Deutsch English (US) Español 日本語 Português do Brasil

Articles dans cette section

Configuration de provisionnement automatisé avec Azure AD

Cat
  • Mise à jour

Disponible pour : plan Enterprise
Configuré par : les admins d’entreprise
 

⚠️ Le guide explique comment configurer la fonctionnalité. Pour connaître les fonctionnalités disponibles, les règles que suit le SCIM de Miro, les problèmes éventuels et la façon de les résoudre, consultez d'abord cette page.
La documentation de Miro sur le SCIM destinée aux développeurs se trouve ici.

Un guide de provisionnement détaillé pour les personnes qui utilisent le programme de licences flexible se trouve ici.

Prérequis

L’API du SCIM de Miro est utilisée par les partenaires SSO pour faciliter le provisionnement, la gestion des utilisateurs et des équipes (groupes). L’authentification unique (SSO) basée sur le système SAML doit être correctement configurée et fonctionnelle dans votre plan Enterprise Miro avant que vous ne commenciez à configurer le provisionnement automatisé. Les instructions sur la façon de configurer le SSO se trouvent ici.

Vos groupes de sécurité et vos équipes Miro doivent déjà être créés et nommés de la même manière.

Configuration du provisionnement

Une fois l’application créée lors de la configuration du SSO, vous verrez ses paramètres :
Miro_app_settings.jpg
Paramètres de l’application Miro

  1. Choisissez l’élément Provisioning (Provisionnement) dans le panneau de gauche, puis changez le Provisioning Mode (Mode de provisionnement) de Manual (Manuel) à Automatic (Automatique) :
  2. Fournissez les informations d’identification de l’admin :
    a) Utilisez https://miro.com/api/v1/scim/ comme Tenant URL (URL du locataire)
    b) Fournissez le Secret Token (Jeton secret). Vous pouvez l’obtenir à partir de la section SSO de vos paramètres Miro comme suit :
    scim.jpg
    c) Cliquez sur le bouton Test Connection (Tester la connexion) juste en dessous de la boîte d’édition Secret Key (Clé secrète).
    Si la connexion passe le test, vous obtiendrez la notification suivante :
    mceclip0.png
    Notification de test de connexion réussie
    Si vous ne recevez pas de confirmation, vérifiez à nouveau l’élément Tenant URL (URL du locataire) et assurez-vous qu’il n’est pas bloqué par un pare-feu et tout autre intercepteur de trafic au sein de votre réseau. Assurez-vous également que le API Token (Jeton API) est correct.
  3.  Sauvegardez la configuration :
    save_configuration.jpg
    Sauvegarde de la configuration

Cartographies

L’API du SCIM de Miro utilise une partie des métadonnées qu’Azure AD associe aux utilisateurs et aux groupes. Cette section explique les modélisations nécessaires entre l’API du SCIM de Miro et les attributs Azure AD.

Utilisateurs

  1. Choisissez l’onglet Provisioning (Provisionnement) sur la gauche, puis cliquez sur Synchronize Azure Active Directory Users to Miro (Synchroniser les utilisateurs Azure Active Directory vers Miro) :
    synchronize_users.jpg
    Activation de la synchronisation
  2. Les cartographies par défaut sont censées être suffisantes. Cependant, vérifiez que la synchronisation est activée pour les utilisateurs et que toutes les méthodes requises (Create, Update et Delete, soit Créer, Mettre à jour et Supprimer) sont activées :
    attribute_mapping.jpg
    Cartographie d’attributs

Veuillez noter que Miro reconnaîtra les utilisateurs Azure uniquement par leur UPN dans le cadre du flux initié par le fournisseur de service (SP).

Pour ajouter l’un des attributs pris en charge, cliquez sur l’option Show advanced options (Afficher les options avancées) et sélectionnez Edit attribute list for Miro (Modifier la liste des attributs pour Miro) :

attribute_mappings.jpg
Options avancées

Saisissez ensuite le nom de l’attribut que vous souhaitez cartographier et enregistrez-le. Veuillez consulter notre documentation sur le SCIM pour obtenir la liste complète des attributs pris en charge.

Miro_user_attrbutes.jpg
Attributs de l’utilisateur Miro

Vous pouvez maintenant choisir l’option Add New Mapping (Ajouter une nouvelle cartographie) et sélectionnez le nouvel attribut que nous venons d’ajouter :

edit_attribute.jpg

Notez que pour pouvoir cartographier un nouvel attribut, vous devez activer cette option en accédant à Azure via l’URL suivante :

https://portal.azure.com/?Microsoft_AAD_Connect_Provisioning_forceSchemaEditorEnabled=true

Pour plus d’informations sur l’ajout de nouveaux attributs, veuillez consulter la documentation de Microsoft ici et ici.

