Deutsch English (US) Español 日本語 Português do Brasil

Articles dans cette section

Authentification unique (SSO)

Sean
  • Mise à jour

Grâce à l’authentification unique basée sur SAML, les utilisateurs peuvent accéder à Miro via le fournisseur d’identité (IdP) de leur choix.

Disponible pour : les forfaits Enterprise et Business
Configuré par : les admins d’entreprise

Comment fonctionne l’authentification unique SAML

  1. Lorsqu’un utilisateur Miro tente de se connecter à Miro à l’aide de l’authentification unique, Miro envoie une demande SAML (Security Assertion Markup Language) au fournisseur d’identité (IdP).
  2. Le fournisseur d’identité valide les identifiants de l’utilisateur et envoie une réponse à Miro pour valider l’identité du membre.
  3. Miro prend acte de la réponse et accorde l’accès, ce qui permet au membre de se connecter à son compte Miro.

Que se passe-t-il après l’activation de l’authentification unique ?

Activation de l’authentification unique pour la première fois

La première fois que vous configurez l’authentification unique, les utilisateurs existants peuvent continuer à travailler dans Miro sans interruption. Cependant, la prochaine fois qu’ils se déconnectent, que leur session expire ou qu’ils tentent de se connecter à partir d’un nouvel appareil, ils devront se connecter via l’authentification unique. 

Les autres options d’ouverture de session seront désactivées pour les utilisateurs, y compris la combinaison identifiant + mot de passe, Google, Facebook, Slack, AppleID et O365.

Délai d’inactivité de la session

Si vous avez activé le délai d’inactivité de la session, les utilisateurs seront automatiquement déconnectés de leur profil Miro et devront à nouveau se connecter, cette fois à l’aide l’authentification unique. 

Plusieurs équipes et organisations

Si vos utilisateurs font partie de plusieurs équipes ou organisations Miro, vous pouvez configurer l’utilisation du même fournisseur d’identité (IdP) pour l’authentification.

Qui sera et ne sera pas tenu de se connecter avec l’authentification unique

L’authentification unique est obligatoire pour les utilisateurs actifs qui font partie de votre abonnement Enterprise et possèdent un domaine répertorié dans vos paramètres d’authentification unique.

  • Les utilisateurs qui accèdent à Miro à partir de domaines qui n’ont pas été ajoutés à vos paramètres d’authentification unique ne sont pas tenus de se connecter avec. À la place, ils doivent se connecter à l’aide des méthodes d’authentification standard.
  • Les utilisateurs d’un domaine vérifié qui ne sont pas membres de votre abonnement Miro Enterprise n’ont pas besoin de se connecter via l’authentification unique.
    ⚠️ Si un utilisateur est membre d’une équipe Miro externe à votre abonnement Enterprise, il doit tout de même se connecter via l’authentification unique. Il sera toutefois en mesure d’accéder à d’autres équipes. Si vous souhaitez empêcher l’accès aux autres équipes, nous vous recommandons d’utiliser la fonction de contrôle de domaine.

Gestion des coordonnées des utilisateurs

Les données des utilisateurs sont automatiquement attribuées dans Miro par votre fournisseur d’identité après une ouverture de session réussie. Certains paramètres, tels que le nom et le mot de passe, ne peuvent pas être modifiés. D’autres paramètres, tels que le service et les photos de profil, sont optionnels.  

Allowed-Email-Domains-Image1.pngLes domaines dans les paramètres d’authentification unique

💡 Pour éviter tout verrouillage, créez un « utilisateur d’urgence » dont le domaine de messagerie se trouve en dehors du domaine répertorié dans les paramètres d’authentification unique, comme utilisateurdesecours@gmail.com. Autrement, vous pouvez contacter le service d’assistance qui peut désactiver l’authentification unique pour toute l’organisation.

