaitez que l’attribut soit transféré dans la communication SAML, Miro s’attendra au schéma suivant :

<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>

Configurer l’authentification multifacteur pour les utilisateurs en dehors du SSO

Si vous souhaitez que les utilisateurs ne faisant pas partie de vos domaines vérifiés par le SSO et non tenus d’utiliser le SSO suivent tout de même une procédure de connexion plus sécurisée, vous serez en mesure d’appliquer l’authentification multifacteur pour ceux-ci (à venir).

Problèmes possibles et comment les résoudre

1. Les adresses de mon domaine ne sont pas acceptées dans les paramètres du SSO (message `DomainName is busy` (Le nom de domaine est occupé)).
   - Pour des raisons de sécurité, nous prenons en charge le(s) domaine(s) de l’organisation sous un seul parapluie de société (abonnement Enterprise). Il est possible que vos domaines soient déjà configurés dans un autre plan Business ou Enterprise, ce qui vous empêche d’activer le SSO avec le domaine souhaité. N’hésitez pas à vérifier auprès de vos collègues à l’avance.
   
   
2. Je suis le lien dans l’e-mail de vérification de domaine, mais la vérification ne passe pas.
   - Le lien est censé vous envoyer à la page Enterprise integrations (Intégrations d’Enterprise). Si la redirection ne fonctionne pas, veuillez vérifier si vous utilisez un logiciel anti-hameçonnage susceptible de rompre le flux. 
   
   
3. Nous devons modifier les adresses e-mail de nos utilisateurs finaux / Nous avons modifié les adresses e-mail de nos utilisateurs et ils ne sont désormais plus en mesure d’accéder à leurs tableaux.
   - Si votre société change son nom de domaine et a donc besoin de modifier les adresses e-mail des utilisateurs finaux dans les identifiants de SSO, veuillez contacter l’équipe d’assistance pour obtenir de l’aide.
   
   
4. Nous aimerions utiliser une passerelle distincte (par exemple MFA, comme Duo Dag) pour la procédure de SSO. 
   - Vous pouvez très bien le faire, Miro prendra en charge votre solution préférée tant qu’elle fonctionne sous SAML 2.0. 
   
   
5. Nous avons activé le SSO, mais les données des profils d’utilisateur (noms et photos de profil si elles sont prises en charge par votre IdP) dans Miro ne sont pas synchronisées avec celles de l’IdP.
   - Le nom d’utilisateur de Miro et l’image de profil sont mis à jour après chaque authentification d’utilisateur réussie si SAMLResponse contient de nouvelles valeurs non vides. Pour obtenir plus d’informations sur la façon de configurer le nom d’utilisateur Miro, consultez la section Paramètres facultatifs.

Si un utilisateur ou tous vos utilisateurs rencontrent une erreur lorsqu’ils tentent de se connecter à Miro, veuillez consulter la liste des erreurs communes et leurs solutions. 

Foire aux questions

1. Lorsque j’active la fonction SSO, les utilisateurs sont-ils automatiquement déconnectés et obligés de se connecter via la fonction SSO ?
   - Les utilisateurs resteront connectés et seront toujours en mesure d’utiliser Miro. Si un utilisateur se déconnecte, si sa session expire ou s’il se connecte à partir d’un nouvel appareil, l’utilisateur sera alors contraint de se connecter par l’intermédiaire du SSO. Ceci est uniquement applicable aux utilisateurs d’un plan Enterprise avec des domaines d’entreprise.
   
   

2. Si j’ai activé la fonction JIT, les utilisateurs nouvellement enregistrés se connectent-ils via le SSO ?
   - Oui, la fonction SSO est requise pour l’approvisionnement de la fonction JIT.
   
   

3. Si j’active le SSO, les clients, partenaires, parties externes seront-ils toujours en mesure d’accéder à Miro ?
   - Oui. Le SSO ne sera requis que pour les utilisateurs qui font partie de votre abonnement Enterprise et qui possèdent un domaine répertorié dans votre configuration SSO. Si vos clients, partenaires ou parties externes ont un domaine différent (non répertorié dans la configuration du SSO), ils ne seront pas affectés par la fonction de SSO de votre plan.