⚠️ L’attribut ProfilePicture n’est pas pris en charge par Azure. Vous pouvez demander cette fonctionnalité pour promouvoir son développement sur User Voice.

Groupes

  1. Choisissez l’onglet Provisioning (Provisionnement) sur la gauche, puis cliquez sur Synchronize Azure Active Directory Groups to Miro (Synchroniser les groupes Azure Active Directory vers Miro).
  2. Les cartographies par défaut sont censées être suffisantes. Vérifiez que la synchronisation est activée pour les groupes et cochez les méthodes Create (Créer) et Delete (Supprimer) - notez que l’API du SCIM de Miro ne prend pas en charge la création et la suppression des équipes.
    ⚠️ Nous recommandons fortement de décocher les méthodes pour éviter des changements non planifiés lorsque nous commencerons à prendre en charge les méthodes. 
    mceclip0.png
  3. Cliquez sur Save (Sauvegarder).

Affectation des utilisateurs et des groupes

La fonctionnalité Miro SCIM Provisioning (Provisionnement SCIM) vous permet de provisionner et de déprovisionner les utilisateurs de votre abonnement Enterprise ainsi que de les répartir automatiquement entre les équipes. Les utilisateurs ou groupes d’Azure Active Directory être assignés à l’application SCIM Provisioner (Provisionnement SCIM) de Miro pour être automatiquement gérés dans Miro. Pour affecter des utilisateurs et des groupes à l’application, suivez les étapes ci-dessous.

Nous recommandons de provisionner les utilisateurs en leur attribuant des groupes. Dans ce cas, lorsqu’un utilisateur est retiré de tous les groupes assignés dans Azure AD, ce même utilisateur sera retiré de toutes les équipes dans Miro (notez qu’il restera toujours membre de l’abonnement Enterprise). Pour désactiver un utilisateur de votre plan Enterprise, désactivez-le dans Azure AD, qui enverra une demande correspondante à Miro. Pour supprimer un utilisateur de Miro, rendez-vous sur la page Active users (Utilisateurs actifs) de Miro.

  1. Choisissez l’onglet Provisioning (Provisionnement) sur la gauche. Dans la section Settings (Paramètres), assurez-vous que la portée est réglée sur celle que vous souhaitez synchroniser avec Miro. Veuillez choisir « Sync only assigned users and groups » (Synchroniser uniquement les utilisateurs et groupes assignés).
  2. Choisissez les onglets Users and groups (Utilisateurs et groupes) dans le panneau de gauche, puis cliquez sur Add user (Ajouter un utilisateur) :
    user_and_groups.jpg
    Onglet Users and groups (Utilisateurs et groupes)
  3. Dans l'écran Add assignment (Ajouter une affectation), choisissez l’onglet Users and groups (Utilisateurs et groupes), puis sélectionnez les utilisateurs et les groupes dans la liste. REMARQUE : L’API du SCIM de Miro ne crée pas de nouvelles équipes dans Miro. Veuillez consulter la liste des fonctionnalités du SCIM ici.
  4. Cliquez sur Select (Sélectionner), puis sur les boutons Assign (Affecter).
  5. Les utilisateurs et groupes assignés apparaîtront dans la liste.

Activation et désactivation du provisionnement

Lorsque la configuration initiale est terminée, basculez le bouton Provisioning Status (Statut du provisionnement) pour activer le provisionnement.

  1. Choisissez l’onglet Provisioning (Provisionement) sur la gauche.
  2. Cliquez sur l'option On (Activé) sur le bouton à bascule Provisioning Status (Statut du provisionnement).
    provisioning_status.jpg
    Statut du provisionnement
  3. Cliquez sur Save (Sauvegarder). Cela lancera le provisionnement initial qui peut prendre un certain temps. Revenez dans 20 minutes environ et vérifiez le statut en bas de la page.

Si nécessaire, choisissez l’option Off (Arrêt) pour désactiver le provisionnement. Notez qu’Azure met à jour les données par intermittence. Si vous avez besoin d’une mise à jour urgente, arrêtez le provisionnement et recommencez. La resynchronisation sera immédiate et entraînera également les mises à jour.