Configuration du SSO

Fournisseurs d’identité (IdP)

Vous pouvez utiliser le fournisseur d’identité de votre choix. Voici les noms des plateformes de fourniture d’identité les plus populaires :

Comment configurer votre IdP

1. Rendez-vous sur le panneau de configuration de votre fournisseur d’identité et suivez ses instructions pour configurer l’authentification unique.

2. Ajoutez les métadonnées suivantes. Nous vous recommandons d’ignorer tous les champs optionnels et de laisser les valeurs par défaut telles quelles. 

Spécifications (métadonnées)

Protocole SAML 2.0
Liaison  Redirection HTTP du SP à l’IdP
Publication HTTP de l’IdP au SP

URL de service (URL initiée par le SP)

Également appelée URL de lancement, URL de réponse, URL de service d’authentification unique de la partie utilisatrice, URL cible, URL de connexion par authentification unique, point de terminaison du fournisseur d’identité, etc.

 https://miro.com/sso/saml

URL du service consommateur d’assertion


Également appelée URL de rappel autorisé, URL ACS personnalisée, URL de réponse

 https://miro.com/sso/saml

ID de l’entité


Également appelé identificateur, identificateur d’approbation de partie de confiance

 https://miro.com/
État du relais par défaut doit être laissé vide dans votre configuration
Conditions de signature

Une réponse SAML non signée avec une assertion signée


Une réponse SAML signée avec une assertion signée
Méthode SubjectConfirmation « urn:oasis:names:tc:SAML:2.0:cm:bearer »

La réponse SAML du fournisseur d’identité doit contenir le certificat de clé publique x509 émis par le fournisseur d’identité.

Voir des exemples SAML détaillés. Télécharger le fichier de métadonnées Miro SP (XML). 
⚠️ Le cryptage et la déconnexion unique ne sont pas pris en charge.

Identifiants des utilisateurs

Les champs autres que les champs ci-dessous ne sont pas obligatoires. Nous vous recommandons d’ignorer tous les champs optionnels et de laisser les valeurs par défaut telles quelles. 

Attributs de l’identifiant de l’utilisateur obligatoires

NameID (équivaut à l’adresse e-mail d’un utilisateur)

Également appelé SAML_Subject, clé principale, nom d’ouverture de session, format du nom d’utilisateur de l’application, etc.

<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:email">

 

(À ne pas confondre avec « EmailAddress », qui est généralement un attribut distinct.)

Attributs facultatifs à envoyer avec l’assertion

(mis à jour à chaque nouvelle authentification via l’authentification unique, utilisés lorsqu’ils sont présents/disponibles)
  • « DisplayName » ou « http://schemas.xmlsoap.org/ws/2005/05/identity/claims/displayname » (utilisé comme nom préféré)

mceclip0.png

  • « FirstName » ou « http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname » ;
  • « LastName » ou « http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname » ;
  • « ProfilePicture » : l’URL codée de l’image


Comment activer l’authentification unique dans vos paramètres Miro

✏️ L’activation de l’authentification unique dans vos paramètres ne l’active pas immédiatement pour les utilisateurs. L’authentification unique ne sera disponible qu’après la vérification de vos domaines. 
Forfait Business Forfait Enterprise
1. Rendez-vous dans les paramètres Entreprise > Sécurité > Authentification unique
2. Activez SSO/SAML

Single-sign-on-settings-Business-Plan.png
⚠️ Nous vous recommandons fortement de travailler avec deux fenêtres ouvertes : testez la procédure de connexion en mode navigation privée tout en gardant les paramètres ouverts dans la fenêtre du navigateur standard. Vous pourrez ainsi facilement désactiver l’autorisation d’authentification unique au cas où quelque chose serait mal paramétré. Si vous souhaitez paramétrer une instance de test avant d’activer l’authentification unique pour la production, contactez l’équipe du service d’assistance pour obtenir de l’aide. 

Comment configurer l’authentification unique dans vos paramètres Miro

Après avoir activé la fonctionnalité SSO/SAML dans les paramètres d’authentification unique, remplissez les champs ci-dessous :

  1. URL de connexion SAML (dans la plupart des cas, elle ouvre la page de votre fournisseur d’identité où vos utilisateurs finaux doivent entrer leurs identifiants).
  2. Certificat à clé publique x.509 (émis par votre fournisseur d’identité).
  3. Tous les domaines et sous-domaines autorisés ou obligés (ACME.com ou ACME.dev.com) de s’authentifier via votre serveur SAML.

sso_auth_settings.pngParamètres de l’authentification unique dans Miro

Renouveler votre certificat SSO/SAML

Si votre certificat à clé publique x.509 a expiré, l’authentification unique continuera de fonctionner, mais il est fortement recommandé de le renouveler afin de poursuivre l’utilisation de Miro en toute sécurité. Les certificats x.509 à clé publique garantissent la sécurité, la conformité, l’authenticité et l’intégrité des informations partagées entre votre fournisseur d’identité et Miro.

Ces certificats ne sont valables que pour une période donnée, qui peut être spécifiée (et vérifiée) auprès de votre fournisseur d’identité. Vérifiez la date d’expiration auprès de votre fournisseur d’identité.

Ce processus se déroule en deux étapes :

  1. Renouvelez le certificat auprès de votre fournisseur d’identité. Vérifiez leurs instructions concernant la marche à suivre.
  2. Ajoutez le certificat renouvelé à votre configuration de l’authentification unique Miro.

Ajout de certificats renouvelés à Miro

⚠️ Nous vous recommandons de remplacer votre certificat x.509 pendant les périodes moins chargées dans votre organisation (par exemple, le week-end ou après les heures de bureau) pour éviter les interruptions de connexion.
  1. Rendez-vous dans les paramètres Entreprise > Authentication > Authentication unique
  2. Supprimez le contenu dans le champ certificat à clé x.509.
  3. Collez la nouvelle clé dans ce champ.
  4. Faites défiler la page et cliquez sur Enregistrer
    sso_renew_x509_cert.gifRenouvellement d’un certificat x.509 dans Miro

Vérifier vos domaines pour l’authentification unique

Configuré par : les admins d’entreprise

💡 Il n’est pas nécessaire de vérifier à nouveau les domaines déjà vérifiés à l’aide du contrôle de domaine

Après avoir entré un nom de domaine, vous devrez le vérifier. L’authentification unique ne sera pas disponible pour vos utilisateurs tant que le domaine ne sera pas ajouté à la liste de domaines dans vos paramètres d’authentification unique puis vérifié. Une note VÉRIFIEZ L’ADRESSE E-MAIL s’affichera dans vos paramètres d’authentification unique si un domaine n’est pas vérifié.

sso_verify_email.pngDomaine non vérifié dans les paramètres de l’authentification unique de Miro

Exigences pour une vérification de domaine réussie

  • La personne qui effectue la vérification doit être admin d’entreprise. Si vous êtes admin d’entreprise et que vous souhaitez envoyer l’e-mail de vérification à quelqu’un qui ne l’est pas, cette personne peut vous transmettre l’e-mail de vérification avec le lien de validation pour compléter le processus.
  • L’adresse e-mail utilisée doit être réelle (elle doit pouvoir recevoir l’e-mail de vérification).
  • Les domaines publics (notamment @gmail.com, @outlook.com, etc.) ne sont pas autorisés.
  • La fonctionnalité d’authentification unique doit être activée et le nom de domaine ajouté dans les paramètres d’authentification unique.