Découpler les groupes et les équipes

Pour activer le SCIM et synchroniser vos groupes avec vos équipes Miro, ces derniers doivent être nommés de la même manière, car Miro effectue la synchronisation en fonction de la valeur du nom. Toutefois, si vous souhaitez qu’ils soient nommés différemment, vous pouvez modifier leur nom après la synchronisation.  Veuillez consulter l’exemple ci-dessous. 

Le résultat prévu : dans Azure, il y a un groupe nommé sfo_hq_eng_support alors que dans Miro, il y a une équipe nommée Assistance technique et la synchronisation est effectuée entre les deux.

Exécutez la commande curl pour lister tous les groupes de sécurité (n’oubliez pas de remplacer les espaces réservés par vos valeurs à vous) :

curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X GET https://miro.com/api/v1/scim/Groups

Réponse de l’échantillon :

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:ListResponse"
  ],
  "totalResults": 1,
  "Resources": [
    {
      "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:Group"
      ],
      "id": "3074457345618261605",
      "displayName": "YourMiroTeamName",
      "members": [],
      "meta": {
        "resourceType": "Group",
        "location": "https://miro.com/api/v1/scim/Groups/3074457345618261605"
      }
    }
  ]
}

À ce stade dans Miro, il existe l’équipe Miro nommée Assistance technique et le groupe de sécurité Miro Assistance technique (avec l’id 3074457345618261605). Ils sont cartographiés 1:1.

L’objectif est maintenant de modifier le nom du groupe de sécurité Assistance technique par sfo_hq_eng_support sans modifier le nom de l’équipe. Pour cela, exécutez la commande curl :

curl \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-H "Authorization: Bearer SCIM_API_TOKEN" \
-X PATCH https://miro.com/api/v1/scim/Groups/3074457000018261605 \
-d '{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "Replace",
      "path": "displayName",
      "value": "YourSecurityGroupName"
    }
  ]
}'

Ce changement sera immédiatement affiché sur la page des équipes Miro de l’entreprise.

mceclip0.png

Azure effectue la synchronisation programmée en arrière-plan toutes les 40 minutes. Lors de la prochaine synchronisation, Azure verra le groupe de sécurité sfo_hq_eng_support dans Miro et le reliera automatiquement au groupe correspondant dans Azure.

À ce stade, vous avez connecté votre groupe de sécurité à l’une de vos équipes Miro et leur avez donné un nom différent. 

Problèmes éventuels et comment les résoudre

Problèmes relatifs à la modification des adresses e-mail des utilisateurs

Si vous avez mis à jour l’adresse e-mail de certains utilisateurs, mais que vous ne voyez aucun changement dans Miro, vérifiez que l’attribut prévu est mis à jour. Ce problème peut généralement survenir si vous utilisez l’attribut emails[type eq "work"].

L’attribut emails[type eq "work"] est un attribut par défaut dans Azure. Miro ne le prend donc pas en charge, mais seulement parce qu’il est en lecture seule et qu’il est généré dynamiquement à partir de userName
Lors de la lecture des utilisateurs, nous renvoyons : 

mceclip1.pngÉtant donné que l’attribut emails[type eq "work"] est en lecture seule dans Miro, Miro ignorera toute tentative de le modifier. En effet, dans Miro, une adresse e-mail d’utilisateur est l’identifiant principal de cet utilisateur. Il s’agit de l’élément qui nous permet de reconnaître les utilisateurs, c'est pourquoi nous ne prenons pas en charge les adresses e-mail supplémentaires. Or, la structure du SCIM nécessite une gamme d’e-mail pour que nous puissions prendre en charge son existence. 

Pour modifier les adresse e-mail d’un utilisateur, la mise à jour doit d’abord être envoyée pour l’attribut userName et non pas emails[type eq "work"]

mceclip0.png

Erreur Failed to update user (Impossible de mettre l’utilisateur à jour)

Les journaux d’Azure affichent le statut Failed (Échec) accompagné de :

Status Reason (Raison du statut) - "Failed to update user: Attribute emails does not have a multi-valued or complex value" (Impossible de mettre l’utilisateur à jour : l’attribut de l’adresse e-mail ne compte pas de valeur multiple ou complexe)
ErrorCode (Code erreur) - SystemForCrossDomainIdentityManagementServiceIncompatible

Cet article vous a-t-il été utile ?
Oui, merci Pas vraiment
Toutes nos excuses ! Pourquoi cet article ne vous a-t-il pas été utile ?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Retour en haut

Articles associés