Comment vérifier vos domaines

  1. Une fois un domaine ajouté, une fenêtre contextuelle s’ouvrira pour vous demander de saisir une adresse e-mail afin de vérifier le domaine. Saisissez l’adresse e-mail en utilisant le même domaine que celui ajouté dans vos paramètres d’authentification unique pour prouver que vous représentez ce domaine.
  2. Cliquez sur Envoyer la vérification.
  3. Vous recevrez l’e-mail de vérification sous 15 minutes.
  4. Vous devrez cliquer sur le lien de vérification dans l’e-mail. Pour compléter cette étape, vous devez être admin d’entreprise.
  5. Pour terminer, cliquez sur le bouton Enregistrer.
  6. Les utilisateurs du domaine vérifié peuvent désormais se connecter avec l’authentification unique.

domain_confirmation_modal.jpg
Fenêtre contextuelle de vérification de domaine pour l’authentification unique

💡 Si vous gérez plusieurs domaines et sous-domaines (les sous-domaines sont reconnus comme des noms distincts et nécessitent une vérification distincte), commencez par vérifier au moins un nom de domaine, puis envoyez une demande à l’équipe du service d’assistance en joignant la liste complète de vos domaines (séparés par une virgule) afin que nous puissions immédiatement les confirmer pour vous. Si vous avez plus de 10 domaines, Miro les vérifiera pour vous. Les organisations comptant moins de 10 domaines doivent les vérifier elles-mêmes.  Seuls 3 domaines par organisation peuvent être vérifiés avec le forfait Business.

Paramètres d’authentification unique avancés facultatifs

La section des paramètres facultatifs est utilisée par les utilisateurs avancés qui s’y connaissent en configuration de l’authentification unique.  

Provisionnement juste à temps (JIT) pour les nouveaux utilisateurs

Facilitez la tâche de vos utilisateurs pour qu’ils puissent commencer à utiliser Miro immédiatement, sans avoir à attendre une invitation ou à passer par un long processus d’intégration. Assurez-vous également qu’aucune équipe gratuite n’est créée en dehors de votre abonnement géré (nécessite le contrôle de domaine). L’authentification unique est nécessaire pour activer le provisionnement Juste-à-temps (JIT) de nouveaux utilisateurs. Tous les utilisateurs approvisionnés en Juste-à-temps se voient attribuer la licence par défaut de votre abonnement :

Type d’abonnement Type de licence Comportement lorsque les licences sont épuisées
Forfait Business Licence complète Les utilisateurs ne sont pas automatiquement ajoutés ; la fonctionnalité JIT cesse de fonctionner.
Forfait Enterprise (sans le programme de licences flexibles) Licence complète Utilisateurs approvisionnés sous la licence gratuite restreinte.
Forfait Enterprise (avec le programme de licences flexibles) Licence gratuite restreinte ou Free Dépend des paramètres de licence par défaut.

 

Comment activer le provisionnement Juste-à-temps

Une fois activé, le provisionnement Juste-à-temps s’appliquera automatiquement à tous les nouveaux utilisateurs qui s’inscrivent sur Miro. En revanche, les utilisateurs Miro existants devront être invités à rejoindre votre forfait. 

  1. Rendez-vous dans les paramètres de l’authentification unique. 
  2. Cochez la case Ajouter automatiquement à votre compte Enterprise tous les utilisateurs nouvellement enregistrés des domaines répertoriés.
  3. Choisissez une équipe par défaut pour les utilisateurs nouvellement enregistrés dans le menu déroulant. 
  4. Cliquez sur Enregistrer.

Lorsque vous répertoriez des domaines spécifiques dans vos paramètres d’authentification unique, tous les utilisateurs qui s’inscrivent avec ces domaines seront automatiquement ajoutés à votre abonnement Enterprise. Ils seront assignés à l’équipe que vous avez sélectionnée dans les paramètres Juste-à-temps (JIT).

Copie de user_provisioning_jit_provisioning.pngActivez la fonctionnalité de provisionnement Juste-à-temps sur la page des intégrations Enterprise

Tous les utilisateurs nouvellement enregistrés avec les domaines que vous avez énumérés dans les paramètres seront automatiquement ajoutés à votre compte Enterprise dans cette équipe en particulier lorsqu’ils s’inscriront à Miro.

⚠️ Dans le forfait Enterprise, cette équipe sera également affichée dans la liste des équipes pouvant être trouvées si vous activez l’option de découverte de l’équipe.

Définition de DisplayName comme nom d’utilisateur par défaut

Par défaut, Miro utilisera les attributs FirstName (Prénom) + LastName (Nom). Vous pouvez à la place demander à utiliser l’attribut DisplayName (Nom d’affichage). Dans ce cas, Miro utilisera DisplayName (Nom d’affichage) lorsqu’il est présent dans la réponse SAML de l’utilisateur. 

Si l’attribut DisplayName (Nom d’affichage) n’est pas présent mais que les attributs FirstName (Prénom) + LastName (Nom) le sont, Miro utilisera les attributs FirstName (Prénom) + LastName (Nom). Contactez le service d’assistance de Miro pour faire de l’attribut DisplayName (Nom d’affichage) votre nom d’utilisateur SSO préféré.

Si aucun des trois attributs n’est présent dans votre communication SAML, Miro affichera l’adresse e-mail de l’utilisateur comme nom d’utilisateur.

Paramètres Nom d’utilisateur par défaut
Nom d’utilisateur Miro FirstName (Prénom) + LastName (Nom)
Paramètres alternatifs DisplayName (Nom d’affichage) (s’il est présent dans la demande SAML de l’utilisateur)
Solution de secours FirstName (Prénom) + LastName (Nom) (si DisplayName (Nom d’affichage) n’est pas présent)
Nom d’utilisateur préféré pour l’authentification unique DisplayName (Nom d’affichage) (contactez le service d’assistance Miro)
Aucun attribut présent Adresse e-mail affichée comme nom d’utilisateur

Si vous voyez quelque chose qui ne correspond pas à ce que vous attendiez, vous devrez peut-être vous authentifier via l’authentification unique. Il est aussi possible que la réponse SAML ne contienne pas les valeurs nécessaires pour la mise à jour.

Synchronisation des images de profil d’utilisateur à partir de l’IdP

⚠️ En général, il est recommandé d’activer cette option si vous n’activez pas le SCIM ou si votre IdP ne prend pas en charge l’attribut ProfilePicture (Photo de profil) (c’est le cas d’Azure par exemple). Dans les autres cas, il est recommandé de passer ProfilePicture (Photo de profil) via le SCIM avec des mises à jour immédiates.

Lorsque ce paramètre est activé :

  • l’image de profil définie du côté de l’IdP sera définie comme l’image de profil de l’utilisateur dans Miro.
  • les utilisateurs ne seront pas en mesure changer ou de supprimer eux-mêmes leur image de profil.

⚠️ À l’instar de l’attribut nom d’utilisateur, les utilisateurs ne pourront pas modifier immédiatement leurs données du côté de Miro, mais la synchronisation des données n’est pas immédiate. En effet, l’IdP envoie une mise à jour à Miro uniquement lors de la prochaine authentification par authentification unique de l’utilisateur (à condition que le paramètre « Synchroniser les photos de profil d’utilisateur à partir de l’IdP » soit toujours activé à ce moment-là).

Si l’image de profil est définie dans l’IdP et que vous souhaitez que l’attribut soit transféré dans la communication SAML, Miro attendra le schéma suivant :

<saml2:Attribute Name="ProfilePicture" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">https://images.app.goo.gl/cfdeBqKfDKsap1icxecsaHF
</saml2:AttributeValue>
</saml2:Attribute>

Authentification unique avec résidence des données

Si vous utilisez le service de résidence des données de Miro et avez une URL dédiée (workspacedomain.miro.com), vous devez ajuster la configuration de votre fournisseur d’identité.

Pour ce faire, vous devrez ajouter votre [ORGANIZATION_ID] à l’URL.

Vous trouverez votre ORGANIZATION_ID sur le tableau de bord Miro, en cliquant sur votre Profil dans le coin supérieur droit > Paramètres > il est affiché dans l’URL dans la barre d’adresse.

  Valeur normale Valeur en cas de résidence des données
URL du service consommateur d’assertion (aussi appelée URL de rappel autorisé, URL ACS personnalisée, URL de réponse) : https://miro.com/sso/saml https://workspace-domain.miro.com/
sso/saml/ORGANIZATION_ID
ID de l’entité (identificateur, identificateur d’approbation de partie de confiance) : https://miro.com/ https://miro.com/ https://workspace-domain.miro.com/
ORGANIZATION_ID

Mise en place de l’authentification multifacteur (2FA) pour les utilisateurs extérieurs à l’authentification unique

L’authentification à deux facteurs (2FA) fournit une couche de sécurité supplémentaire. Avec l’authentification à deux facteurs, les utilisateurs doivent passer par une étape supplémentaire lorsqu’ils se connectent, afin de vérifier leur identité. Cette mesure supplémentaire garantit que seules les personnes autorisées peuvent accéder à votre abonnement.
Pour en savoir plus, consultez notre guide pour les admins sur l’authentification à deux facteurs.

Problèmes possibles et comment les résoudre

Les adresses de mon domaine ne sont pas acceptées dans les paramètres de l’authentification unique. Message affiché : « Le nom de domaine est occupé ».
Pour des raisons de sécurité, nous ne prenons en charge le(s) domaine(s) d’une organisation que dans le cadre d’un seul et même compte entreprise (abonnement Enterprise). Il est possible que vos domaines soient déjà configurés dans un autre forfait Business ou Enterprise, ce qui vous empêche d’activer l’authentification unique pour le domaine souhaité. N’hésitez pas à vérifier auprès de vos collègues à l’avance.
Je clique sur le lien dans l’e-mail de vérification du domaine, mais la vérification ne se fait pas.
Le lien est censé vous envoyer vers la page Intégrations Enterprise. Si la redirection ne fonctionne pas, vérifiez si vous utilisez un logiciel anti-hameçonnage susceptible d’interrompre le flux. Assurez-vous également d’être admin d’entreprise Miro au moment où vous cliquez sur le lien. Seuls les admins d’entreprise sont autorisés à accéder aux pages Paramètres. 
Nous devons modifier les adresses e-mail de nos utilisateurs finaux/Nous avons modifié les adresses e-mail de nos utilisateurs et ils ne peuvent plus accéder à leurs tableaux.
Si votre entreprise change de nom de domaine et que les adresses e-mail des utilisateurs finaux ont donc besoin de modifier leurs identifiants pour l’authentification unique, contactez notre équipe du service d’assistance pour obtenir de l’aide.
Nous aimerions utiliser une passerelle distincte (par exemple, une authentification multifacteur, comme Duo Dag) pour la procédure d’authentification unique.
C’est tout à fait possible. Miro prend en charge votre solution préférée tant qu’elle fonctionne sous SAML 2.0.
Nous avons activé l’authentification unique, mais les données des profils des utilisateurs (noms, photos de profil si prises en charge par votre IdP) dans Miro ne sont pas synchronisées avec celles de l’IdP.
Le nom d’utilisateur et la photo de profil Miro sont mis à jour après chaque authentification réussie de l’utilisateur, si et seulement si SAMLResponse contient de nouvelles valeurs non vides. Pour plus d’informations sur la façon de paramétrer les noms d’utilisateur Miro, reportez-vous aux paramètres d’authentification unique avancés facultatifs.

Si un ou tous vos utilisateurs rencontrent une erreur lorsqu’ils essaient de se connecter à Miro, consultez la liste des erreurs courantes et leurs solutions.

Cet article vous a-t-il été utile ?
Oui, merci Pas vraiment
Toutes nos excuses ! Pourquoi cet article ne vous a-t-il pas été utile ?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Retour en haut

Articles associés